https://opennet.me/openforum/vsluhforumID3/137362.html Опубликован релиз дистрибутива Parrot 6.4, основанный на пакетной базе Debian 12 и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены Live-сборки с окружением MATE, образы для виртуальных машин, образы контейнеров в формате Docker и сборки для плат Raspberry Pi. Сборки разделены на варианты для повседневного использования и тестирования безопасности. Дополнительно предлагается скрипт, позволяющий сформировать окружение Parrot поверх уже установленного дистрибутива Debian...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=63578<br> https://opennet.me/openforum/vsluhforumID3/137362.html#29 Sat, 19 Jul 2025 09:31:24 GMT &gt; В системе должно быть без разницы на дырявость загрузчика, systemd-stub/lanzaboote-stub <br>&gt; включают в себя параметры и подписываются вместе с ними, от загрузчика <br>&gt; в этом случае ничего не зависит.<br><br>Это если инит собран как UKI и грузится напрямую. А если используется загрузчик, то появляются риски.<br><br>&gt; Всё время забываю что на linux свои ключи не подразумеваются, потому что <br>&gt; всякие fedora подписаны в репозиториях.<br><br>Не знаю, что в Fedora, в обычном Линуксе (здорового человека) просто заменяют ключи (например, с помощью sbctl) и подписывают генерируемые иниты/UKI (например, с помощью Dracut - автоматически) после обновлений системы.<br><br>&gt; Если злоумышленний попытается загрузить у тебя на машине свой, уязвимый загрузчик, подписанный <br>&gt; ключами microsoft, то его замерит в TPM PCR#4, и соответственно диск <br>&gt; уже не сможет разблокировать.<br><br>Зависит от того, какие регистры пользователь попросил проверять для разблокировки диска. Вот тут-то и прячется дьявол.<br><br>&gt; твой основной загрузчик имел уязвимость, https://opennet.me/openforum/vsluhforumID3/137362.html#28 Sat, 19 Jul 2025 04:16:38 GMT &gt; Тогда загрузочный пароль UEFI обязателен. Иначе появляется риск подмены параметров ядра <br>&gt; для получения рут-консоли (init=/bin/bash или systemd.unit=multi-user.target) из-за <br>&gt; ошибочного использования Secure Boot. Например, когда подписанный загрузчик разрешает <br>&gt; редактировать параметры ядра<br><br>В системе должно быть без разницы на дырявость загрузчика, systemd-stub/lanzaboote-stub включают в себя параметры и подписываются вместе с ними, от загрузчика в этом случае ничего не зависит.<br><br>&gt; Ну и ключи и сертификаты (PK, KEK, db, dbx) должны быть персональные, <br>&gt; потому что "родные" ( платформенные) от производителей регулярно сбегают, а по <br>&gt; сертификатам от M$ уже открываются любые двери.<br><br>Всё время забываю что на linux свои ключи не подразумеваются, потому что всякие fedora подписаны в репозиториях.<br><br>Однако использование ключей microsoft ни на что не влияет в данном случае, система может быть безопасной даже с ними.<br><br>Если злоумышленний попытается загрузить у тебя на машине свой, уязвимый загрузчи https://opennet.me/openforum/vsluhforumID3/137362.html#27 Fri, 18 Jul 2025 18:11:16 GMT &gt; многие не хотят вводить ещё и пароль шифрования диска при загрузке.<br><br>Тогда загрузочный пароль UEFI обязателен. Иначе появляется риск подмены параметров ядра для получения рут-консоли (init=/bin/bash или systemd.unit=multi-user.target) из-за ошибочного использования Secure Boot. Например, когда подписанный загрузчик разрешает редактировать параметры ядра или даже загружать любые другие, в т.ч. неподписанные, программы. Из-за уязвимости или даже по умолчанию.<br>Ну и ключи и сертификаты (PK, KEK, db, dbx) должны быть персональные, потому что "родные" ( платформенные) от производителей регулярно сбегают, а по сертификатам от M$ уже открываются любые двери.<br> https://opennet.me/openforum/vsluhforumID3/137362.html#26 Thu, 17 Jul 2025 21:46:53 GMT &gt; Их функция защитить от подмены загрузчик<br><br>Ну и кроме этого всё же многие не хотят вводить ещё и пароль шифрования диска при загрузке.<br>Но да, полное шифрование со вводом пароля также защищают от сброса)<br><br> https://opennet.me/openforum/vsluhforumID3/137362.html#25 Thu, 17 Jul 2025 19:52:04 GMT LUKS (для раздела с корнем) достаточно, чтобы хэш пароля нельзя было прочитать/сбросить/сменить без знания пароля шифрования диска. SB+TPM тут лишние. Их функция защитить от подмены загрузчик (если есть) и ранний загрузочный образ ядра (initrd/initramfs/efi-stub) на нешифрованном boot/EFI разделе. Такая подмена сама по себе не раскроет данных на шифрованном диске, но может помочь злоумышленнику увести пароль шифрования во время ввода.<br> https://opennet.me/openforum/vsluhforumID3/137362.html#24 Wed, 16 Jul 2025 19:46:54 GMT &gt; Подобрать - проблемка, поменять примерно так: GRUB -&gt; Recovery mode -&gt; <br>&gt; Root -&gt; mount -no remount,rw / -&gt; passwd.<br><br>А, так ты про сброс. Удачи в таком случае, кому нужна защита от такого - у тех давно есть secureboot+tpm+luks/heads/подобное<br> https://opennet.me/openforum/vsluhforumID3/137362.html#23 Wed, 16 Jul 2025 08:08:33 GMT &gt;легко<br>&gt;тривиальная<br><br>Срочный репортаж с дивана.<br> https://opennet.me/openforum/vsluhforumID3/137362.html#22 Wed, 16 Jul 2025 03:42:38 GMT Мне птичка понравилась в виде конечноэлементной схемы. Сразу курсовая в курсе МКЭ по расчету панели крыла ЛА вспомнилась.<br> https://opennet.me/openforum/vsluhforumID3/137362.html#21 Wed, 16 Jul 2025 03:38:21 GMT Подобрать - проблемка, поменять примерно так: GRUB -&gt; Recovery mode -&gt; Root -&gt; mount -no remount,rw / -&gt; passwd. Как в Windows, рассказать?<br>