Protegendo o seu Mac com uma senha adicional de firmware
O Mac OS X é hoje um dos sistemas operacionais mais seguros que existe, pois foi construído em cima de uma base Unix que lhe garante diversas camadas de proteção e uma hierarquia de permissões de acesso por usuário bastante profunda.
A menos que a pessoa saiba o que está fazendo, habilitar o “superusuário” — conhecido como root — nem é algo tão fácil assim. Além disso, muitos preferem usar o Mac diariamente com uma conta de usuário comum, que nem sequer tenha privilégios de administrador.
Todavia, tanta proteção também traz riscos, como a possibilidade de você esquecer a sua senha de acesso. Em casos assim, já mostramos em outro artigo aqui no MacMagazine como criar uma nova conta de admin, de maneira a recuperar os seus dados. Na ocasião, comentamos também sobre a forma tradicional de redefinir a senha de um usuário, usando o DVD do próprio Mac OS X. Já que o processo só foi citado, decidimos mostrar aqui como que a coisa funciona, de fato.
Resetando a senha de qualquer usuário no Mac OS X
Este procedimento pode ser feito tanto com o DVD de restauração da sua máquina (aquele original, que acompanha o Mac) quanto com um DVD convencional do Mac OS X Leopard.
Para isso, insira-o no drive e peça que o sistema reinicie pela mídia (é o mesmo que ligar a máquina pressionando a tecla C):
Quando chegar à tela de boas-vindas, não é preciso nem avançar no assistente.
Observe o menu que aparece no topo. Lá, você encontrará o Reset Password… em Utilities.
Aí, basta escolher o disco de inicialização desejado, selecionar o usuário no menu drop-down e escolher uma nova senha (com dica e tudo).
Simples, assim.
Protegendo a máquina com uma senha de firmware
Esta dica quem lembra é o leitor Takashi, porém só funciona com o DVD do próprio Leopard. Há alguns dias eu havia buscado a opção pelo DVD de instalação do meu MacBook Pro e ela simplesmente não aparece.
Não sei se você observou numa das fotos acima, mas o mesmo menu Utilities também oferece uma outra opção de segurança: Firmware Password Utility. Este nível de proteção existe no sistema operacional da Apple desde a sua versão 10.1, porém é desligado por padrão.
A funcionalidade requer que o Open Firmware 4.1.7 ou 4.1.8 esteja instalado em sua máquina; caso o seu Mac seja antigo, veja esta página e procure saber se não há algum update de firmware disponível. Os seguintes modelos de Macs podem usar o aplicativo Open Firmware Password:
- iMac G3 (Slot Loading) e adiante
- iMac G4 (Flat Panel) e adiante
- iMac G5
- iBook G3 e G4
- eMac
- PowerBook G3 (FireWire)
- PowerBook G4
- Power Mac G4 (AGP Graphics) e adiante
- Power Mac G4 Cube
- Power Mac G5
- Qualquer Mac com processador Intel
Recursos do Open Firmware Password
Para você ter uma ideia do nível de proteção proporcionado por este aplicativo, veja só a lista dos recursos trazidos por ele:
- Bloqueia a habilidade de usar a tecla C para iniciar por um disco óptico.
- Bloqueia a habilidade de usar a tecla N para iniciar de um servidor NetBoot.
- Bloqueia a habilidade de usar a tecla T para iniciar em Target Disk Mode (em computadores que ofereçam este recurso).
- [Somente Intel] Bloqueia a habilidade de usar a tecla D para iniciar do volume de Diagnóstico do DVD de instalação.
- Bloqueia a habilidade de iniciar um sistema em modo “Single-user” usando a combinação Command + S na inicialização.
- Bloqueia a redefinição de Parameter RAM (PRAM) usando a combinação Command + Option + P + R na inicialização.
- Bloqueia a habilidade de iniciar em modo “Verbose” usando a combinação Command + V na inicialização.
- Bloqueia a habilidade de iniciar em modo “Safe Boot” usando a tecla Shift na inicialização.
- Requer a senha para usar o Startup Manager, acessado pela tecla Option na inicialização.
- [Somente PowerPC] Requer a senha para entrar comandos depois de entrar no Open Firmware, acessível pela combinação Command + Option + O + F na inicialização.
Como habilitar o Open Firmware Password
O processo é até mais simples que resetar a senha de administrador: basta habilitar uma caixinha, digitar a senha desejada, confirmá-la e reiniciar a máquina.
Esta é tela que aparece pedindo para você digitar a sua senha de firmware, quando necessário:
Aos paranoicos de plantão, certamente é uma medida de segurança que traz mais tranquilidade, ainda mais se o Mac for um laptop, que anda pra lá e pra cá e pode cair em mãos indesejadas.
Aliás, a dica é ótima, também, pra controlar o uso de crianças que se acham espertinhas demais. ;-)
![Desenvolvedor brasileiro lança jogo Senha (Mastermind) gratuitamente na iPhone App Store [atualizado]](http://macmagazine.uol.com.br/wp-content/themes/arthemia-premium/scripts/timthumb.php?src=http://macmagazine.uol.com.br/wp-content/uploads/2009/10/21-senha-256x256.png&w=150&h=150&zc=1&q=100)
![Google testa nova interface de buscas, muito mais colorida [atualizado]](http://macmagazine.uol.com.br/wp-content/themes/arthemia-premium/scripts/timthumb.php?src=http://macmagazine.uol.com.br/wp-content/uploads/2009/11/25-google_visual01-550x358.png&w=80&h=80&zc=1&q=100)
Boa Dica!! Vou implementar essa senha de firmware no meu Macbook.
Excelente dica Rafael! :-)
Precisa demonstrar como desabilitá-la, caso alguém queria por ventura desabilitar ou vender se desfazer da máquina…
Simples demais, só desativar a função onde vc habilita.
Bem, tirando do site http://www.osxbrazil.com/blog sobre o que os caras que invadiram o OSX em 10 segundas afirmaram, leiam e tirem suas conclusões, é preocupante:
O Safari no Mac é mais fácil de exploit [do que o IE 8]. As coisas que o Windows faz para tornar isso (o funcionamento de um exploit) mais difícil, os Macs não fazem. Hackear em Macs é tão mais fácil. Você não precisa passar por diversos obstáculos e lidar com todas as mitigações antiexploit que encontraria no Windows.
É algo mais relacionado ao sistema operacional do que ao programa (alvo). O Firefox no Mac é bem fácil também. O sistema operacional subjacente não tem coisa antiexploit embutida nele.
Com o meu exploit para o Safari, eu coloco o código em um processo e sei exatamente aonde ele está indo. Não há randomização. Eu sei que, quando eu pulo ali, o código está ali e eu posso executá-lo ali. No Windows, o código pode aparecer, mas eu não sei onde ele está. Mesmo se eu chegar ao código, ele não é executável. São dois obstáculos que os Macs não têm.
Está claro que todos os três navegadores (Safari, IE e Firefox) têm bugs. Buracos de execução de código em todo lugar. Mas isso é apenas metade da equação. A outra metade é o exploiting. Quase não há obstáculos para pular no Mac OS X.
O entrevistador pede a Miller que diga, em uma escala de 1 a 10, o quão impressionante foi o sucesso de Nils em exploiting os três navegadores principais.
Eu fiquei surpreso. Para o IE 8, eu daria a ele 9 de 10. Para o Safari, talvez um 2. É simplesmente fácil demais estourar o Safari. Para o Firefox no Windows, eu daria um 10. Isso foi o mais impressionante dos três. É realmente muito difícil exploit o Firefox no Windows.
Entre todos os navegadores e sistemas operacionais, o alvo mais difícil é o Firefox no Windows. Com o Firefox no Mac OS X, você pode fazer o que quiser. Não há nada no sistema operacional do Mac que o impedirá.
Fiquei chocado quando vi que alguém se inscrevera para tentar o IE 8. Você pode conseguir muito mais grana do que US$ 5.000 por um desses bugs. Falei com um monte de pessoas inteligentes, com conhecimento, e ninguém sabe exatamente como ele fez isso. Ele poderia facilmente conseguir US$ 50 mil por essa vulnerabilidade.
Há bugs no Chrome, mas eles são muito difíceis de exploit. Tenho uma vulnerabilidade do Chrome neste momento, mas não sei como fazer o exploit. É realmente difícil. Ele tem esse modelo de sandbox, do qual é muito difícil de sair. Com o Chrome, é uma combinação de coisas – você não pode executar no heap, as proteções do próprio OS no Windows e o sandbox.
Para esse bug [do Safari no Mac OS X], eu daria um 5. Não porque o Safari no Mac seja um alvo mais difícil, mas por causa do tipo de vulnerabilidade. Não posso falar muito sobre isso (por causa de um acordo de não divulgação assinado com os patrocinadores da conferência), mas foi mais difícil achar o bug. Escrever o exploit para o Mac foi a parte fácil.
Dino [Dai Zovi] teve uma grande citação durante o seu discurso: “Escrever exploit no Mac é diversão. Escrever exploit no Windows Vista é trabalho duro.” Concordo totalmente com isso.
O Mac OS X Leopart não implementou randomização adequadamente, então é muito fácil conseguir fazer seu exploit funcionar.
O entrevistador pergunta sobre o exploit no Firefox no Windows, tão elogiado por Miller.
Deixe-me corrigir algo. Foi uma vulnerabilidade e um exploit no Firefox no Mac OS X. O bug afeta o Windows, mas, sinceramente, é muito mais difícil conseguir rodar comconfiança o código no Windows. Essa é a razão pela qual fiz meu ataque ao Firefox no Mac. Não tenho permissão para falar sobre isso, mas, para esse bug, conseguir o exploitation real no Windows é difícil por causa da Address Space Layout Randomization (ASLR) e da Data Execution Prevention (DEP). No Mac, eu podia dispará-lo e rodar o exploit facilmente.
Por essa razão, eu daria um 3 em termos de dificuldade. (…) No Mac OS X, não há ASLR ou DEP, então você pode simplesmente [estala os dedos], executá-lo, e ele funcionará.
Eu vim aqui com essa vulnerabilidade [do IE 8]. É outro bug legal, mas foi muito, muito difícil escrever o exploit por causa da ASLR e da DEP.
De qualquer maneira, em entrevista ao Tom’s Hardware, Miller diz que recomendaria Macs para osusuários comuns. A razão é simples e já foi discutida aqui:
Eu deixaria Linux de fora da equação, já que sei que a minha vó não conseguiria rodá-lo. Entre Mac e PC, eu diria que os Macs são menos seguros, pelas razões que já discutimos aqui (falta de tecnologias antiexploitation), mas estão mais a salvo, porque simplesmente não há muito malware por aí.
Com certeza Mac tem problemas, mas está longe das vunerabilidades do Windows … vc deve ter antivirus, antispyware, firewall, etc. Enquanto no Mac eu nao tenho simplesmente nada, e nunca tive problemas. Fora a solução de backup do Time Machine nativo do Mac OS, que não tem nada igual no ambiente Windows
Pois é, o problema é que o Mac ainda não é alvo dos ataques do HAckers, quando ele começar a ser alvo, acho que a situação vair ser preocupante se Apple não mudar algumas coisas no OSX….
Não acho que seja o caso de dizer que o Mac não é alvo de hackers, isso é uma afirmação um tanto exagerada pois basta conectar qualquer máquina à Internet (independente do SO) que ela se tornará um alvo praticamente de imediato.
Acontece que a maioria das explorações conhecidas e utilizadas (muitas delas automatizadas inclusive) exploram vulnerabilidades do Windows. E a maioria das máquinas com o Microsoft Windows estão sim vulneráveis, seja porque estão desatualizadas, seja por que existem deficiências na configuração padrão do sistema, além é claro de inúmeros bugs nos sotwares que compõem o sistema.
O Windows é um alvo preferencial porque existe mais máquinas com Windows, mas não é um alvo mais fácil por esse mesmo motivo. O Windows padece de problemas hstóricos de más escolhas quanto a arquitetura do sistema e desleixo quanto a qualidade do código e implementação de recursos. Isso é indiscutível.
Técnicas modernas de proteção como o ASLR são indispensáveis para manter o Windows seguro, o que não ocorre com Linux e Mac OS X. No entanto é altamente desejável que a Apple implemente logo taos recursos no Leopard, o mais rápido possível (suspeito que isso acontecerá com o lançamento do Snow Leopard e quem sabe pode até mesmo estar tendo algum impacto no cronograma de lançamento). Isso tornará o sistema realmente muito seguro.
Enquanto isso não acontece valem algumas regras/sugestões:
1- Ativar o firewall do Mac OS X no modo discreto (outras máquinas não podem vê-lo na Internet exceto quando é você quem inicia a conexão);
2- Manter o sistema atualizado;
3- Criar credenciais de usuário comum para usuários pouco experientes utilizarem o sistema no dia-a-dia;
4- Apenas instalar softwares que você vai realmente precisar/utilizar;
5- Tomar cuidado com links e conteúdo de fontes não confiáveis.
No mais é aguardar e pressionar para que o pessoal da Apple tome vergonha na cara e implemente um ASLR completo e outros recursos de segurança em profundidade no Mac OS X para que possamos ir além da confiabilidade padrão do UNIX.
Ehh na verdade seu Mac ja vem com Firewall no proprio Mac OS, vc so não deve ter deixado ele ativado!
A coisa mais fácil e retirar esta senha de firmware, não precisar ser técnico para retirar esta senha.
Retirar é fácil sim, mas corre grande risco de danificar a logic board, eu mesmo já retirei na força bruta mas não ensino nem aconselho fazer isso.
[]s
Como tira a senha de Firmware? Não precisa de explicação técnica, só queria saber o que envolve no processo.
Se você possui um MacBook, você manterá seus dados mais seguros ativando o FileVault (criptografia do seu home). E se possível, para dados realmente sensíveis, você pode ainda guardá-los em arquivos criptografados com algorítimos ainda mais fortes utilizando outras ferramentas (inclusive gratúitas) disponíveis na Internet.
Bom, a verdade é que quem quer um sistema protegido, com Mac OS X você consegue. E não estou falando de proteção contra virus e esse tipo de coisa. Estou falando de proteção dos seus dados caso seu Mac seja roubado ou algo assim.
Vamos pensar:
- Você pode colocar senha para seu usuário, desativar o login automático, colocar 1 minuto para proteção de tela e exigir senha ao despertar
- Você pode colocar senha no firmware para que ninguém chegue com um DVD, dê boot e acesse seus arquivos
- E por fim… você pode criptografar TODO HOMEDIR nas preferências de sistema. Preferências de Sistema > Segurança > FileVaut
Então acho que alguém pode falar que dá pra quebrar essa senha aqui, dá pra quebrar aquela, etc. Mas usando as 3 opções acima, realmente dará MUITO trabalho para alguém conseguir recuperar algum dado, penso eu.
Acho que o Mac OS é seguro, mas nem tanto. Por exemplo, fazer um usuário padrão se transformar em usuário administrador é relativamente simples. Não recomendo fazer porque pode prejudicar o sistema se fizer alguma caca no meio do caminho.
Mas para fazer isso você precisa previamente de acesso administrativo. Exatamente como ocorre em qualquer outro sistema.
E se eu for roubado, tem como o ladrão tirar a senha?
acho meio impossivel, ja que essa senha é gravada no chip que mantem guardada a firmware.
Rafael, só um rápido conselho pra tirar fotos melhores nessas horas: não use zoom nem deixe a câmera em modo grande angular (o que acho que deve ter causado esse efeito curvo) e faça uso de um tripé bem alinhado ao monitor.
ah, e lembre-se de não usar flash. Nessas circunstância, o melhor é ter uma boz luz indireta e desativar o flash (ex: luz do dia refletida pelas paredes do ambiente) – vá por mim! E não se esqueça de fazer uns ajustes legais pras cores ficarem mais fiéis – recomendo os filtros da Kodak pra Photoshop, mas algo mais básico também é válido. ;)
Espero ter ajudado, Fisch!
não é correto dizer que o Mac OS é um dos mais seguros SOs que existem. ele definitivamente não é mais seguro que uma distribuição Linux e está atras em recursos de segurança que o próprio Windows Vista e Vista Light (=Windows 7). o Mac OS X está longe de implementar os mecanismos estado-da-arte em segurança.
o próprio resultado na PWN2OWN 2009 – já comentado – mostra o quanto o Mac OS pode ser invadido com facilidade.
felizmente, a maneira como o Mac OS e o Linux tratam o super-usuário colaboram bastante para tornar o ambiente com um uma mínima segurança que o Windows não provê. e a usabilidade dos recursos de segurança do Mac OS/Linux dá um banho no Windows. mas a *segurança por projeto* do Mac está aquém do Windows. infelizmente.
e a Apple continua não fazendo o dever de casa. há anos tem sido RELAPSA com as atualizações de segurança do Mac OS.
estou comentando isso, pois não podemos continuar difundido uma imagem que não é verdadeira. se não usamos anti-virus, uma das razões é porque o Mac OS ainda não é um vetor de infecções suficientemente interessante (em termos de bases de usuários).
Correção:
Nenhum dos sistemas foi invadido com facilidade, foram meses de trabalho para conseguir isso. Não confunda a velocidade com que a invasão se concretizou com simplicidade ou facilidade. Esse é um equívoco comum para um leigo.
Além do mais, os participantes eram especialistas que ganham a vida com isso, segurança da informação. Não se esqueça desse detalhe e como um deles mesmo deixou claro, para comprometerem os sistemas foi necessário um trabalho árduo e demorado.
Cuidado para não compreender errado as coisas e passar uma impressão equivocada do que realmente elas representa,
Em resumo:
1- UNIX é em geral mais seguro que Windows do ponto de vista da arquitetura;
2- Um sistema atualizado é fundamental;
3- Não dá para usar Windows sem contra-medidas adicionais (anti-isso e anti-aquilo), Mac e Linux dá;
4- Informação e importante;
5- Não seja ingênuo e vá instalando e clicando em tudo que aparece pela frente;
6- A Apple precisa fazer o dever de casa e elevar a qualidade do OS X incorporando contra-medidas nativamente na configuração padrão do Leopard (já está passando do tempo para que isso aconteça).
Para finalizar: eu não troco meu Mac por nenhum PC. Prefiro OS X e Linux a qualquer versão do Windows (com ou sem ferramentas de proteção).
Concordo contigo no que diz respeito às medidas de segurança do OS X, achei vacilo da Apple desabilitar o Firewall por padrão no Leopard, e também achei meio o método de configuração simplista demais, preferia como era no Tiger.
Agora discordo da afirmação que não dá pra usar Windows sem contra-medidas adicionais, não tenho o costume de usar anti-spyware e nem mesmo anti-vírus, apenas instalo o AVG de 3 em 3 meses e nunca encontrei nada, mas concordo que é necessário um baita dum auto-policiamento e um conhecimento técnico razoável, que a maioria dos usuários de Windows não tem.
Guilherme,
O Leopard introduziu um firewall de aplicação por isso a interface de configuração mudou. No Tiger havia apenas o firewall de pacotes dos BSD's, o ipfw, que inclusive continua disponível no Leopard para quem quiser utilizar em conjunto com o novo firewall.
Simples não quer dizer pior nem mesmo menos eficiente. Para o novo firewall do Leopard bastam as três opções disponíveis na interface mesmo, o resto o sistema dá conta de fazer sozinho.
Quanto a impossibilidade de utilizar Windows sem contra-medidas, ela é real. Isso independe de você ter optado ou não por manter um anti-malware de terceiros instalado. As próprias atualizações de sistema que a MS disponibiliza mensalmente implementam contra-medidas além de correções de bugs em software e a existência de recursos como o ASLR no sistema também podem ser considerados como tal.
Agora quanto a não utilizar ferramentas anti-malware, essa decisão com certeza te impõe algumas limitações. Um exemplo simples disso, certamente você não vai utilizar o sistema com a conta adminstrativa padrão da Microsoft e ao fazer isso uma série de programas não funcionarão corretamente pois dependem de privilégios que apenas o administrador possui. Você pode até tentar utilizar uma conta como "power user", porém mesmo fazendo parte deste grupo alguns softwares não funcionarão corretamente o que limita aquilo que você pode fazer no sistema.
Não há uma solução simples e imediata para isso, mesmo o UAC no Windows Vista não dá contado recado completamente, os problemas são fruto da negligência e falta de cultura de segurança da Microsoft que durante anos não adotou boas práticas e isso contaminou os desenvolvedores de software para a plataforma Windows através de SDKs e API mal-projetados e documentação escassa sobre o tema. Certamente nos útlimos anos a Microsoft vem tentando recuperar o tempo perdido, mas existe uma quantidade enorme de software, por exemplo softwares de bancos, do fiscos municiais, estaduais e federal, etc, para os quais não há previsão de modificação no horizonte.
ahhh meu MacBook Pro, que saudades dele!!
Na verdade eu deixo habilitado sim … mas estou dizendo que geralmente no Windows usamos 1 firewall que vem junto com o antivirus, e nao o proprio do windows
O FileVault, apesar de não ser perfeito, é a melhor opção para proteção de dados sensíveis. Já o Firmware Password não deve ser usado com essa finalidade específica, pois é muito simples desabilitá-lo.
Para quem quiser mais informações sobre o FileVault e segurança:
http://www.mbeinformatica.com.br/blog/2008/08/14/...
Abs
Para retirar a senha de firmware e muito facil, basta retirar uma das memórias rams de seu Mac, caso ele tenho 2GB no caso 2 pentes de 1GB, retire um desses e ligue a maquina, vuala, sua maquina está sem senha de firmware. Este processo não afeta a logic board.
Até por que eu trabalho em uma assistencia Apple.
Não preciso de acesso administrativo. Faço isso sendo um usuário padrao.
Se você usa o sudo para isso, você já pertence ao grupo de usuários com privilégios diferentes do usuário normal.