Acanthopanaxの日記: Mac OS X stores login/Keychain/FileVault passwords on disk 12
日記 by
Acanthopanax
MacSlashの記事と、そのもとになったbugtraqのメール。Mac OS Xでは、スワップファイルにパスワードを平文で保存する可能性があるので、
sudo strings -8 /var/vm/swapfile0 |grep -A 4 -i longname
(longnameは、長いユーザ名 [追記]ではなくてそのまま'longname'でした)で、パスワードが見えることがあるというもの。しかし、/var/vm/swapfile*をよむにはroot権限が必要である。ということで、それほど深刻ではないような気もする。KeychainやFileVaultのパスワードがバレるというのはアレだが。
ちなみに、自分の環境では再現できず。
[追記] "MacOS X can store passwords in the swap file in plain text."ということなので、表現を修正。
似たような話 (スコア:1)
『TaintBochsの研究がOSメモリの永続性に注目』 [linux.com]
「Rosenblumによれば、この問題とは、現代のOSには、機密データの寿命を制限する組み込みのメカニズムがないことだという。この結果、システムメモリ内に移動されたパスワードやその他の機密データが、ハードディスク上の特定の領域にスワップされ、数年間(ユーザーがこのハードディスクを処分したり、売ったり、交換したり、捨てたりすることになったときまで)残ってしまう可能性がある。」
Mac OS Xの件ですが,メモリーを潤沢に積んでいる時,以下のコマンドを実行すると,
[G3:~] chibaf% pstat -s
swapmode is not (yet) available under Mach
とメッセージを返すのですが,実際にはデフォルトでは起動時に/var/vm/swapfile0を作っています.しかし,ls -l で見ると,起動時に作るだけで,読み書きはしていないようにも思われます.(ちゃんとOS Xの勉強をしていないので,アレですが.)
[G3:/var/vm] chibaf% ls -l
total 156256
drwx--x--x 10 root wheel 340 Jun 8 21:45 app_profile
-rw------T 1 root wheel 80000000 Jul 13 07:16 swapfile0
[G3:/var/vm] chibaf% w
8:11AM up 55 mins, 2 users, load averages: 0.25, 0.31, 0.40
USER TTY FROM LOGIN@ IDLE WHAT
chibaf co - 7:17AM 54 -
chibaf p1 - 8:05AM 0 -
Re:似たような話 (スコア:1)
sudo strings -8 /var/vm/swapfile0 |grep -A 4 -i longname
は試してみましたが,平文でパスワードは出なかったです.ユーザー名6文字.もっと長い名前のアカウントはめんどくさいので作りませんでした^^;
swapfile0は結構いろんなものが入ってますね^^;.
Re:似たような話 (スコア:1)
出た……orz
ちなみに swapfile1 もありました。memory は 1GBytes
# swap するような作業をした心あたりはあったりする
昔、ノートPC でハイバネーションした残骸にも自分のパスワードを見た記憶があるので id (?)
Re:似たような話 (スコア:1)
Re:似たような話 (スコア:1)
>「普通」に
と,括弧を意味もなく付けてしまいました.特別な意味はありません.
Re:似たような話 (スコア:1)
ちなみに、
> UNIX系の大きなアプリケーションを1つ
といわれて、ふと、そーいや最近 Carbon Emacs つくりなおしたな、と思って再起動した上で make bootstrap してたんですが、大丈夫でした。
またスキャンするだけ雑誌が溜ったら試してみます
なんてやっているうちに表にストーリーが orz
Re:似たような話 (スコア:1)
あ、どうも情報ありがとうございます。
いろいろ情報が集まってきましたので、ここにうもれさせておくのも もったいないような気がして掲載してしまいましたです。そちらの方もよろしくお願いいたします。m(__)m
Re:似たような話 (スコア:1)
ちゃんとメモしておけば良かったです.実メモリーを食うのはGNU Octave, GCC(途中で Makeなげた)とかのMakeだったと思います.計測はtopコマンド.
現在,1024MBの実メモリーを積んだeMacをOS X10.3.4で動かしてます.Finder, Camino(Mozilla系ブラウザ), Mail, 英辞郎ビューア, ターミナルがDockで見えます.それからターミナルでtopコマンド.他はデフォルトで起動されるプロセスだと思います(含Classic環境,ファイヤーウォール).(自信無し)この状態でtopコマンドは以下の表示です.
PhysMem: 72.8M wired, 147M active, 209M inactive, 429M used, 594M free
VM: 4.52G + 81.1M
普段はこんな感じです.
Re:似たような話 (スコア:1)
惜しい。その行の pageouts を見ないと swap しているかわかんないですよ。
あと、ls -ul /var/vm で swapfile? が更新された時刻がわかります。
スキャンしなおし、ってのはめんどうなので PhotoshopElements で 70MB くらいの .PSD をどんどん開いていきながら並行して適当なプログラムを起動したり終了したり、ってのをやってみましたが、確かに再現しないこともあるようですね。3回やって 3回目は password を見ることができませんでした。
Re:似たような話 (スコア:1)
あと、ls -ul /var/vm で swapfile? が更新された時刻がわかります。
げげっ,よくわかんないで使っているのがバレバレ.
手もとにeMacが今はないので,768MBの実メモリーを積んだG3/DTをOS X10.2.8で動かして試してます.Finder, Camino(Mozilla系ブラウザ), Mail, 英辞郎ビューア, ターミナルがDockで見えます.それからターミナルでtopコマンド.他はデフォルトで起動されるプロセスだと思います(含Classic環境,ファイヤーウォール).(自信無し)この状態でtopコマンドは以下の表示です:
PhysMem: 50.0M wired, 105M active, 226M inactive, 381M used, 387M free
VM: 3.16G + 67.0M 11127(0) pageins, 0(0) pageouts
pstat -sが以下:
[G3:~] chibaf% pstat -s
swapmode is not (yet) available under Mach
wコマンド:
[G3:~] chibaf% w
9:29PM up 43 mins, 2 users, load averages: 0.65, 0.70, 0.69
USER TTY FROM LOGIN@ IDLE WHAT
chibaf co - 8:46PM 42 -
chibaf p1 - 9:19PM 0 -
ls -l /var/vm/swap*が以下:
l[G3:~] chibaf% ls -l /var/vm/swap*
-rw------T 1 root wheel 80000000 Jul 16 20:46 /var/vm/swapfile0
Re:似たような話 (スコア:1)
あと強調かなんかしとけばよかったんですが、ls に option u(l と併用)で最後にアクセス(しまった、さきのコメントでの「更新」はまちがいです X-)された時間が表示されます。
と、いうわけで「再現」させたときの状況はこんな感じです……またパスワード見ちゃったよ orz
% ls -l /var/vm/s*
-rw------T 1 root wheel 67108864 16 Jul 22:26 /var/vm/swapfile0
-rw------T 1 root wheel 67108864 16 Jul 22:48 /var/vm/swapfile1
-rw------T 1 root wheel 134217728 16 Jul 22:49 /var/vm/swapfile2
-rw------T 1 root wheel 268435456 16 Jul 22:54 /var/vm/swapfile3
% ls -ul /var/vm/s*
-rw------T 1 root wheel 67108864 16 Jul 23:12 /var/vm/swapfile0
-rw------T 1 root wheel 67108864 16 Jul 23:12 /var/vm/swapfile1
-rw------T 1 root wheel 134217728 16 Jul 23:12 /var/vm/swapfile2
-rw------T 1 root wheel 268435456 16 Jul 23:12 /var/vm/swapfile3
%
top のほうは
PhysMem: 82.8M wired, 515M active, 413M inactive, 1011M used, 13.0M free
VM: 4.72G + 81.9M 211523(0) pageins, 58809(3049) pageouts
こんな感じ。
Re:似たような話 (スコア:1)
なるほど、参考になります。MacSlashのストーリー [macslash.org]についているコメントによると、こういうデータをあつかうときはmlockでスワップアウトしないようにするのが正しいらしいです。
うーん、だれか詳しい人がタレコんでくれないかしらん。