So viel Zeit muss sein: Tim Pritlove wurde bei der re:publica-Aftershow-Party das PowerBook geklaut:
Doch dies wurde bereits im Vorfeld vereitelt: meine Tasche samt PowerBook, iPods, diversen Aufnahmegeräten, Kopfhörer, Kabeln, Adaptern und anderen sowohl persönlich als auch finanziell wertvollen Dingen war offensichtlich aus einem Privatraum geklaut worden. Alles weg. Freitag der dreizehnte. Der Horror kam, als es am schönsten war.
Und hier noch die wichtigsten Daten zum PowerBook:
Ansonsten soll der Rechner zu seiner Stolperfalle werden: Ich fordere hiermit jeden auf, künftig nach folgenden MAC-Adressen zu fahnden: 00:14:51:86:49:D1 (WLAN) und 00:0a:95:f2:0d:38 (Ethernet). Das Gerät ist ein Apple PowerBook G4 1.67 15″ DLSD/HR (Modellnummer M9969LL/A, letzte Generation der PowerBooks). Die Seriennummer des Geräts lautet W8548G5NSX2. Wenn ich schon meine Daten nicht wiederbekomme dann will ich wenigstens das PowerBook irgendwann wieder auf meinem Tisch sehen und damit eine Spur zum Dieb bekommen. Sachdienliche Hinweise an tim at ccc dot de.
Und wer möchte, der kann Tim auch bei einem Neukauf unterstützen.
wie fahndet man nach mac-adressen? wieso lebt der bestohlene auf kontostand null, so dass er nun betteln muss? wieso hatte der bestohlene weder eine passende versicherung noch ein funktionierendes backup, wo er doch anscheinend sein lebenswerk auf diesem powerbook rumtrug? schadenfreude ist fehl am platz, aber diese fragen sollte man sich stellen!
Indem man darauf achtet, ob eine der MAC-Adressen in einem LAN auftaucht…
Woher kennst Du seinen Kontostand? Und eine Bitte um Hilfe ist zumindest für mich nichts schlimmes.
Shit happens? Murphy? Keine Ahnung, warum fragst Du ihn nicht selbst?
Nö, stell die Fragen Tim, wenn Du wirklich an einer Antwort interessiert bist und nicht einfach nur ein bisschen rumtrollen willst…
Ich schätze mal “persönliche als auch finanziell wertvollen Dinge” beziehen sich nicht nur auf die Daten auf dem Schleppi, sondern auch weiteren Inhalt der Tasche. Und hast DU denn eine Versicherung für Dein Schleppi? Also ich hab keine, die käm teurer, als alle paar Jahre eines zu kaufen.
Sicherung wird er wohl haben, wieso hätte er sons MAC-Adressen und Seriennummer so schnell parat?
Nee, ist echt scheiße sowas, kann einem ganz schön den Tag / die Woche / den Monat versauen!!! :( :(
ich wüßte nicht, wie ich da bei der Suche helfen könnte?!? Polizei ist informiert?
natürlich kenne ich den kontostand von tim pritlove nicht. das liegt nur schon daran, dass er sein bankkonto vermutlich nicht unter seinem künstlernamen führen kann. da er aber um geld für ein neues gerät bettelt, gehe ich davon aus, dass sein kontostand gegen null tendiert.
und natürlich habe ich eine versicherung gegen diebstahl. das kommt mich nämlich günstiger als wenn ich bei einem diebstahl das gerät selbst ersetzen muss.
schade finde ich, dass tim pritlove nicht sagt, wo genau das problem mit seinem backup liegt. hatte er gar keines? für alle anderen denkbaren probleme mit einem backup gibt es schliesslich spezialisten, die sich darum kümmern könnten.
Was bringt es nun die ganze zeit über “wenns” und “abers” zu diskutieren? Es ist passiert und nun heisst es helfen wo geht. Schlaue Ratschläge sind vielleicht gut gemeint, machen aber nix rückgängig. Erinnert mich an meinen gestohlenen Geldbeutel die Diskussion…sinnvolle Tipps kamen da nämlich auch nicht und getrollt wurde genug.
…. das erinnert mich an die Trollis vom Norma! *lol*
@raphael: wie schon gesagt, Du solltest den guten Mann doch einfach fragen, wenn Dich das so brennend interessiert – ich kann Dir die Fragen nicht beantworten und obwohl auch ich auf der re:publica war weiss ich nicht (und würde ich auch nicht darauf wetten), dass er mein Weblog hier liest…
Ich hoffe, Tim hat nicht FileVault verwendet, damit hätte er sich die Verschlüsselung gleich sparen können… :->
Was willst Du uns damit sagen?
… ich möchte damit sagen, dass die Untauglichkeit von FileVault kein Geheimnis ist. Insofern hoffe ich, dass Tim seine Daten nicht mit FileVault «verschlüsselt» hat.
Die Untauglichkeit für was? Na komm, erzähl schon, was Du meinst… eine schnelle Google-Suche brachte spontan nichts, was das Urteil “untauglich” für den Zweck (Verschlüsselung der Daten im User-Verzeichnis) rechtfertigen würde. Du weisst ja offensichtlich mehr…
Ich ging ursprünglich davon aus, FileVault würde meine Daten sicher verschlüsseln und damit insbesondere auch schützen, wenn mein Notebook gestohlen wird oder jemand aus anderen Gründen direkten Zugriff auf mein Notebook erhält. Leider ist dies nicht der Fall, da man die FileVault-Passwörter (Hauptpasswort, Benutzerpasswörter) problemlos zurücksetzen kann: Man bootet das entsprechende System im Single-user Mode und löscht die Dateien FileVaultMaster.keychain und FileVaultMaster.cer. Danach kann man das Hauptpasswort zurücksetzen und damit auch die Benutzerpasswörter. Das Booten im Single-user Mode lässt sich nicht verhindern, eine entsprechende Open Firmware-Sperre kann man durch Entfernen von RAM umgehen. Ich gehe davon aus, dass diese grundlegende Schwäche von FileVault allgemein bekannt ist…
So? Wie wäre es mit einer Quelle – mit der von Dir beschriebenen Methode lässt sich zwar das Masterpasswort (welches auch das “Sicherheitsnetz” für die Filevault-Verschlüsselung ist) entfernen (und ein neues kann man auch nur als Admin setzen, dazu muss man also doch wieder eingeloggt sein) – aber nur weil dieses Passwort weg ist, sind die die Daten noch lange nicht entschlüsselt…
Wie wär’s mit Apple (http://docs.info.apple.com/article.html?path=Mac/10.4/de/mh1908.html) als Quelle?
Wer «physischen» Zugriff auf einen Mac-Computer hat, kann bekanntlich alle Passwörter zurücksetzen, auch Passwörter von Administratoren und wie oben beschrieben das Hauptpasswort. Und damit kann man sich dann einloggen und FileVault deaktivieren… kein Geheimnis und von Apple leider so dokumentiert und vorgesehen. Ich hoffe, «Leopard» bietet die Möglichkeit, FileVault sicherer zu konfigurieren!
Dort ist beschrieben, wie man FileVault deaktivieren kann, wenn man das Passwort kennt (was ja sowieso möglich ist) oder eben Administrator ist – von einem vorherigen Rücksetzen des Passwortes ist da nicht die Rede. Also keine Quelle für Deine Behauptung, dass sich durch das Ändern oder Entfernen eines Passwortes auf magische Weise plötzlich verschlüsselte Disk-Images entschlüsseln…
Und das alles in einer Reihe halte ich immer noch für unwahrscheinlich:
Masterpasswort löschen? Klar.
Adminpasswort zurück setzen? Geht.
Aber: ein verschlüsseltes Disk-Image entschlüsseln ohne das Passwort für genau dieses? Halt ich immer noch für unwahrscheinlich und ich kann auch keine Beschreibung finden, die sagt, dass genau dieser Weg funktioniert (dafür aber viele Warnungen davor, das Master-Passwort zu entfernen so lange bei irgend einem Account FileVault aktiv ist).
Das Problem ist folgendes: Das Hauptkennwort schützt den Schlüsselbund für die FileVault-Wiederherstellung (übrigens nur mit 72 Bit Stärke, eine weitere Schwäche von FileVault). Das Hauptkennwort kann man wie oben erwähnt zurücksetzen, so dass man auf den Schlüsselbund für die FileVault-Wiederherstellung zugreifen kann, nachdem man ein neues Hauptkennwort erstellt hat. Und über die FileVault-Wiederherstellung kann man FileVault deaktivieren, sprich die vom Benutzer «verschlüsselten» Daten wieder in Klartext umwandeln lassen. Ein Dieb hätte vermutlich die Zeit dafür… :(
Hast Du es probiert? Ja? Dann verrate mir bitte, wie genau Du das geschafft hast – so wie Du es beschrieben hast geht es nicht:
* erster Account wie gehabt Admin
* zweiter Account mit FileVault verschlüsselt
* Masterpasswort entfernt und Passwort des ersten Users (Admin) zurück gesetzt
* neues Master-Passwort gesetzt
* versucht als zweiter User einzuloggen und dabei über das neue Masterpasswort das User-Passwort zu ändern: geht nicht – zwar öffnet sich der Dialog um ein neues Passwort einzugeben, aber es lässt sich nicht setzen
* versucht das Disk-Image mit den Userdaten des zweiten Accounts zu mounten: klappt weder mit dem neuen noch dem alten Master-Passwort direkt, sondern nur mit dem alten User-Passwort…
Also bitte: erkläre mir, wie man an die Daten ran kommt, ohne die Passwörter zu kennen – würde mich wirklich interessieren.
Macitreal beschreibt das Problem auch (http://macitreal.de/2006/12/04/mac-os-x-und-datensicherheit/)… sollte ich falsch liegen, würde mich das übrigens freuen, denn trotz all den anderen Schwächen ist FileVault eine vielversprechende Schutzmöglichkeit für den Mac.
Wenn ich mich mal einmischen darf:
http://docs.info.apple.com/article.html?path=Mac/10.4/en/mh1909.html
“If you are the administrator of the computer, and you can’t remember the master password, the information in your home folder is lost forever.”
@mds: ja, Beschreibungen, dass es theoretisch möglich sein könnte und vielleicht usw. – aber ich habe bisher weder etwas gefunden, dass es jemandem gelungen wäre, selber habe ich es – wenn auch nicht oft probiert – nicht geschafft FileVault mal so eben zu umgehen… sorry, aber da bleibe ich einfach skeptisch…
@Cemil: tja, und das dann auch noch… wenn es wirklich so einfach wäre an die verschlüsselten Daten ran zu kommen, dann würde die Warnung wohl kaum immer wieder von Apple im Zusammenhang mit FileVault wiederholt…
ich versuche wieder aus dem File Vault rauszu- kommen. wer kann mir helfen? vielen dank im voraus! Roli
@Roland: was genau meinst Du mit raus kommen? Nur abschalten oder hast Du das Passwort vergessen?
FileVault lässt sich nicht umgehen. Das wird auch in den Kommentaren in dem entsprechenden Beitrag auf meinem Blog ersichtlich. Ich hatte beim Schreiben etwas verwechselt und wurde auch direkt darauf hingewiesen (der Beitrag wurde entsprechend angepasst). Ein Passwort lässt sich natürlich mit einfachsten Mitteln zurücksetzen, nicht jedoch ein FileVault gesicherter Account. Dass ich allerdings niemals FileVault verwenden würde, hat andere Gründe
FileVault hat einige Schwächen, siehe dazu beispielsweise http://www.macmacken.com/2007/12/09/10-schwaechen-von-filevault/, aber regulär lässt es sich nicht umgehen – dazu muss man Brute Force verwenden oder eine Lücke in FileVault kennen … mangels Alternativen bleibt FileVault deshalb für mich empfehlenswert, zumal es zusammen mit «Leopard» einige Verbesserungen gab, insbesondere die Verwendung von Sparse Bundles anstelle von Sparse Disk Images.