Para facilitar al lector, la versión corta:
MacBook Pro con Mountain Lion. Un usuario ha olvidado su contraseña de FileVault y el código maestro de recuperación. FileVault 2 es no habilitado, sólo el directorio personal del usuario está encriptado y existe como un paquete disperso. Podría descifrar el sparsebundle pero estoy teniendo problemas para obtener el hash. Lo único que quiero/necesito es poder descifrar la carpeta del usuario para poder acceder de nuevo a sus datos.
Por cierto, he visto en algún sitio que puedes hacer que Apple restablezca la contraseña de FileVault utilizando tu ID de Apple. ¿Es esto cierto cuando el cifrado de disco completo de FileVault 2 no está activado?
La versión larga:
Se trata de un Macbook Pro con Mountain Lion en el que el usuario ha cambiado su contraseña de usuario y no recuerda ni la contraseña original, ni la contraseña por la que fue cambiada. Todo lo que recuerdan de las contraseñas es que no eran palabras reales, ya que eran acrónimos de la primera letra de cada palabra de una frase (que tampoco recuerda), en minúsculas y mayúsculas y probablemente contenían algunos símbolos. Podía tener entre 4 y 9 caracteres. Para recuperar el acceso al ordenador, arranqué en modo de usuario único y me hice una cuenta de administrador, luego usé esa cuenta para cambiar la contraseña de acceso del usuario original. Ahora, cuando el usuario original se conecta con la nueva contraseña, se le dice que su contraseña de filevault no es su contraseña de inicio de sesión y que tiene que introducir la antigua contraseña antes de poder conectarse. El problema es, por supuesto, que no la recuerda. No conoce el código maestro de recuperación de Filevault.
Esto es lo que creo saber hasta ahora: Sería inútil descifrar la contraseña del usuario, puesto que ya se conoce. Todavía estoy un poco inseguro sobre los llaveros, pero sólo almacenan la contraseña actual, ¿correcto? Las contraseñas de acceso de usuarios anteriores no se almacenan en ningún sitio, ¿verdad?
Hablando de llaveros, tengo tanto las claves públicas como las privadas del llavero maestro de Filevault. ¿Hay algo que pueda hacer con ellas para desbloquear el llavero maestro de Filevault sin conocer la contraseña de Filevault? ¿O puedo usarlas de alguna manera para decodificar el sparsebundle?
El Macbook Pro está ejecutando OSX Mountain Lion pero filevault 2 NO está habilitado, sólo la carpeta de usuario está encriptada y existe como un sparsebundle. He cambiado los permisos para poder acceder al sparsebundle... por lo que entiendo podría intentar crackear el llavero master.filevault o el propio sparsebundle. Por algo que he leído, me hace pensar que el hash del sparsebundle podría estar sin salar porque es un Mac actualizado. Supongo que se refería a que fue calculado en una versión anterior de OSX que no salaba los hashes, pero no lo sé realmente.
Con respecto al llavero master.filevault, el hash está en texto plano, rodeado de ceros, ¿correcto? Supongo que no importa, ya que intentar descifrarlo sería muy difícil, ya que tendría que hacer fuerza bruta con letras mayúsculas y minúsculas, símbolos y caracteres de 4 a 9. Tengo un ordenador forense con 3xATI tarjetas de vídeo listo y esperando, pero dijo algo así como 320.000 años. (Pregunta al margen: ¿es posible usar una lista de diccionario como palabras que la contraseña NO será? La contraseña aquí, si lo recuerdas, era la primera letra de cada palabra de alguna frase así que definitivamente NO es una palabra inglesa o una variante de una).
Así que, supongo que voy a intentar descifrar el paquete de sparseimage; ¿alguien puede decirme cómo obtener el hash para ello? ¿Está realmente en /private/var/db/shadow bajo el GUID del usuario? ¿Es el hash de la contraseña del filevault para el usuario, o sólo de la contraseña de acceso del usuario? Lo que leí no era muy claro en ese punto y las instrucciones sobre cómo sacar el hash del archivo GUID eran algo confusas.
Lo que pregunto, supongo, es si alguien puede ayudarme; lo único que realmente quiero/necesito es poder descodificar la carpeta de usuario para poder acceder de nuevo a sus datos. Ya sea desbloqueando el llavero filevault.master, utilizando de alguna manera la clave privada y el certificado del llavero filevault.master para otorgar el acceso, descifrando la contraseña de la imagen sparsebundle o cualquier otra cosa, me da igual. Si sabes cómo puedo hacerlo, soy todo oídos.
Por cierto, he visto en algún sitio que puedes hacer que Apple restablezca la contraseña de Filevault utilizando tu ID de Apple. ¿Esto es sólo para el cifrado de todo el disco de filevault 2, o se aplica a todos los archivos/carpetas codificados con filevault? ¿Sólo funciona en Maverick? Me encantaría que esto fuera cierto, ya que su ID de Apple es quizás la ÚNICA contraseña que recuerda.
Cualquier ayuda será bienvenida- gracias de antemano por la respuesta ;)
