Der Albtraum eines jeden PC oder Mac Nutzers ist die Vorstellung, dass sein Computer von jemandem übernommen werden könnte. Für diesen Zweck ist bereits viel Malware im Umlauf. Der fremde Zugriff ist da nur ein erster Schritt, aber für sich schon erschreckend genug. Nicht nur würde der Eindringling jeden geheimen Text oder privates Bild ausspähen können, sondern auch Passwörter abgreifen und Material finden, das sich für Erpressungen eignet. Der fremde Zugriff dient nur für Gelegenheitsspäher der privaten Neugierde. Profis verknüpfen damit ein Geschäftsmodell, die vorgefundenen kritischen Informationen zu ihrem Vorteil zu nutzen, von Kontozugriff bis Erpressung.
Die Schreckensvorstellung vom Missbrauch des Target-Disk-Modus
Manchmal wird eine Schwachstelle publiziert, die das Eindringen erleichtert oder erst möglich macht, um Nutzer zu sensibilisieren. Für den Mac ist die Methode bekannt, im Target-Disk-Modus eine neue Identität als Administrator einzurichten, als welcher man sofort Zugriff auf alle Dateien auf dem Mac erhält, am alten Admin-Account vorbei. Die Voraussetzung dafür ist die Löschung der Datei /var/db/.AppleSetupDone. Diese Information gibt Raum für Befürchtungen. Der Mac müsste nur mal unbeaufsichtigt herumliegen, während man auf die Toilette geht, und die Zeit würde für einen kundigen Fremden genügen, um diese paar Schritte auszuführen und die Kontrolle über das Gerät zu erlangen. Wie lässt sich das verhindern?
Hausapotheke für die Prophylaxe ist schon dabei – mit dem installierten Betriebssystem
Voller Zugriff zu den Daten aller Konten auf dem Mac besteht bereits vor Erstellung eines neuen Admins im Target-Disk-Modus. Ob der Mac dafür von einem USB-Stick gestartet wurde, spielt nicht mal eine Rolle. Es reicht, wenn jemand an den Computer herankommt. Dafür hätte er keinen neuen Admin anzulegen. Der Besitzer muss zur Verhinderung dieses fremden Zugriffes lediglich die Festplattenverschlüsselung unter der ‚Sicherheit‘ Systemeinstellung aktivieren. Danach benötigt man das Passwort, welches im Kontext der Verschlüsselung eingerichtet wurde, um an die Daten zu gelangen. Für heftigere Versuche müsste jemand schon durch IT Forensik an weitere Informationen gelangen, aber das gelingt erst recht nicht unterwegs, per Gelegenheitszugriff.
Die allmählich ausgeweitete Verschlüsselung
Die genannte Festplattenverschlüsselung wird auf dem Mac FileVault genannt. Seit OS X Panther wird dieser Dienst mitgeliefert (2003), zunächst nur ausgerichtet auf das Benutzerverzeichnis, seit OS X Lion (2011) erstreckt sich der Dienst auf die gesamten Festplatten, wozu nicht mal die laufende Arbeit unterbrochen werden muss. Die Verschlüsselung gelingt also seitdem auch „on the fly“ und der User muss nicht selbst daran denken, sporadisch manuell zu verschlüsseln. Gegen den Einsatz des Target-Disk-Modus durch Unbekannt oder den Start von einem fremden USB-Stick wirkt das Aktivieren des Kennworts zur Firmware, aufgerufen durch Pressen von Cmd + R Tasten während des Bootvorgangs, vor dem Apple Logo. Das bringt den Nutzer in den Recovery Modus. Das Kennwort besteht aus vier Zeichen.
Firmware-Passwort oder den Mac überallhin mitnehmen
Wo ist die Eingabe des Firmware Passwortes? Gefunden wird der Arbeitsschritt im Menü Dienstprogramme, mit dem Befehl ‚Firmware-Passwort-Dienstprogramm‘. Ganz perfekt ist diese Methode über die Recovery auch nicht, wenn es ein Mac mit wechselbaren RAM Riegeln ist. Dafür müsste der Fremde die RAM umstecken und dreimal das NVRAM zurücksetzen. Aber dafür benötigt er Zeit; wesentlich längere Zeit als im Beispiel, das weiter oben genannt wurde, mit einem Gelegenheitszugriff, während der Besitzer mal zur Toilette geht. Der beste Schutz ist wohl immer noch, den Mac auf diesen Gang mitzunehmen, in einer öffentlichen Umgebung wie einem Café.