안녕하세요. 도깬리 포렌식스 입니다.
오늘은 Macintosh의 보안 기능에 대해 알아보겠습니다. 모두 화이팅하세요!!!
설치디스크(Installation Disks)와 복구모드(Recovery Mode)
설치 디스크는 사소해 보이지만 보안 기능을 무력화 시킬 수 있는 키가 될 수도 있습니다.
Snow Leopard (v10.6)까지만 설치 디스크를 제공하고 있습니다.
Lion 부터 Recovery Partition과 Intel based recovery 기술이 도입되었습니다.
Mountain Lion (v10.8)부터 인터넷으로 다운로드 하여 설치하는 것 만을 허용하였습니다.
어떤 측면에서, Recovery Partition은 설치 디스크와 비슷하게 작동합니다.
사용자들은 앱 스토어에서 다운로드한 설치 패키지에서 선택된 파일을 복사함으로써 설치 USB 드라이브를 만들 수 있습니다.
내장형 보호기능(Levels of Protection)
맥 제품은 내장형 보안 기능(built-in levels of security and protection)을 제공합니다.
부팅 시점에 Mac을 비인가된 로그인이나 외부 저장장치로 부터의 부팅을 막기 위한 기반 기술로 Firmware Password 기술을 적용하였습니다.
각각의 사용자 계정은 로그인 패스워드를 할당받을 수 있습니다.
각 사용자는 패스워드, secure notes, 인증서, 키 등을 저장해 두어야 합니다.
어떤 어플리케이션은 인증 수단을 저장하기 위해 자체 보안 기능을 갖고 있기도 합니다.
시장에는 수많은 3rd 파티 보안 제품군이 존재합니다.
펌웨어 기반 패스워드(Firmware Password)
Firmware Password는 기본적으로 EFI (boot) 수준에서 동작합니다.
사용자는 기본적인 내장 디스크가 아닌 다른 디스크에 대한 부팅을 할 수 없게 됩니다.
따라서 Firmware Password는 포렌식 bootable CD/DVD, USB 메모리를 사용하는데 있어 방해요소가 됩니다.
Open Firmware Passwords는 PowerPC에서 찾을 수 있는데, Snow Leopard (v10.6)의 출시 때부터는 지원되지 않습니다.
Firmware Password는 Intel 칩이 장착된 Mac 제품에서 확인됩니다.
Firmware Password 설정은 설치 USB에서 찾을 수 있고, 경로는 Application > Utilities > Firmware Password Utility (10.7)입니다.
펌웨어 기반 패스워드 우회(Bypassing the Firmware Password)
일부 맥 제품에서 Open Firmware Password를 우회하는 것이 가능합니다.
메모리 모듈을 추가하거나 제거하기 위해서는 컴퓨터에 대한 물리적인 접근이 필요합니다.
COMMAND + OPTION + P + R을 이용하여 PRAM을 리셋합니다.
약 3초 정도 기다리면 재부팅하게 되고, 로그인 스크린을 볼 수 있게 됩니다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : MAC Forensics Training Event 2016 (IACIS)
'Mac Forensics' 카테고리의 다른 글
| [Mac Forensics] Macintosh 보안 기능 (3) (0) | 2023.10.07 |
|---|---|
| [Mac Forensics] Macintosh 보안 기능 (2) (0) | 2023.10.05 |
| [Mac Forensics] Boot Camp 이해하기 (0) | 2023.09.28 |
| [Mac Forensics] Command Line 기반 조사 방법 (0) | 2023.09.26 |
| [Mac Forensics] Macintosh File System (04) (0) | 2023.09.23 |