sudo firmwarepasswd
macOS: Firmware-Passwort setzen
Markus Möller, Entwickler der WallsOfTroy-Applikation zur Anzeige der Apple bekannten Malware-Schädlinge, hat sich noch mal genauer mit dem Boot-Vorgang des Mac-Betriebssystems auseinandergesetzt und empfiehlt die Konfiguration eines Firmware-Passworts.
Gerade mit Blick auf des Mitte Dezember bekanntgewordenen FileVault-Angriff – ifun.de berichtete – mit dem sich die Passwörter verschlüsselter Festplatten über ein einfaches Thunderbolt-Gerät auslesen ließen, sollten Mac-Nutzer ihre Systeme durch ein zusätzliches Firmware-Kennwort schützen. Selbst wenn hier das gleich Passwort wie beim Login gewählt wird, so Müller, ist der Sicherheitsgewinn durch den sicheren Boot-Vorgang wertvoll.
[…] Wenn macOS selbst gestartet ist, ist kein DMA mehr möglich, weil macOS die I/O MMU (Input Output Memory Management Unit) verwendet, die angeschlossenen Geräten nur kontrollierten indirekten Zugriff auf den Hauptspeicher gestattet. Ulf demonstriert hier, daß er bei Linux und Windows sofort DMA nutzen kann, um mit einem externen PCIe Gerät den laufenden Kernel zu kompromittieren. Auf dem Mac muß er für denselben Hack erst die I/O MMU (VT-d) deaktivieren gemäß Apples Anleitung, indem er in den Recovery Mode bootet und dann die entsprechenden Boot Parameter setzt. Das läßt sich allerdings verhindern, wenn man ein Firmware Paßwort aktiv hat. […] Macht das Update auf 10.12.2, setzt ein Firmware Paßwort und genießt den sichersten Mac aller Zeiten.
Firmware-Passwort im Terminal setzen
Um ein Firmware-Passwort zu vergeben, reicht bereits der Abstecher in das Mac-Terminal. Wer hier den folgenden Befehl eingibt, kann ein persönliches Passwort festlegen und dieses mit einem anschließenden Neustart aktivieren.
sudo firmwarepasswd -setpasswd -setmode command
Aber Achtung. Das Firmware-Passwort solltet ihr nicht vergessen. Apple schreibt auf seiner Support-Seite zum Thema:
Wenn Sie ein Firmware-Passwort festlegen, wählen Sie eins, an das Sie sich erinnern können. Sie sollten es sich auch notieren, sodass Sie es bei Bedarf nachschlagen können. Wenn Sie Ihr Firmware-Passwort vergessen, müssen Sie Ihren Mac zu einem Apple Store oder autorisierten Apple Service Provider bringen, um den Mac entsperren zu lassen.