Logs in High Sierra slaan APFS encryptie wachtwoorden op

puk1980

topic starter

9.781

Logs in High Sierra slaan APFS encryptie wachtwoorden op

27 maart 2018 - 07:13

geplaatst door: puk1980

Logs in High Sierra slaan APFS encryptie wachtwoorden op

https://www.mac4n6.com/blog/2018/3/21/uh-oh-unified-logs-in-high-sierra-1013-show-plaintext-password-for-apfs-encrypted-external-volumes-via-disk-utilityapp

'Mensen maken zich zorgen dat computers te slim worden en de wereld overnemen, maar het echte probleem is dat ze te dom zijn en de wereld al hebben overgenomen.'

Flix

17.654

antw: Logs in High Sierra slaan APFS encryptie wachtwoorden op

27 maart 2018 - 17:03 reactie #1

geplaatst door: Flix

Leuke katten-gif op die site!

Dit is de bron:

https://mjtsai.com/blog/2018/03/23/high-sierra-stored-apfs-volume-passwords-in-log-files/

Het is dus al geruime tijd bekend, maar ik wilde er niemand mee vervelen, want wie echt encryptie nodig heeft, wist het al en 't is gefikst in 10.13.3. Het is ook niet aanwezig in 10.12 of voorgaande.

Hou er wel rekening mee dat Apple's stille fix (Apple heeft het nergens gemeld) het paswoord niet wist. Als je dus een encrypted disk hebt van op 10.13, 10.13.1 of 10.13.2 moet je dat paswoord even greppen in 't log en wissen, of gewoon een nieuw paswoord instellen.

I'd tell you a UDP joke but you might not get it.

puk1980

topic starter

9.781

antw: Logs in High Sierra slaan APFS encryptie wachtwoorden op

27 maart 2018 - 19:15 reactie #3

geplaatst door: puk1980

Citaat van: cyrano, 27 maart 2018 - 18:48

...en 't is gefikst in 10.13.3.

Niet dus. Althans niet volledig. Zie het gelinkte artikel.

Citaat

UPDATE: This is still vulnerable on current versions of macOS 10.13.3 when encrypted an ALREADY EXISTING unencrypted APFS volume (versus, creating a NEW volume in original article). Thanks to @moelassus for pointing this out and to @howardnoakley for verifying. My verification test is below. Note that it gets stored in on-disk, collected logs (non-volatile logs).

'Mensen maken zich zorgen dat computers te slim worden en de wereld overnemen, maar het echte probleem is dat ze te dom zijn en de wereld al hebben overgenomen.'

cyrano

1.281

antw: Logs in High Sierra slaan APFS encryptie wachtwoorden op

28 maart 2018 - 15:58 reactie #4

geplaatst door: cyrano

Wat ik dus schreef...

Het wachtwoord van eerder gecreëerde schijven blijft bewaard in het log. Het wordt niet gewist.

Maar het wachtwoord van nieuw gecreëerde schijven wordt niet meer opgeslagen.

Of mis ik iets?

Daarom ook dat ik de bron gaf. Forensische onderzoekers zijn over 't algemeen zeker van hun zaak:

Citaat

Howard Oakley:

If you:

encrypted an APFS volume using macOS 10.13 to 10.13.1 using Disk Utility, and
have a copy of the unified log collected at the time of that encryption, in a logarchive

chances are, that logarchive will contain the passphrase recorded in plain text. You therefore might like to destroy or encrypt that logarchive.

I'd tell you a UDP joke but you might not get it.