Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в Cryptsetup, позволяющая получить доступ к root ..., opennews (?), 15-Ноя-16, (0) [смотреть все] Ну как обычно, 1 (??), 10:23 , 15-Ноя-16, (2) +5 // Опять новость о прикольной беге Все как в старых виндах нажал эскейп в окне вх, rshadow (ok), 10:52 , 15-Ноя-16, (8) +4 // Я не знаю, что у меня всё хорошо Более того меня волнуют следующие моменты1 Ка, Чаёвник (?), 11:06 , 15-Ноя-16, (9) // 1 Читать мануал, luksAddKey luksRemoveKey luksChangeKey2 Если есть уверенность, dry (ok), 11:35 , 15-Ноя-16, (17) +7 Спасибо Как-то затупил и слёту про LUKS не нашёл был iLO IPMI iDRAC - сугубо ап, Чаёвник (?), 14:11 , 15-Ноя-16, (56) –1 ecryptfs-add-passphrase подойдёт Ещё можно через смену домашнего каталога с нов, Аноним (-), 16:51 , 15-Ноя-16, (62) +1 1 По методу Симпсона Пункт один - подойти, пункт два - сменить Это конечно, е, mine (ok), 11:40 , 15-Ноя-16, (18) +2 Если нужна реальная секурность, то никак , yummy (?), 11:45 , 15-Ноя-16, (22) +3 iLo чем не устраивает , Фкук (?), 20:17 , 15-Ноя-16, (68) Прошивку покажите И да, у меня знакомые разработчики IPMI firmware по крайней , Michael Shigorin (ok), 13:33 , 16-Ноя-16, (75) Да вот понимаешь, жила была фирма супермикро И запалилась на инженерном логине , Аноним (-), 10:01 , 17-Ноя-16, (95) +3 Dropbear SSH решит часть проблем, aluck (?), 11:51 , 15-Ноя-16, (24) Причем количество слотов вроде 8, Аноним (-), 11:55 , 15-Ноя-16, (25) Смотриhttp youngblog hoster-ok com smena-parolya-na-zashifrovannyh-cryptoluks-, Аноним (-), 12:16 , 15-Ноя-16, (29) Юзай deo encrypt Серверы будут бутаться по ssl ключам , Меломан1 (?), 19:02 , 15-Ноя-16, (65) Это еще какая-то проприетарная куйня, по типу http-ss и прочих ie-ee , Аноним (-), 02:43 , 17-Ноя-16, (85) Штатными средствами UPS Uninterruptible Power Supply и или SecureBoot Не испол, Аноним (-), 22:28 , 15-Ноя-16, (70) +1 , Michael Shigorin (ok), 14:15 , 16-Ноя-16, (76) UPS как раз и нужен, чтобы электричество не пропадало А SecureBoot при соблюде, Аноним (-), 16:14 , 16-Ноя-16, (78) –1 Для этого при на ночь в условиях I обычно I нужен уже дизель-генератор -- х, Michael Shigorin (ok), 16:55 , 16-Ноя-16, (79) Безопасность 8212 это всегда компромисс с удобством Тем, кому действительно , Аноним (-), 21:01 , 16-Ноя-16, (82) –1 Попробуйте , Michael Shigorin (ok), 00:52 , 17-Ноя-16, (83) +1 Зачем пробовать На двух серверах поднял, хоть и не без бубна, и оно уже год раб, Аноним (-), 22:16 , 17-Ноя-16, (96) –1 Olimex тут как-то писали что их сервер даунлоадов остался last man W server stan, Аноним (-), 02:54 , 17-Ноя-16, (86) +1 Если есть физический доступ, то ты не можешь быть уверен, что все хорошо 1 Подм, Аноним (-), 11:32 , 15-Ноя-16, (16) +4 Да, удобно было Пользователям А под линуксами аналогично, только нужно быть ус, Андрей (??), 00:45 , 16-Ноя-16, (72) –1 это полный привет Любой ребенок может взять мой ноутбук и взломать его, Анонимко (?), 10:25 , 15-Ноя-16, (3) –5 // Ребнок первым делом отломает экран , Аноним (-), 10:28 , 15-Ноя-16, (4) +18 если ребёнок может взять твой ноут, то он в любом случае может получить рута, пр, anonymous (??), 10:51 , 15-Ноя-16, (7) +4 // Согласен с вами Данные это не скомпрометирует А если злоумышленник имеет в рас, Анонимко (?), 11:58 , 15-Ноя-16, (26) // Если все носители зашифрованы ключом с количеством символов 40 , то пусть тырят , Аноним (-), 12:05 , 15-Ноя-16, (28) –1 А чем не угодили 10-12 символов PBKDF2 bcrypt вкупе с банальной комбинаторикой , Аноним84701 (?), 14:45 , 15-Ноя-16, (57) У пароля есть такая характеристика как стойкость качество Так вот, если вы берет, Аноним (-), 16:06 , 15-Ноя-16, (60) CODE 47383813383216168961786899102460170545314324772894377982282857730016017431, Аноним84701 (?), 16:58 , 15-Ноя-16, (63) +1 Все определяется ценой вопроса Никто не будет тратить 100 р за инфу в 1 р По вп, Аноним (-), 18:24 , 15-Ноя-16, (64) Предлагаю подсчитать цену на нужные ресурсы для подбора 26 мрд паролей в секунд, Аноним84701 (?), 19:25 , 15-Ноя-16, (66) +2 Вот тут чуток инфыhttps ru wikipedia org wiki Сложность_пароля, Аноним (-), 16:09 , 15-Ноя-16, (61) Интересно сработает если boot тоже зашифрован, когда grub запрашивает пароль , Ващенаглухо (ok), 10:51 , 15-Ноя-16, (5) +3 // Пароль Grub легко удалить, если есть любой livecd Примонтировал boot, удалил и, Леха (?), 11:11 , 15-Ноя-16, (11) если boot тоже зашифрован а как вы с этим живёте кто его расшифровывает пар, J.L. (?), 12:24 , 15-Ноя-16, (32) // видимо ответ тут https www opennet ru openforum vsluhforumID3 109646 html 19 g, J.L. (?), 12:33 , 15-Ноя-16, (35) А что означает while true do 100 done Что такое 100 , Аноним (-), 11:11 , 15-Ноя-16, (10) +5 // сто, anon5894 (?), 12:20 , 15-Ноя-16, (31) +14 // а 3 100 , KonstantinB (ok), 05:10 , 16-Ноя-16, (74) Это как сделать Первый раз слышу о таком , Аноним (-), 11:17 , 15-Ноя-16, (12) // Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем boo, EuPhobos (ok), 11:41 , 15-Ноя-16, (19) // Хм На вирт машине прям сегодня посмотрю Хотя остаюсь при совем мнении, что bo, Аноним (-), 11:46 , 15-Ноя-16, (23) // и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик читает и, J.L. (?), 12:27 , 15-Ноя-16, (33) В БИОСе можно явно указать - грузится с внешнего носителя Указать с какого имен, Аноним (-), 12:38 , 15-Ноя-16, (37) В результате атакующему остается лишь без палива сунуть мелкую флешку показывающ, Аноним (-), 06:07 , 17-Ноя-16, (88) +1 Интел уже убедился Что первым неизбежно запускается ME management engine и пр, Аноним (-), 06:11 , 17-Ноя-16, (89) +3 проблема в том что загрузочный сектор винчестера доступен для подмены при возмож, J.L. (?), 12:31 , 15-Ноя-16, (34) // И что вы получите на выходе при подмене Невозможность открыть , Аноним (-), 12:45 , 15-Ноя-16, (41) кейлогер вписанный в функциональность стандартного загрузочного сектора но навер, J.L. (?), 12:53 , 15-Ноя-16, (44) Уже тут договорились, что бутна внешнем носителе Камеры конечно бывают маленьки, Аноним (-), 13:11 , 15-Ноя-16, (49) А как этот grub запустится, если он сам зашифрован будет Или шифруется не веcь , Аноним (-), 01:08 , 17-Ноя-16, (84) –1 // груб запускается с мбр и ко, дальше предположительно он умеет спросить пароль и , JL2001 (ok), 15:14 , 19-Ноя-16, (98) Как они получаются Ну в шелл сбрасывает - может быть, но как под рутом Нихрена, Аноним (-), 11:19 , 15-Ноя-16, (13) –1 // аналогично этомуinit bin bashи получаешь инитрдешный шел под рутом зашифрован, J.L. (?), 12:37 , 15-Ноя-16, (36) +1 // Это валидно при условии что бутлоадер согласен тебя пустить в продвинутости Тот, Аноним (-), 06:15 , 17-Ноя-16, (90) Это в принципе не уязвимость как таковая Зашифрованные данные остаются зашифров, Аноним (-), 11:21 , 15-Ноя-16, (14) +3 // Тем не менее, атакующий может подпихнуть приблуду которая ему сольет твой пароль, Аноним (-), 06:17 , 17-Ноя-16, (91) update-grub не катит , Аноним (-), 11:24 , 15-Ноя-16, (15) +1 Это больше на закладку похоже , vantoo (ok), 11:45 , 15-Ноя-16, (21) –2 до кого-то ещё не дошло что boot должен быть на флешке в формфакторе позволяющ, J.L. (?), 12:19 , 15-Ноя-16, (30) // ладно, ладнодля умеренного уровня паранои наверно достаточно будет настроить био, J.L. (?), 12:41 , 15-Ноя-16, (39) // Опечатанный корпус предотвращает бесконтрольный доступ, а не сам доступ Что вам , Аноним (-), 12:49 , 15-Ноя-16, (43) // есть два варианта1 бут на внешнем загрузка явно с этого внешнего необходимо, J.L. (?), 13:01 , 15-Ноя-16, (46) В чем достоинство отсуствия флешки Вы на 100 контролируете защиту boot,без всяк, Аноним (-), 13:06 , 15-Ноя-16, (48) не потерять через дырку в карманеа чем вообще вариант груб2 luksboot на винчесте, J.L. (?), 13:44 , 15-Ноя-16, (53) Если за шифрованный диск - можно быть спокойным, то с boot не все однозначно , Аноним (-), 14:03 , 15-Ноя-16, (55) +1 Благородный дон происходит от крокодилов , ryoken (ok), 13:26 , 15-Ноя-16, (50) // Вроде бы, переваривать пластик не умеют даже крокодилы Многие пластики достаточ, Аноним (-), 06:20 , 17-Ноя-16, (92) А ещё надо быстро подключится по удаленке при пропававшем инете и съесть флешку , Аноним (-), 12:38 , 15-Ноя-16, (38) –2 // Нечего хранить инфу на удаленной машине И да, заминировать При отключении питан, Аноним (-), 12:44 , 15-Ноя-16, (40) // зачем вроде пока LUKS не ломали достаточно винчестер открывать по ключу с , J.L. (?), 12:49 , 15-Ноя-16, (42)   // Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине Тот кто получ, Аноним (-), 12:56 , 15-Ноя-16, (45)   ну это если говорить о вариантах с чтением памяти через перестановку после жидко, J.L. (?), 13:06 , 15-Ноя-16, (47)   Ещё вроде Ieee1394, которвй FireWire , ryoken (ok), 13:27 , 15-Ноя-16, (52) –1   А также PCI PCIe и прочие infiniband И таки да - есть девайсы которые сделав DM, Аноним (-), 06:29 , 17-Ноя-16, (93)   Как можно УДАЛИТЬ машину а, тьфу D, ryoken (ok), 13:26 , 15-Ноя-16, (51) // оффтопкак-то так http www ua all biz img ua catalog 1156254 jpegа это удален, J.L. (?), 13:48 , 15-Ноя-16, (54) Это же русифицированная терминология - бессмысленная и бессмысленная Любое новов, тоже Аноним (ok), 14:46 , 15-Ноя-16, (58) +4 Пиши ещё , Аноним (-), 21:45 , 15-Ноя-16, (69) –2 Да что писать об очевидном Любой человек, писавший курсовые и диплом, поневоле в, тоже Аноним (ok), 00:34 , 16-Ноя-16, (71) +4 Точно в cryptsetup, а не в чьих-то кривых дистрибутивных скриптах Не слышу хора , Michael Shigorin (ok), 19:50 , 15-Ноя-16, (67) Тут писали что можно шифровать раздел bootНе поленился и решил зашифровать Уста, Аноним (-), 00:50 , 16-Ноя-16, (73) –1 // Инсталлятор 8 6 перестал давать такое делать Надо 8 5 Предположу, что 8 5 не п, M (?), 14:36 , 18-Ноя-16, (97) Но ведь это же уязвимость в инициализационных скриптах дебиана, а никак не в cry, Аноним (-), 14:33 , 16-Ноя-16, (77) +1 16 11 2016 в ветке debian testing обновлены пакеты cryptsetup,cryptsetup-bin , Аноним (-), 17:26 , 16-Ноя-16, (81) Может ли система подписей UEFI-прошива - загрузчик - ядро обеспечить защиту от, marios (ok), 09:13 , 17-Ноя-16, (94) –1 2,3,5,10,12,13,14,15,21,30,38,67,73,77,81,94

Сообщения

[Сортировка по времени | RSS]

	42. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."	+/–
	Сообщение от J.L. (?), 15-Ноя-16, 12:49
	>>>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ? >> А ещё надо быстро подключится по удаленке при пропававшем инете и съесть >> флешку без запивки, по чесноку что-бы было. ))) >> А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика. >> ))) > Нечего хранить инфу на удаленной машине. > И да, заминировать. При отключении питания срабатывает механический взрыватель. зачем ? вроде пока LUKS не ломали... достаточно винчестер открывать по ключу (с паролем) и ключик уничтожать - пусть отапливают вселенную ломая, людям же надо получать зарплату а про то что в брянском болоте запрятан бекап ключика забывать под гипнозом заранее или вы считаете что ваш пароль уже соснифили (скрытой камерой) и теперь пришли уже за винчестером ?
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."	+/–
	Сообщение от Аноним (-), 15-Ноя-16, 12:56
	Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине? Тот кто получил к ней доступ с запущенной ОС, получил доступ к инфе в открытом виде.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."	+/–
	Сообщение от J.L. (?), 15-Ноя-16, 13:06
	> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине? > Тот кто получил к ней доступ с запущенной ОС, получил доступ к > инфе >  в открытом виде. ну это если говорить о вариантах с чтением памяти через перестановку после жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой доступ к памяти, или какой взлом запущенных на машине сервисов) тут уж никакие зашифрованные винчестеры не помогут, так что речь идёт только о варианте когда желающий не может получить доступ внуторь рабочей расшифрованной системы, а только как простой смертный через - ввод спертого пароля
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."	–1 +/–
	Сообщение от ryoken (ok), 15-Ноя-16, 13:27
	>> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине? >> Тот кто получил к ней доступ с запущенной ОС, получил доступ к >> инфе >>  в открытом виде. > ну это если говорить о вариантах с чтением памяти через перестановку после > жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой > доступ к памяти, или какой взлом запущенных на машине сервисов) Ещё вроде Ieee1394, которвй FireWire.
	Ответить | Правка | Наверх | Cообщить модератору

	93. "Уязвимость в Cryptsetup, позволяющая получить доступ к root ..."	+/–
	Сообщение от Аноним (-), 17-Ноя-16, 06:29
	> Ещё вроде Ieee1394, которвй FireWire. А также PCI/PCIe и прочие infiniband. И таки да - есть девайсы которые сделав DMA снимают к чертям блокировку экрана с компа. Для 1394 кто-то такой PoC делал, вытряхивая винду с экрана блокировки как будто пользователь ввел верный пароль. Разумеется пароль никто не знает - приблуда просто патчит код и процесс уверен что пароль введен правильно. Потому что ему код пропатчили. А кому мало - еще rowhammer есть. Даже, блин, rowhammer.js - даже вебстраничка может до кучи попробовать подолбить один и тот же адрес памяти. В надежде что битики перевернутся, после чего можно немного пропатчить память. Например память ядра. Убедив его сделать что-нибудь полезное атакующему. На js это конечно получается лажово и алгоритмы трансформации доступа у контролеров памяти разные. Но потенциально даже голимая вебпага может на всем что DDR3 и старее провалиться в kernel mode. Не говоря о нативных программах которые могут пытаться повысить себе привилегии гораздо наглее и потому потенциально успешнее. В ядре линя придумывают как этот хардварный баг вкостылить в софте. Ну там например попробовать через perf monitor получать прерывания о чрезмерных cache miss и вкостыливать это со стороны ядра, чтобы такой долбеж сорвался.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема