The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS


Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы [ Отслеживать ]

Оглавление

Проект Kryptonite развивает систему хранения закрытых ключей..., opennews (ok), 04-Май-17, (0) [смотреть все]

Сообщения [Сортировка по времени | RSS]


118. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –2 +/
Сообщение от пох (?), 04-Май-17, 20:54 
> Как-то всё наоборот. Я бы предпочёл пароли от телефонных аккаунтов и приложений
> хранить бы в некоем своём облаке. Обычному линуксовому компу я доверяю
> больше, чем телефону на андроиде.

там как бе основная фишка - крипто-дивайс. У тебя в обычном линуксном компе такой есть? (они так-то в принципе, есть, но и купить сложно, за невменяемые деньги, и, обычно, со странными api windows only. И чаще всего - облачным.)

> Даже банально потому, что у андроида кодовая база больше.

это, простите, что за бред?

> Если на компе не иметь открытых портов (ну или по минимуму)

если на андроиде не иметь не только открытых портов, но и вообще сетевых интерфейсов (старый nexus без gsm модуля, wifi выключить, тем более что он на старых сам не включается) - это представляется куда более реалистичным, чем ваш компьютер - вы им пользоваться-то вообще для чего-то собираетесь?

> , то какие способы проникновения на комп остаются? По
> ssh вряд ли.

google for ssh remote root, наивный ребенок.

> Если только в почтовом клиенте баг или в браузере.

или в bash, ага.

> А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше
> подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) --

ты на какой помойке свой комп-то нашел? У меня из андроидного нет разьве что gps (то есть есть, в столе лежит, но щас выключен) и компаса - очень сомневаюсь, что тебя поломают через gps, когда есть сеть.

> больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к

под андроид больше приложений чем под обычные x86 операционки? Изумительно. Да под них одних только троянов больше, чем приложений в гуглесторе.

> тому же, обожают лезть на свои серверы

и зачем ты это понаставил на телефон, и почему наивно думаешь что твой "десктоп" неуязвим для такого же точно?

> многие производители телефонов годами систему не обновляют при десятках известных CVE

многие производители матплат вообще никогда не собиралиcь "обновлять систему", а там, там...там-тадам: https://www.opennet.ru/opennews/art.shtml?num=46482

> (помните QuadRoots?), в то время как во всех нормальных дистрибутивах обновления
> выходят постоянно.

затыкая все новые и новые дыры.

> И вот на этом вот предлагается хранить ключи?..

если бы только это - это было бы нехудшим предложением.
К сожалению, в качестве токена телефон немного неудобен.


в общем, своего внутреннего параноика надо, конечно, кормить, но не одними ж глупостями.

Ответить | Правка | К родителю #114 | Наверх | Cообщить модератору

146. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от IZh. (?), 05-Май-17, 11:33 
> там как бе основная фишка - крипто-дивайс. У тебя в обычном линуксном компе такой есть?
> (они так-то в принципе, есть, но и купить сложно, за невменяемые деньги, и, обычно, со >странными api windows only. И чаще всего - облачным.)

Чем криптодевайс поможет при получении удалённого доступа к устройству, и аутентификации на сервере через тот же криптодевайс?

>> Если на компе не иметь открытых портов (ну или по минимуму)
> если на андроиде не иметь не только открытых портов, но и вообще сетевых интерфейсов (старый nexus без gsm модуля, wifi выключить, тем более что он на старых сам не включается) - это представляется куда более реалистичным, чем ваш компьютер - вы им пользоваться-то вообще для чего-то собираетесь?

Собираюсь. У вас много приложений на компе пользуются сетью, если не считать браузер и почтовый клиент? У вас GIMP подвержен MITM?

>> , то какие способы проникновения на комп остаются? По ssh вряд ли.
> google for ssh remote root, наивный ребенок.

И часто в ssh находились баги, позволяющие реально проникнуть в чужую систему? Именно проникнуть.

>> Если только в почтовом клиенте баг или в браузере.
> или в bash, ага.

Вы в bash скармливаете чужие скрипты? Чтобы поэксплуатировать уязвимость в bash'е нужно сначала как-то в систему проникнуть. Я говорил о браузере и почтовом клиенте как о приложениях, обрабатывающих сырые данные, поступающие из интернета. На обыкновенном компе таких пограничных приложений гораздо меньше, чем на телефоне. На телефоне чуть ли не каждое приложение лезет в сеть на тот или иной сервер.

>> А что с андроидными телефонами? Во-первых, банально больше драйверов, так как больше
>> подсистем, которых нет на компе (GPS, BlueTooth, камера и т.п.) --
>ты на какой помойке свой комп-то нашел? У меня из андроидного нет разьве что gps (то есть есть, в столе лежит, но щас выключен) и компаса - очень сомневаюсь, что тебя поломают через gps, когда есть сеть.

Ну, поехали. Стандартный телефон содержит в себе порядка 5-7 процессоров или других "вычислителей": application CPU, Communication Processor, camera DSP, audio DSP, RPM (resource power manager), TrustZone (не процессор, но отдельная операционная система). И у каждого из них своя прошивка со своими багами. Многие из них являются полноценными процессорами ARM, например RPM. У вас на компе это всё есть?

>> больше поверхность атаки. Равно как и больше неизвестных приложений, которые, к
> под андроид больше приложений чем под обычные x86 операционки? Изумительно. Да под них одних только троянов больше, чем приложений в гуглесторе.

Вы на комп ставите разные левый варез? Особенно, под Linux? В то же время, из Google Play народ ставит весьма сомнительные приложения сотнями.

>> тому же, обожают лезть на свои серверы
> и зачем ты это понаставил на телефон, и почему наивно думаешь что твой "десктоп" неуязвим для такого же точно?

Я не понаставил. Но у меня под Linux'ом больше возможностей добыть исходники приложений, чем в случае с андроидом.

>> многие производители телефонов годами систему не обновляют при десятках известных CVE
> многие производители матплат вообще никогда не собиралиcь "обновлять систему", а там, там...там-тадам: https://www.opennet.ru/opennews/art.shtml?num=46482

Я не говорю, что на компах абсолютно безопасно, и ломать там нечего. Но, на мой взгляд, безопаснее. Если взять именно обновления операционной системы, то все современные дистрибутивы оперативно выпускают обновления. Да, баги находят, но и исправляют. Это лучше, чем находить и не исправлять. В случае с компом, у вас, как правило, нет проблем, чтобы обновить линукс даже на компе 5-10-летней давности. В то же время с телефонами, срок поддержки девайсов, в лучшем случае, пара лет. Производитель, так уж и быть, самые критичные дыры исправит, и забивает на девайс, фокусируясь на разработке следующего. То есть, если не покупать новый аппарат каждые два года, нельзя быть уверенным, что всё в нём безопасно. К тому же, даже и в эти пару лет, обновления выходят не так оперативно, как в линуксе.

Ответить | Правка | Наверх | Cообщить модератору

150. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох (?), 05-Май-17, 13:11 
> Чем криптодевайс поможет при получении удалённого доступа к устройству, и

тем что хотя бы работает только в это время.
А в случае получения удаленного (или локального) доступа к твоему "десктопу" - ключики тигидам навсегда, и можно подождать пол-годика, пока ты решишь что ничего такого, показалось. Или успеть, наоборот, до того, как ты инвалидируешь их все и везде - это не телефон выключить.

> Собираюсь. У вас много приложений на компе пользуются сетью, если не считать

ты ужаснешься, сколько их. Практически каждый новый-модный шелл, к примеру, умеет пользоваться сетью (остальные вызывают nc ;-) Рекомендую как-нибудь, просто для самообразования, вместо линукса поставить *bsd, и, вручную, отслеживая экранный вывод, взгромоздить туда все те же пакеты, которыми пользуешься в линуксе. Тебя гарантированно стошнит от _сотен_ автоматических предупреждений "эта программа тащит в себе библиотеку гдетовlocal/чтото.so, которая может и предназначена для работать в качестве network server".

> браузер и почтовый клиент? У вас GIMP подвержен MITM?

gimp сам по себе, не говоря о десятке входящих в него 3-d party либ, вполне подвержен code exec, тыщи их было уже. После чего прекрасно сам построит mitm-safe туннель куда надо.
И таких "гимпов" у тебя- прямо вот начиная с твоего bash. Неудачно распаковал архив - поздравляю, шарик, ты балбес.

>> google for ssh remote root, наивный ребенок.
> И часто в ssh находились баги, позволяющие реально проникнуть в чужую систему?

да, слишком часто для сервиса такого уровня опасности. Один даже лично Ylonen оставил на память (правда, это был целый новый класс уязвимостей, о которых тогда просто не догадались - и это единственная такая ошибка в ssh1, но его-то еще руками писали, а не хвостами)

Кстати, на код для roaming я наткнулся, ковыряясь в ssh не очень тухлой bsd - похоже, нам все врали что он полностью удален после последнего инцидента. Нихрена там не удалено.

> Вы в bash скармливаете чужие скрипты?

в нем достаточно нажать tab невовремя, разглядывая распакованный tar (или даже нераспакованный).
http://www.opennet.ru/opennews/art.shtml?num=45997

> Чтобы поэксплуатировать уязвимость в bash'е нужно
> сначала как-то в систему проникнуть.

я и спрашивал - ты системой-то пользоваться собираешься? А то если нет - то и андроид неплохо защищен в представленном сценарии.
Такой вот получается огромный и неудобный токен. Но общедоступный, и, кстати, дешево.

> Я говорил о браузере и почтовом клиенте как о приложениях, обрабатывающих сырые данные,

ты очень фиговый эксперт. У тебя _все_ приложения внезапно могут обработать "сырые данные" - если ты вообще пользуешься компьютером для работы.

> обыкновенном компе таких пограничных приложений гораздо меньше, чем на телефоне. На
> телефоне чуть ли не каждое приложение лезет в сеть на тот или иной сервер.

на телефоне далеко не каждое приложение куда-то лезет, и тем более не каждое делает это опасным путем, а не через api "получить через гугля денег с лоха", неплохо защищенное от попадания денег лоха мимо кармана гугля.
Причем, приложения работают в сандбоксе, и поломав приложение не имеющее штатного доступа к крипто-дивайсу, никуда ты из него особо не дернешься, понадобится еще много чего поломать, последовательно, и быстро, пока хозяин не очухался - см первый абзац.

> Ну, поехали. Стандартный телефон содержит в себе порядка 5-7 процессоров или других

ох, а сколько всего интересного содержит "стандартный" писюк на baytrail - ты ужаснешься.
Причем доступ ко всему этому есть (через апи, конечно) у любого юзера, скажи спасибо всяким Console-kit, ненужноd и прочему хламу для альтернативно-одаренных пользователей, меняющему пермишны на ходу и без спросу или предоставляющему "сервис" в обход них.

> являются полноценными процессорами ARM, например RPM. У вас на компе это
> всё есть?

конечно. Для начала подумай, как это он у тебя вообще включается по нажатию кнопки на usb клавиатуре, или по таймеру, если процессор обесточен, вроде бы?
И еще иногда пресловутый AMT, отменяющий даже те слабенькие защиты, которыми нас облагодетельствовал интел.

> Вы на комп ставите разные левый варез? Особенно, под Linux? В то
> же время, из Google Play народ ставит весьма сомнительные приложения сотнями.

очень странный передерг. Я на комп, кстати, ставлю (потому что нелевый либо недоступен, либо не по деньгам, а жить как-то надо). А из гугл плей не ставлю, нахрен не нужно.
"народ" понаставит и туда и туда.

> Я не понаставил. Но у меня под Linux'ом больше возможностей добыть исходники
> приложений, чем в случае с андроидом.

от того что ты "добыл исходники", в твоем линуксе не меняется ровным счетом ничего. (если сайт с исходниками (любой из миллиона!) подменили или поломали, то еще ты добыл эксплойт для баша, ага)
А проверить эти исходники хотя бы на отсутствие заведомо вредоносных закладок (как будто просто ошибок недостаточно) - не в человеческих силах вообще.

> Я не говорю, что на компах абсолютно безопасно, и ломать там нечего.
> Но, на мой взгляд, безопаснее. Если взять именно обновления операционной системы,

взгляд совершенно неправильный. Поскольку мы мешаем мягкое с теплым.

> то все современные дистрибутивы оперативно выпускают обновления.

угу, и как там у редхата/центоси с CVE-2016-10229 в 6.x?  
оно, если что - allows remote attackers to execute arbitrary code
Ах, да - они только-только n_hdlc победили, полугодичной древности.

А первые пол-года и сраный китаец обновления выпускает - ко мне вот даже по воздуху прилетело, едва успел остановить.

> с компом, у вас, как правило, нет проблем, чтобы обновить линукс
> даже на компе 5-10-летней давности. В то же время с телефонами,

как правило, есть проблема - если этот линукс не для красоты стоял.

> срок поддержки девайсов, в лучшем случае, пара лет. Производитель, так уж

в случае с телефонами, никто не пользуется телефоном 10летней давности (кстати, зря - в 2007м были неплохие не-андроедо-based телефоны. Наверное, даже пресловутый гуглеаутентификатор на них работает, если вручную вбить код)
Да, надо вовремя избавляться от хлама, к счастью, он стоит $100 а не $1000 как минимально-приличный компьютер. (а если обзаводиться именно как токеном - то и за 2000ре с лейблом мегафон вполне можно - какая разница какую симку в него НЕ вставлять никогда)

Суммируя: вы - прекрасный образец человека, которому _нужно_ использовать предложенную технологию. Потому что в технологии разбираетесь из рук вон плохо. А эта штука, в целом, сделана хорошо и правильно. Векторы атаки есть, но они либо для гугля (_вам_ точно не гугля надо бояться) либо их в разы меньше чем в _вашем_ случае с писюком (в силу вашего очень слабого понимания, как и что там работает), и при удачном стечении обстоятельств эта штука вам поможет вовремя нивелировать атаку на писюк (вылезет предложение подтвердить аутентификацию, которую вы не инициировали - вот тут батарейку долой, и идем разбираться, откуда оно).

Ответить | Правка | Наверх | Cообщить модератору

173. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от Аноним (-), 05-Май-17, 18:31 
> угу, и как там у редхата/центоси с CVE-2016-10229 в 6.x?  

А что с ним не так? Я серьёзно спрашиваю, может я не в курсе.
https://access.redhat.com/security/cve/cve-2016-10229
https://access.redhat.com/solutions/3001781

Ответить | Правка | Наверх | Cообщить модератору

177. "Проект Kryptonite развивает систему хранения закрытых ключей..."  –1 +/
Сообщение от пох (?), 05-Май-17, 22:27 
> А что с ним не так? Я серьёзно спрашиваю, может я не
> https://access.redhat.com/security/cve/cve-2016-10229

04-19 - мгм...
баг всплыл в начале апреля (в смысле, о нем уже все узнали, а судя по cve некоторые знали сильно раньше), через пару недель осилили значить...
Я к этому времени уже потерял интерес к вопросу, хотя и удивлен, почему это в рассылке тихо.

Если "серьезно" - возьми да и приложи патч - если прилепится, будут вопросы к редхату. (мне интересно, с чего это они решили что неуязвимы, когда nvd считает иначе, но не настолько чтоб возиться - у меня, к счастью, нет редхатов в открытых сетях)

А пока у меня полный мэйлбокс писем про hdlc и dccp - это уже сколько, пол-года исполнилось или еще рано поздравлять? По hdlc (local root прямо сразу) даже для семерки фикс пришел 12 апреля, что-ли... Original release date: 03/07/2017

Ответить | Правка | Наверх | Cообщить модератору

180. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +3 +/
Сообщение от IZh. (?), 06-Май-17, 01:34 
А вы -- прекрасный образец задранного самомнения, любящий переходить на личности, и обвинять всех и каждого в незнании. ;-)

За 100 баксов будет хлам, а не телефон с поддержкой из Китая или Индии, и соответствующим уровнем сервиса. Хорошие телефоны от более-менее нормальных вендоров стоят дороже.

Обновления для телефона выходят часто раз в полгода, и это в лучшем случае. Сравните с частотой выхода обновлений обычного линукса.

Уж сколько раз было, что вендоры забывали обновлять телефоны, концентрируясь на новыз моделях. И речь не о десятилетних девайсах (это вы передёргиваете), а о стандартном сроке поддержки, который в большинстве случаев составляет 2, и лишь в редких -- 3 года. Через 3 года девайс превращается в набор дыр.

Наличие исходников меняет многое -- можно разобраться и пофиксить самому, в отличие от стоковой прошивки, защищённой от изменения при помощи Secure boot и всяких там root detection daemon'ов. Наличие исходников всегда лучше их отстутствия. Утверждать обратное, как минимум, нелогично.

На компе никто не отменял тот же MAC (хоть SELinux, хоть любой другой). Опять-таки, для браузера есть NoScript + AdBlock + Ghostery + Privoxy + ... А у вас на андроиде много браузеров с подобными аддонами?

Все приложения "сырые" данные не обрабатывают. Чтобы поэксплуатировать дыру в том же GIMP'е меня нужно сначала как-то убедить скачать картинку с эксплоитом, и зачем-то начать её редактировать. Очень, знаете ли, маловероятная атака. Равно как и ваш пример с tar-архивом. Я, вот, через mc файлы смотреть предпочитаю -- замучаетесь под меня подбирать эксплоиты и социальную инженерию, чтобы я сделал то, что нужно. А программ, получающих данные извне, на PC не так и много.

Что касается распаковки левих архивов, мне обычно хватает официальных пакетов.

Да, AMT -- зло. Но на телефонах это появилось гораздо раньше, и в большем количестве. Уже были новости про найденные бэкдоры в прошивках модема на самсунгах. Доверенное железо -- это отдельная тема. Но PC я доверяю больше, так как контролирую больше. На PC для особо параноидальных есть возможность зашить в BIOS свой модуль -- полно утилит, позволяющих раздраконить различные популярные BIOS'ы. В случае же с телефоном, secure boot на большинстве девайсов -- и фиг вы что своё зашьёте. Исходников нет. Образы Trust Zone и модема часто зашифрованы (что и не дизассемблируешь), и что там у них в голове происходит, одному производителю известно.

Что касается CVE-2016-10229, в нормальных дистрибутивах уже пофикшено. А в моём HTC 10 -- прошлогоднем флагмане --, который далеко не 100 баксов стоил, апдейтов что-то не видно. Ибо компания сейчас сосредоточена на HTC U -- следующем флагмане. И некогда им думать о каких-то CVE. И это HTC -- не последняя фирма.

(И уж если говорить о конкретно данной CVE, то, чтобы её поэксплуатировать, должно сойтись несколько условий:
1) Приложение, использующее MSG_PEEK (относительно редкий вариант -- все тупо мониторят сокет, и вычитывают, что пришло)
2) Буфер должен быть меньшего размера.
Вы так часто пишете? Соответственно, чтобы проникнуть таким способом на девайс, ещё нужно найти приложение, в котором UDP используется таким образом.)

Ответить | Правка | К родителю #150 | Наверх | Cообщить модератору

181. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +/
Сообщение от пох (?), 06-Май-17, 03:22 
> За 100 баксов будет хлам, а не телефон с поддержкой из Китая

я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохранить ключи от утекания?
> или Индии, и соответствующим уровнем сервиса.

то есть все же - понтoваться?

> Хорошие телефоны от более-менее нормальных

для озвученной задачи не нужен хороший. Нужен минимально-китайский - типа вон валяющегося у меня на столе (он, на самом деле, overpriced - где-то в столе лежит "мегафон", в девичестве m3sa - стоил аж тыщу рублей, новый, да, в мегафоне. Все, кроме tpm модуля, там есть. В том что за сто есть и модуль (хз как понять, умеет ли он им пользоваться) Апдейты, что характерно, первые пару лет тоже были, хотя и не по воздуху, четверка, кажись, так вообще не умела. Дальше ему полагалось быть либо разбитым, либо просто так выкинутым. Что, в целом, и слуцилась.

> Обновления для телефона выходят часто раз в полгода, и это в лучшем

для пресловутого мегафона они выходили раз в пару месяцев.

> случае. Сравните с частотой выхода обновлений обычного линукса.

мы про какие сейчас "обновления" - обоев? С обновлениями ядра я демонстрировал, хреново там все (и это редхат, который кормит своих кернельных разработчиков, а не дебиан какой, в котором ядро от vanilla неотличимо). bash можете не обновлять, андроеду он не нужен.
хром обновляется гуглем (и лиса тоже гуглем), поинтенсивней чем в "обычном линуксе", где надо ждать пока майнтейнеры почешутся (или ломать нахрен пакетную систему).
Ну, это если с телефона с ключехранилищем вообще по сети шариться, а не держать его в основном выключенным.

> Уж сколько раз было, что вендоры забывали обновлять телефоны, концентрируясь на новыз
> моделях. И речь не о десятилетних девайсах (это вы передёргиваете), а

это гражданин зачем-то озвучил как зримый для всех благий пример. Я на десятилетний компьютер тоже не всякий линукс стану обновлять (эмм...собственно, какого года у меня этот - 13го, наверное? Обновлению не подлежит, совсем. Сломается gpu, необратимо.)

> о стандартном сроке поддержки, который в большинстве случаев составляет 2, и
> лишь в редких -- 3 года. Через 3 года девайс превращается

повторяю: дивайс за $100 надлежит за эти два (даже не три) разбить, потерять или просто выкинуть и новый купить. С компьютером 2013го, что характерно, этого не сделаешь - и не 100, и, в общем, жалко.

> Наличие исходников меняет многое -- можно разобраться и пофиксить самому, в отличие

эмм, ну как обычно - много сам-то пофиксил? А вот упомянутый товарищ?

> от стоковой прошивки, защищённой от изменения при помощи Secure boot и
> всяких там root detection daemon'ов. Наличие исходников всегда лучше их отстутствия.

как минимум - наличие исходников упрощает хакеру поиск дыр.

> На компе никто не отменял тот же MAC (хоть SELinux, хоть любой

покажите мне того, кто им пользуется на личном компьютере, хоть домашнем, хоть еще каком?
targeted не показывайте - или перечислите реально используемые _вами_ на таком компьютере программы, для которых есть target. А то ведь окажется, что вы надежно защищены от чего-нибудь типа rsyslog.
Вот всяких install.html и README.md начинающихся с "первым делом отключите" я начитался тыщи. Но это про серверный софт, там есть таргеты.

> другой). Опять-таки, для браузера есть NoScript + AdBlock + Ghostery +
> Privoxy + ... А у вас на андроиде много браузеров с

и вы все это вот, конечно же, хотя бы бегло глазами пробежали, не добавляет ли оно вам больше проблем, чем решило? (особенно вот ghostery, учитывая реальный бизнес этой конторы)

> подобными аддонами?

не переживайте, у вас на десктопе тоже скоро не будет. Что там из них совместимо с модным-новым-гугловым типом расширений?

> Все приложения "сырые" данные не обрабатывают. Чтобы поэксплуатировать дыру в том же
> GIMP'е меня нужно сначала как-то убедить скачать картинку с эксплоитом, и
> зачем-то начать её редактировать.

то есть я и говорю - компьютером вы не пользуетесь.
> Очень, знаете ли, маловероятная атака.

если гимпом пользоваться по назначению - вполне вероятная. Если им не пользоваться вовсе, то, конечно, нет.

> Равно как и ваш пример с tar-архивом. Я, вот, через mc файлы смотреть

в нем уже встроенный tar-смотрельщик, а не экстеншн, запускающий тот же tar? ctrl-o, tab [выполняется $SHELL в pty] - для вас точно-точно в принципе невыполняемая комбинация?

> предпочитаю -- замучаетесь под меня подбирать эксплоиты и социальную инженерию, чтобы

тут и подбирать не нужно, mc - насквозь гнилой софт.

> я сделал то, что нужно. А программ, получающих данные извне, на
> PC не так и много.

_все_ программы на моем pc - получают "данные извне". Я не создаю данных, кроме вот писанины на сайте, которая после submit тоже превращается в "данные извне".

> Что касается распаковки левих архивов, мне обычно хватает официальных пакетов.

кто сказал, что официальный репо не хакнут/автор не поехал крышей/не получил предложение от которого нельзя отказаться?
Кстати, что вы только что бормотали про исходники - вы их тоже исключительно в официальных пакетах изучать собрались?

> Да, AMT -- зло. Но на телефонах это появилось гораздо раньше, и

да, зло - стоит, сссскотина, денег неприличных.

> в большем количестве. Уже были новости про найденные бэкдоры в прошивках
> модема на самсунгах.

где имение, а где вода? Опять же - вы играете в опасные игры с ФБР и ФСБ? Чтобы тот бэкдор использовать, надо сильно дружить с самсунгом, и иметь оборудование, вряд ли доступное частному лицу в нашей стране.
И да, уже были (и гораздо раньше истории с самсунгом) новости про скрытое ядро vm прячущееся в BMC китайского сервера (а других у вас нет) - хз зачем и что оно там делало.

> я доверяю больше, так как контролирую больше. На PC для особо

да ничего вы не контролируете, это вам кажется только.
> параноидальных есть возможность зашить в BIOS свой модуль -- полно утилит,
> позволяющих раздраконить различные популярные BIOS'ы.

популярные биосы десятилетней давности были блобом этак на пару пакованных мегабайт, успехов в дизассемблировании. Современный вы ни разобрать, ни понять в нем ничего вообще не сможете, благодаря новым модным интеловским технологиям, а размером он уже в десятки.

> Что касается CVE-2016-10229, в нормальных дистрибутивах уже пофикшено. А в моём HTC
> 10 -- прошлогоднем флагмане --, который далеко не 100 баксов стоил,

видите как плохо покупать дорогостоящие пoнты подорого? ;-)

> это HTC -- не последняя фирма.

китаец как китаец.

> (И уж если говорить о конкретно данной CVE, то, чтобы её поэксплуатировать,
> должно сойтись несколько условий:

я вообще не знаю, что за хрень может штатно ТАК работать (хотя для кого-то ж этот апи "понюхать пакет и запихать обратно в дырку откуда взяли" придумали), но - а кто сказал что "хрень" это делает не намеренно - и ее вы же сами и запустили?

> Вы так часто пишете?

каждый раз как пишу троянца, ага.

> нужно найти приложение, в котором UDP используется таким образом.)

оно само вас найдет, не переживайте.

до кучи - наберите netstat -ua и задумайтесь о грустном (я вот задумался. Нет, это нельзя выбросить, и верифицировать тоже. И оно кривое, это я хорошо знаю)

Ответить | Правка | Наверх | Cообщить модератору

183. "Проект Kryptonite развивает систему хранения закрытых ключей..."  +2 +/
Сообщение от IZh. (?), 06-Май-17, 12:39 
> я что-то не пойму - тебе пoнтоваться лопатой, или решить мелкую проблемку - сохранить ключи от утекания?

Мне бы в идеале один телефон.

> мы про какие сейчас "обновления" - обоев? С обновлениями ядра я демонстрировал, хреново там все (и это редхат, который кормит своих кернельных разработчиков, а не дебиан какой, в котором ядро от vanilla неотличимо). bash можете не обновлять, андроеду он не нужен. хром обновляется гуглем (и лиса тоже гуглем), поинтенсивней чем в "обычном линуксе", где надо ждать пока майнтейнеры почешутся (или ломать нахрен пакетную систему). Ну, это если с телефона с ключехранилищем вообще по сети шариться, а не держать его в основном выключенным.

Мы про обновления ядра. У меня, например, VPS есть на OpenSUSE, и обновления ядра прилетают в худшем случае раз в месяц-два. И всё остальное фиксится весьма оперативно, в отличие от устройсв Sony, HTC и др., коими доводилось пользоваться.

> это гражданин зачем-то озвучил как зримый для всех благий пример. Я на десятилетний компьютер тоже не всякий линукс стану обновлять (эмм...собственно, какого года у меня этот - 13го, наверное? Обновлению не подлежит, совсем. Сломается gpu, необратимо.)

13-го? Если бы это был телефон, вы бы уже три года без обновлений жили.

>> Наличие исходников меняет многое -- можно разобраться и пофиксить самому, в отличие
> эмм, ну как обычно - много сам-то пофиксил? А вот упомянутый товарищ?

Ну, допустим, некоторое количество моих патчей давно в апстриме, включая патчи на ядро линукса (при этом баги нашёл сам). А так, да, чайник-чайником.

> как минимум - наличие исходников упрощает хакеру поиск дыр.

Или поисх бэкдоров и аудит безопасности.

>> другой). Опять-таки, для браузера есть NoScript + AdBlock + Ghostery +
>> Privoxy + ... А у вас на андроиде много браузеров с
> и вы все это вот, конечно же, хотя бы бегло глазами пробежали, не добавляет ли оно вам больше проблем, чем решило? (особенно вот ghostery, учитывая реальный бизнес этой конторы)

Я говорю про то, чем пользуюсь, а не рассуждаю абстрактно.

> не переживайте, у вас на десктопе тоже скоро не будет. Что там из них совместимо с модным-новым-гугловым типом расширений?

У меня SeaMonkey, и я всем доволен. ;-) Ближайшую пару лет можно точно не беспокоиться.

>> Что касается распаковки левих архивов, мне обычно хватает официальных пакетов.
> кто сказал, что официальный репо не хакнут/автор не поехал крышей/не получил предложение от которого нельзя отказаться? Кстати, что вы только что бормотали про исходники - вы их тоже исключительно в официальных пакетах изучать собрались?

Верификация соответствия исходников бинарникам -- отдельная тема. Я говорил про разумный уровень недоверия. В первую очередь, я имел в виду атаки извне. А то, знаете ли, можно дойти до того, что начать выращивать еду в собственном огороде. А то вдруг в супермаркете кто-нибудь отраву подсыплет? Там-то у еды цифровой подписи нет.

Да, если придёт официальный апдейт с официальным бэкдором, то будет всё плохо. Но в этом мире приходится кому-то доверять.

>> параноидальных есть возможность зашить в BIOS свой модуль -- полно утилит, позволяющих раздраконить различные популярные BIOS'ы.
> популярные биосы десятилетней давности были блобом этак на пару пакованных мегабайт, успехов в дизассемблировании. Современный вы ни разобрать, ни понять в нем ничего вообще не сможете, благодаря новым модным интеловским технологиям, а размером он уже в десятки.

Полно разных утилит на биос-моддерских форумах. Там народ прекрасно раздербанивает их на модули, и, например, апгрейдит драйверы на старых материнках или добавляет поддержку RAID'а туда, куда официальный производитель добавлять не стал. Например, http://www.win-raid.com/t18f16-Guide-Manual-AMI-UEFI-BIOS-Mo...

>> Что касается CVE-2016-10229, в нормальных дистрибутивах уже пофикшено. А в моём HTC
>> 10 -- прошлогоднем флагмане --, который далеко не 100 баксов стоил,
> видите как плохо покупать дорогостоящие пoнты подорого? ;-)

Девайс, в целом, отлично выполняет свои задачи.

>> (И уж если говорить о конкретно данной CVE, то, чтобы её поэксплуатировать, должно сойтись несколько условий:
> я вообще не знаю, что за хрень может штатно ТАК работать (хотя для кого-то ж этот апи "понюхать пакет и запихать обратно в дырку откуда взяли" придумали), но - а кто сказал что "хрень" это делает не намеренно - и ее вы же сами и запустили?

Ну так и я о том. Вам сначала надо установить такое приложение, а потом ещё и получить такой пакет из сети. У меня, вот, на компе фаервол стоит.

> до кучи - наберите netstat -ua и задумайтесь о грустном (я вот задумался. Нет, это нельзя выбросить, и верифицировать тоже. И оно кривое, это я хорошо знаю)

Задумывался. iptables -- мой ответ. Плюс самописный детектор атак, который анализирует логи, и добавляет адреса в чёрный список. Первый скан портов или неверный пароль по ssh или попытка обратиться в каталог типа /admin/ на сайте -- бан на сутки, второй -- на две недели, третий и последующий -- на три месяца. И ежедневный отчёт на почту -- сколько забанено всего, и сколько новеньких сегодня.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру