Jamf Blog
June 16, 2022 op Jesus Vigo

macOS Security Basics-serie: waarbij iedereen je gegevens kon lezen omdat ze niet versleuteld waren

Het versleutelen van gegevens lijkt voor sommige gebruikers een vreemd concept. Voor hen komt het alleen voor in thrillers en spionagefilms. Maar de realiteit is dat het versleutelen van gegevens een fundamentele beveiligingscontrole vormt die in elke versie van macOS (en iOS trouwens) is ingebouwd en een enkel doel dient: voorkomen dat onbevoegde gebruikers toegang krijgen tot je persoonlijke, bedrijfs- en privacygegevens wanneer je computer niet in gebruik is. In feite maken de voordelen van versleuteling in combinatie met een doodsimpele installatie het een 'no-brainer' voor zowel zakelijke als particuliere gebruikers. Gebruikers vragen zich af waarom ze het niet eerder hebben ingeschakeld.

Encryptie kan van alles betekenen, afhankelijk van aan wie je het vraagt. Afhankelijk van je ervaringsniveau kan versleuteling zo eenvoudig zijn als het markeren van een bestand of map verborgen in een andere map. Of het kan gaan om het beveiligen van een ZIP-bestand met een wachtwoord van vierenzestig tekens gevuld met variabele sleutelruimtes om zo wachtwoordkrakersoftware een hele lange tijd op afstand te houden. Dit laat zien dat de term 'encryptie' zelf kan worden uitgebreid met een groot aantal mogelijkheden en variabelen die deze verder kunnen beïnvloeden, zoals het salten van een hashwaarde of het schrijven van je eigen cipher. Het zijn allemaal geavanceerde cryptografische onderwerpen die ver buiten het bestek van deze blog vallen.

Hier bespreken we:

  • De basisfuncties van macOS-versleuteling
  • Hoe FileVault werkt (en niet werkt)
  • En de voordelen van het inschakelen van FV op je Mac

Terug in de geschiedenis

Voordat we ingaan op bovenstaande punten, maken we een uitstapje naar 2003. Apple bracht OS X 'Panther' oftewel versie 10.3 uit, waarin FileVault (FV) werd geïntroduceerd, de technologie die zorgt voor gegevensversleuteling op de Mac. Indien ingeschakeld, versleutelt FileVault de inhoud van het thuisvolume van een gebruiker alleen door de inloggegevens van de gebruiker te gebruiken als methode om het volume te vergrendelen en ontgrendelen wanneer de gebruiker is uitgelogd of met succes is geverifieerd.

Het maakte versleuteling mogelijk door gebruik te maken van Apple's 'sparse disk image', vergelijkbaar met een DMG-bestand maar dan versleuteld, om de inhoud van het volume van de gebruiker te bevatten, inclusief onder andere de mappen Bureaublad en Documenten.

In 2007 werd voor de release van OS X 'Lion' (versie 10.7) de door Apple ontwikkelde encryptietechnologie opnieuw ontworpen met extra functies en kreeg het de naam FileVault 2 (FV2). FV2 is de standaard encryptietechnologie die sindsdien beschikbaar is voor alle versies van OS X en macOS. We zullen later dieper ingaan op de functies van FV2 en hoe het werkt.

“Wax on, wax off”

Als meester in vechtsporten leerde mijnheer Miyagi Daniel-san karate door middel van lessen die de basisprincipes van verdediging vereenvoudigden. Apple volgde een vergelijkbare aanpak met betrekking tot het in-/uitschakelen van de beveiligingsbescherming die we hier vandaag bespreken.

Opmerking: aangezien de oorspronkelijke incarnatie van FV (aangeduid als legacy FileVault) is vervangen door FV2, heeft de tekst hieronder uitsluitend betrekking op FileVault 2.

Versleuteling inschakelen

Het inschakelen van FV2 is een eenvoudig proces. Of het nu handmatig wordt ingeschakeld (door een gebruiker) of geautomatiseerd (door de IT-afdeling via MDM), het proces verloopt als volgt:

  1. Authenticeren op een Mac met een inlogcode op beheerniveau.
  2. Start Systeemvoorkeuren.
  3. Klik op het voorkeurenpaneel Beveiliging en privacy.
  4. Selecteer het tabblad FileVault.
  5. Klik op FileVault inschakelen.

Dat is alles! FV2 is nu ingeschakeld en begint met het versleutelen van je gegevens. Zodra dit is gebeurd, wordt je gevraagd de computer opnieuw op te starten, waarmee het proces wordt voltooid.

Versleuteling uitschakelen

Je Mac is nu veilig, waarom zou je dat willen doen?! Er kunnen enkele redenen zijn om FV2 uit te schakelen, ook al is dat maar tijdelijk. Om deze beveiligingsfunctie uit te schakelen:

  1. Volg de stappen 1 tot 4 hierboven.
  2. Klik op FileVault uitschakelen

De Mac zal weer enige tijd nodig hebben om al uw gegevens op de achtergrond te ontsleutelen terwijl u uw Mac gebruikt. Er dient te worden opgemerkt dat zowel het inschakelen als het uitschakelen van FV2 vereist dat je Mac aan staat en aan de oplader is aangesloten om het versleutelings- en ontsleutelingsproces te voltooien.

Opslag van FileVault-herstelsleutels

Nadat FV2 is ingeschakeld, wordt de gebruiker gevraagd een herstelsleutel aan te maken en deze veilig op te slaan. Dit is een backdoor toegang die men kan gebruiken om gegevens te decoderen, in het geval dat de gebruiker zijn accountwachtwoord verandert, als het account gecompromitteerd raakt of als men zijn inloggegevens vergeet.

Het belang van deze sleutel kan niet worden onderschat, vandaar de aanbeveling om deze op een veilige plaats op te bergen, buiten het bereik van iedereen die u normaal gesproken geen toegang wilt geven tot de beveiligde gegevens op de schijf.

Gebruikers met een iCloud-account die gebruik willen maken van de cloud-technologie kunnen ervoor kiezen daar een kopie van hun unieke herstelsleutel op te slaan. Dit is beschermd en beveiligd, aangezien zelfs Apple de sleutel niet kan lezen, maar het stelt gebruikers in staat om deze overal en altijd veilig op te halen vanaf elk apparaat met toegang tot iCloud, voor extra gemoedsrust.

IT + FileVault = F-U-N in automatisering

Hoewel het bovenstaande zeker van toepassing is op Macs die persoonlijk en professioneel worden gebruikt, is het scenario dat in dit hoofdstuk wordt gepresenteerd grotendeels alleen van toepassing op organisaties die hun Mac-vloot beheren via Mobile Device Management (MDM)-software, zoals Jamf Pro.

Met MDM-oplossingen kan de IT-afdeling niet alleen apparaten centraal beheren, maar ook configuratie-instellingen bieden om de inschakeling van FV2 te automatiseren. Ook kan het beheer van individuele herstelsleutels die uniek zijn voor elk apparaat worden gestroomlijnd en veilig worden opgeslagen in het record van elk apparaat, voor eenvoudig beheer en nog eenvoudiger opvragen door IT-personeel wanneer dat nodig is.

De beheergids biedt gedetailleerde informatie over het gebruik van Jamf Pro voor het instellen en beheren van FileVault 2 en herstelsleutels voor uw organisatie. Deze gids is bedoeld voor IT-organisaties die de beveiliging van hun apparaten willen verbeteren en tegelijkertijd hun vloot willen beheren op basis van de best practices in de sector en met inachtneming van de beveiligings- en privacykaders van Apple.

"Sweep the leg"

De meest omvangrijke en waarschijnlijk belangrijkste functie van FileVault is encryptie. Dit is tenslotte de belangrijkste reden om beveiligingscontroles in de eerste plaats in te schakelen, nietwaar? Het is het versleutelingsalgoritme, gebaseerd op het XTS-AES-128-cijfer met een 256-bits sleutel dat helpt "onbevoegde toegang tot de informatie op je opstartschijf te voorkomen", aldus Apple.

Ja, dat lees je goed. Het versleutelt de opstartschijf en niet de thuismap van de gebruiker. Dat is geen typefout, maar een belangrijk verschil tussen FileVault 2 en het oude FileVault. Je herinnert je van hierboven dat FileVault alleen de thuismap beschermt van de gebruiker die de verouderde FileVault inschakelt. Dit vereist dat elke gebruiker FV inschakelt om zijn eigen thuismap te beschermen. De thuismap van andere gebruikers en het besturingssysteem zelf zijn kwetsbaar en blootgesteld aan beveiligingsbedreigingen en aanvallen.

FileVault 2 corrigeert dit echter door zodra deze is ingeschakeld te voorzien in versleuteling van de gehele schijf. Door de hele schijf te gebruiken, worden alle gegevens op de schijf effectief versleuteld. Dit vereist dat gebruikers met FV2-autorisatie eerst inloggen op de Mac, waardoor de opslagschijf wordt ontgrendeld en andere gebruikers kunnen inloggen.

Het resultaat? Een versleuteld systeem dat de hele opslagschijf omvat en alle gegevens daarin holistisch beschermt; niet alleen de gebruikers die ervoor hebben gekozen hun gegevens veilig te houden.

Smooth moves

De Karate Kid-filmserie liet het publiek kennis maken met de memorabele (en vaak geïmiteerde) technieken van Miyagi-Do karate: de drumtechniek, kata en de onvergetelijke 'Crane Kick' zijn slechts enkele van de kenmerkende bewegingen die Daniel-san leerde om zichzelf te verdedigen tijdens karatetoernooien. Op dezelfde manier biedt de versleutelingsimplementatie van FileVault 2 gebruikers meerdere voordelen, die verder gaan dan het beveiligen van gegevens via versleuteling.

  • Het implementeren van volledige schijf- of opstartschijfversleutelingbetekent het beveiligen van de lege, ongebruikte ruimte op de systeemschijf en het verkleinen van het aanvalsoppervlak, om te voorkomen dat kwaadwillenden die gebruiken om malware te installeren. Bovendien wordt versleuteling door beveiligingsprofessionals vaak beschouwd als de last'ultieme poging' om de integriteit van je persoonlijke, zakelijke en/of privacygegevens te behouden.if Je MacBook-laptop wordt gestolen, de opslagschijf wordt verwijderd van je Mac-computer of andere vormen van schijfgebaseerde aanvallen worden gebruikt om te proberen je gegevens in gevaar te brengen.
  • Bij apparaten met FV2 moet elk gebruikersaccount dat dat apparaat gaat gebruiken ook FV-compatibel zijn. Gebruikers die het veilige token niet aan hun account hebben gekoppeld, kunnen niet inloggen op de Mac totdat een gebruiker met FV zich authenticeert en de schijf ontgrendelt. Deze functie voorkomt dat onbevoegde gebruikers toegang krijgen tot de inhoud van de schijf, zowel lokaal vanaf de Mac als wanneer de schijf wordt verwijderd en aangesloten op een andere Mac. Dit is een populaire vorm van gegevensdiefstal.
  • Beide versies van FileVault houden zich aan het Vertrouwelijkheidsprincipe van de beveiligingstriade. Dit betekent dat gegevens niet alleen beveiligd zijn tegen ongeoorloofde bedreigingen, maar dat FV zich ook houdt aan de richtlijnen van het National Institute of Standards and Technology (NIST). De NIST is een Amerikaans overheidsagentschap dat, naast andere op normen gebaseerde programma's, richtlijnen uitvaardigt aan organisaties om risico's op het gebied van cyberbeveiliging te beheren en te verminderen. Hun werk aan de richtlijn SP 800-179, Revision 1biedt aandachtspunten op bedrijfsniveau op basis van best practices om de risico's te beperken en tegelijkertijd de beveiliging van Apple-eindpunten te versterken.
  • Het beheer van de toegang van gebruikers tot FV-apparaten met Jamf Pro is een triviale zaak. Voor degenen die de handmatige route willen volgen, kunnen beheerders gemakkelijk de Terminal gebruiken om beveiligde token-toegang van accounts per gebruiker in of uit te schakelen en/of wachtwoorden opnieuw in te stellen, indien nodig. Hieronder vind je de uitvoer van het commando 'sysadminctl' dat wordt gebruikt bij het beheer van de toegang per gebruikersaccount tot apparaten die met FileVault 2 zijn versleuteld:

Het implementeren en volledig beheren van FileVault 2 op je Mac-apparaten is supereenvoudig!

Het kost Jamf Pro letterlijk slechts drie stappen om volledige schijfversleuteling uit te rollen naar je hele vloot. Neem contact op met Jamf en begin vandaag nog met de beveiliging van je bedrijfsgegevens.

Photo of Jesus Vigo
Jesus Vigo
Jamf
Jesus Vigo, Sr. Copywriter, Security.
Schrijf je in voor het Jamf blog

Krijg markttrends, Apple updates en Jamf nieuws direct in je inbox.

Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.