asf@tumblr

Hoje em dia basta colocar a palavra Apple em qualquer manchete para atrair imediatamente uma legião de fanboys, trolls ou até mesmo leitores “normais” para o seu artigo, matéria ou post. 

Sinal do estrondoso sucesso alcançado pela companhia comandada por Steve Jobs. A criadora dos praticamente indefectíveis Mac, iPod, iPhone e iPad.

Agora a bola da vez no noticiário envolvendo a Apple é o software de recuperação de senhas da empresa Passware.

O Passware Kit Forensic 11.0 é um conjunto de ferramentas comercializado por $995 que dentre vários recursos promete “roubar” as senhas do usuário para liberar o acesso a volumes criptografados (teoricamente seguros). Isso seria possível em volumes que utilizam tecnologias como o BitLocker da Microsoft ou o TrueCrypt — mas para que seja viável a extração, algumas condicionantes precisam estar presentes, apesar do press release da Passware não deixar isso necessariamente explícito.

No entanto a mais “polêmica” das funcionalidades anunciadas para o Passware Kit Forensic 11.0 é sua capacidade de “roubar” a senha do usuário e permitir o acesso completo aos dados armazenados em Macs. Mesmo aqueles executando a versão mais nova e segura do sistema, o recém lançado Mac OS X 10.7 Lion.

O software da Passware conseguiria extrair a senha utilizando uma vulnerabilidade presente no projeto das portas Fireware, o acesso direto à memória (DMA).

A questão é grave porque essa característica do FireWire compromete a segurança de praticamente qualquer sistema operacional — felizmente existem formas de contornar o problema, como por exemplo fazendo modificações no suporte dado pelo sistema ao FireWire.

Voltando ao Mac OS X, eu acredito que (ainda confirmarei) a Apple fez alterações ainda no Snow Leopard que desativam o DMA no FireWire quando o sistema encontra-se em modo sleep, exibindo telas de login ou de bloqueio de sessão. Portando DMA no FireWire estaria ativado apenas durante uma sessão regular de uso. Em outras palavras, com o usuário legítimo sentado à frente do equipamento — atenção, se você permite logon automático no seu sistema ou o que é pior, abandona seu Mac desprotegido, o verdadeiro risco que você está correndo é de roubarem o seu equipamento e não apenas os dados armazenados nele.

Se confirmada a desativação do DMA nas condições descritas, isso inviabilizaria a exploração da vulnerabilidade de projeto do Fireware e consequentemente bloquearia o funcionamento da ferramenta da Passware.

Bem, eu fiz o download da versão demo do Passware Kit Forensic 11.0 e farei alguns testes por conta própria para confirmar ou refutar as afirmações do press release.

E por falar em informação de press release, nos dias que correm quase sempre isso parece ser o bastante para que algo vire notícia.

Atualização:

Apesar de não constar como limitação da versão demo (vide Demo Limitations), nela não está presente a opção ‘Additional Tools’ em ‘Hard Disk Encryption’, onde é possível gerar o USB flash drive (pendrive) contendo o ‘Passware FireWire Memory Imager’.

Segundo a documentação da Passware, o ‘Memory Imager’ é necessário para gerar o arquivo memory.bin com o conteúdo da memória da máquina alvo. Esse arquivo seria gerado utilizando a porta FireWire para acesso e seria gravado no USB flash drive junto com o ‘Memory Imager’ para posterior decodificação através da opção ‘Recover Mac Password’.

Como a geração do ‘Memory Imager’ não se encontra disponível na versão demo baixada do site da Passware, para comprovar a veracidade das afirmações do press release com relação a vulnerabilidade do Mac OS X para extração de senha do usuário através da porta FireWire, só me restam duas opções: pagar pela versão comercial (o que não tenho a intenção de fazer no momento) ou conseguir uma cópia do ‘Memory Imager’ com alguém que já tenha comprado a ferramenta da Passware.