Hur säkra en Mac dator på absolut bästa möjliga sätt?

Hej.

Jag har en Mac som ag hanterar väldigt känsliga uppgifter på i mitt jobb. På en skala 1-5 så ligger känsligheten på en 4 skulle jag vilja säga.

Därför tänkte jag att vi kunde diskutera samt gå igenom alla säkerhetsdetaljer med målet att skydda datan på en Mac dator - kryptera allt som går att kryptera, och lite mer. Många använder idag Macs och jag ogillar känslan av att inte riktigt vara helt säker när jag jobbar på den.

Detta kör jag på just nu:

* Filevault FDE, lösenord 40 tecken med stora och små bokstäver, siffror och specialtecken.
* Truecrypt containers för dokument och journaler.
* OpenVPN för kommunikation, svenska providers (Mullvad, OVPN)
* YWNTMA som sätter datorn i hibernate istället för vila.
* Keepass för hantering av lösenord.

Men det känns fortfarande att jag går runt med en osäker dator. Anteckningar är jag väldigt paranoid över - så ett lösenordsskyddat program med möjlighet för textredigering önskas, även en för kalender samt planering hade varit super. Vad tycker ni?

Jag har aldrig känt mig osäker med PC, men eftersom Mac är en såpass låst plattform så vet man ju inte riktigt om man stärker kedjorna och missar den svaga länken.

Detta är väl målen jag personligen har, och skulle tro att många andra har samma mål, nämligen:

* Om datorn tappas eller blir stulen, eller beslagtagen, så skall det vara helt omöjligt, inte så gott som omöjligt - utan helt omöjligt att få tillgång till data. Utgångspunkten skall vara att resurser läggs för att få fram datan.
* Att kommunikationen är så säker som möjligt.

Hur gör ni för att säkra era Mac datorer? Diskutera på!

OT-frågor undanbedes.

Finns det något som förhindrar en keylogger som tar lösenordet för keypass exempelvis?

Det är väl bara att GPG-kryptera anteckningsfilen? Dock har du ju biten med att lösenord och nyckel eventuellt kommer finnas och definitivt vid något tillfälle kommer finnas tillgängligt på din dator.

Jag vet inte i vilken grad nyare påhitt kan skydda emot det.

Jag antar att virtuella maskiner kanske kan försvåra för något. Jag vet inte vad Truecrypt containers är, skall jag googla? =P Om det är virtuella maskiner eller bara filer som innehåller filer.

Jämförelsen med PC förstår jag inte. Vilken anledning har du att känna dig säkrare på PC? Ungefär samma saker borde du väl kunna göra på macen?

Vid stulen räcker väl krypterat filsystem? Vad skall de göra liksom?
Virtuell surfmaskin med keypass i eller varför inte TVÅ virtuella maskiner där den ena kör webläsaren och den andra kör keypass? .. Då är de ju åtskillda.

Jag använder inte OS X nuförtiden så det kan jag inte svara på.

Windows 10 skulle ju få ännu fler nya säkerhetsfunktioner.

Har för mig att lösenordet sparas i ramminnet i x minuter efter man stängt ner locket för att snabbt kunnas öppnas upp igen. Har man kunskaper och verktyg kan man tydligen under dessa x minuter komma förbi/få reda på lösenordet. Det går att ändra så att det inte sparas alls. Fast det kanske är det du gjort med YWNTMA?

Det är just detta jag inte vet. Jag tror inte keyloggers fungerar på Macs, då systemet är byggt på ett helt annat sätt. Men uppenbarligen finns det RATs som är kodade för att fungera just på Mac datorer, så det låter jag någon annan kunnig svara på. På PC finns det Keyscrambler, ett program som scramblar alla knapptryckningar, detta finns dessvärre ej till Mac. Truecrypt får du googla efter.

Jag har för mig att det är just detta YWNTMA åtgärdar, jag måste iallafall skriva mitt lösenord två gånger när skärmen släcks eller när jag stänger ner locket. Har satt 5 minuters inaktivitet innan den kickar in. Men det känns ändå inte säkert nog.

Jag ser inte alls varför superanvändaren eller delar av kärnan inte skulle få läsa av tangentbordet. Eller rättare sagt - Det är ju givet att de kan det. Själv har jag tyvärr ingen erfarenhet av systemen som låter en ge begränsad ytterligare / superuser-åtkomst så att säga så jag vet inte hur de fungerar. Rimligtvis finns det möjlighet att ge ett program som behöver superuser-åtkomst begränsad sådan men inte för att exempelvis kunna läsa av tangentbordet. Å andra sidan är ju det rimliga scenariot att keyloggern installeras antingen fullt medvetet och ges tillgång till saker och ting eller av någon som redan har rätt åtkomst.

Kan jag ju tycka. Nu vet jag inte hur troligt det är att du skulle få en keylogger men själv ser jag det som problemet med GPG iaf eftersom även om man säg har nyckeln på ett USB-minne så när man ansluter det så går det ju såklart att kopiera nyckeln och har man tillräckligt med åtkomst går det såklart att lyssna av tangentbordet. Tycker/tänker jag.

Huruvida det sedan är ett scenario du behöver oroa dig över. Och jag är dåligt insatt i hur nyare säkerhetslösningar försöker förhindra dylikt. Min kunskap där är ju gammal. På Amigan normalt hade man väl tillgång till allt minne och utan speciella system så är man superuser har man ju tillgång till allt.

Ville jag själv installera en keylogger någonstans där jag egentligen inte hörde hemma hade jag antagligen bara tryckt på en på USB-kabeln. Behöver ju inte vara administratör till datorn eller något för det.

Den krassa sanningen är ju dock att jag inte har kunskap om det där helt enkelt för att jag aldrig har behövt ha det. Mina system har inte varit tillräckligt viktiga och på ett privat med en användare känns det bara som att eländet är ivägen. Även om det säkert kan erbjuda lite säkerhet då också.

Tack för svar! Någon mer som vill tillföra?

Varför öht ha känsliga data på din lokala dator? Är det inte bätttre att de ligger på en server på jobbet som ni vpn'ar till eller kör någon form av fjärrklient?

Ser gärna att den här tråden hålls igång en lång tid framöver då detta är intressant för mig och säkert för många andra som arbetar med Mac ibland!

Ett tips man brukar ge OSX-användare är att gå in i Settings -> Spotlight, och avmarkera Suggestions och Bing (fler?). Detta har väl mer att göra med integritet än säkerhet, fast bra ifall man inte vill att Apple (och FRA+NSA) skall veta vad man har på hårddisken.

Little Snitch är en bra app som fungerar som en brandvägg och tillåter användaren att kontrollera alla utgående nätverkskommunikationer. Stark rekommendation på denna app, värt att betala en slant för fullversionen.


Har några frågor också...

Kan någon förklara vad YWNTMA är för något? Hittar inget när jag googlar, vad står det för? Länka gärna också till någon sida (eller nyckelord att googla på) där man kan läsa om det där att lösenordet sparas i minnet och olika sätt att skydda sig.

Keepass vs Lastpass, vilket är bäst enligt er?

Mvh

Ej möjligt i detta fall.

Hade visst stavat helt fel, YONTMA heter det. Länk och läsning: https://www.isecpartners.com/tools/a...ty/yontma.aspx

Keepass tycker jag mest om, men det kanske är en vanesak då jag använt den i flera år. Man kan välja att ha en keyfile i tillägg till lösenord, dvs, det går ej att öppna databasen med lösenordet utan filen. Filen kan du ha på USB-minne eller liknande. Kan vara vad som helst, en oskyldig bild eller en mp3 fil.

Har f.ö avbockat bing. Tack!

Mvh

När du inte berättar speciellt mycket om förutsättningarna är det svårt att komma med konkreta förslag. Gör en analogi med någon annan bransch än din egen så slipper du outa dig. Att som företagare spara känsliga data på en bärbar är inte så lyckat, är datat även viktigt är det än mindre lämpligt.

Utan analogier kan jag säga att jag ofta måste ha tillgång till datan offline, och att det hade varit ett stort problem om obehöriga fick tillgång till denna data. Tacksam för svar!

Mac verkar inte vara så populärt här på Flashback, någon som känner till andra forum som tar upp detta ämne?