The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обход шифрования диска в Linux через непрерывное нажатие клавиши Enter

02.09.2023 10:53

Майкл Финчем (Michael Fincham) из компании Pulse Security выявил уязвимость в реализации механизма автоматической разблокировки полнодискового шифрования, позволяющую при наличии физического доступа к компьютеру выполнить свои команды с правами root на раннем этапе загрузки, вручную снять блокировку с шифрованного диска и получить полный доступ к информации, хранимой на дисках. Уязвимость затрагивает Linux-системы в которых используются формат шифрования LUKS (Linux Unified Key Setup), механизмы защиты ключей на базе TPM (Trusted Platform Module) и компоненты Clevis, dracut и systemd для организации автоматической разблокировки во время загрузки.

Метод атаки напоминает выявленную в 2016 году уязвимость в пакете Cryptsetup, позволявшую получить доступ с правами root в командную оболочку начального загрузочного окружения при удерживании клавиши Enter в ответ на запрос ввода пароля для разблокировки зашифрованного раздела. Новый вариант атаки был выявлен после проверки как отреагирует система, если генерировать нажатия Enter не вручную, а при помощи эмулятора клавиатуры, обеспечивающего минимально возможную задержку между нажатиями. Для проведения эксперимента был собран USB-брелок на базе микроконтроллера Atmel ATMEGA32U4, непрерывно симулирующий нажатие Enter c задержкой на уровне 15 миллисекунд, что примерно в 10 раз быстрее, чем при удерживании клавиши на обычной клавиатуре.

Успешная атака продемонстрирована в удовлетворяющей вышеотмеченным требованиям конфигурации на базе Ubuntu 20.04, которая применялась одним из клиентов Pulse Security. Подобные конфигурации на базе фреймворка Clevis и хранения информации для расшифровки ключей в TPM обычно применяются, когда необходимо обеспечить шифрование дисков на удалённых серверах, на которых нет возможности после каждой перезагрузки вручную вводить пароль для разблокировки зашифрованных дисков. При этом помимо автоматизированной разблокировки в подобных системах остаётся и возможность ручного ввода пароля разблокировки зашифрованного раздела, которая оставлена на случай сбоя автоматизированного процесса разблокировки.

Атака сводится к тому, что злоумышленник может подключить устройство для симуляции непрерывного нажатия Enter, откатить процесс загрузки на ручной ввод пароля разблокировки и успеть исчерпать максимальный лимит на число попыток ввода пароля в небольшой промежуток времени до окончания выполнения обработчика автоматической разблокировки (автоматическая разблокировка требует времени и симулируя очень быстрые нажатия Enter можно успеть завершить выполнение процесса ручной разблокировки раньше, чем отработает параллельно запущенный процесс автоматической разблокировки). Systemd, получив управление после неудачных попыток ручной разблокировки, не сможет получить доступ к файловым системам на зашифрованных дисках, предложит перейти в режим восстановления после сбоя и предоставит доступ к командной оболочке с правами root в окружении загрузочного ram-диска.

Далее, так как информация для расшифровки ключей хранится в TPM, атакующий, сохраняя за собой доступ с правами root, может инициировать штатный процесс автоматической разблокировки зашифрованных дисков при помощи инструментария Clevis и примонтировать корневой раздел из зашифрованного диска.

В качестве возможной меры для защиты от атаки рекомендуется выставить при загрузке параметры ядра rd.shell=0 и rd.emergency=reboot, при которых в случае сбоя на раннем этапе загрузки будет выполнена автоматическая перезагрузка, а не переход в интерактивный сеанс.

  1. Главная ссылка к новости (https://pulsesecurity.co.nz/ad...)
  2. OpenNews: Уязвимость в Cryptsetup, позволяющая получить доступ к root shell
  3. OpenNews: Уязвимость в GRUB2, позволяющая обойти блокировку загрузки паролем
  4. OpenNews: Представлены исходные тексты для совершения атаки методом холодной перезагрузки
  5. OpenNews: Утечка пароля от шифрованных разделов в логе инсталлятора Ubuntu Server
  6. OpenNews: Уязвимость в cryptsetup, позволяющая отключить шифрование в LUKS2-разделах
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59702-luks
Ключевые слова: luks, boot, linux, crypt, clevis, darcut
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (298) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:01, 02/09/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –4 +/
     

     ....ответы скрыты (2)

  • 1.3, Аноним (3), 12:02, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    В чём смысл TPM, если с его помощью система просто загружается без ввода пароля?
     
     
  • 2.4, Аноним (8), 12:04, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не взломав систему, не получишь доступ к данным на диске. Если просто вынуть диски, данные не извлечь.
     
     
  • 3.7, Аноним (7), 12:11, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Сломалась материнка - прощай инфа на диске?
     
     
  • 4.9, Аноним (8), 12:13, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Сломалась материнка - прощай инфа на диске?

    На этот случай есть пароль для ручной разблокировки.

     
     
  • 5.78, bergentroll (ok), 15:36, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +9 +/
    «На этот случай у меня есть проездной!»
     
  • 5.87, Аноним (87), 15:58, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тогда в чём смысл TPM?
     
     
  • 6.103, Аноним (-), 17:42, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Тогда в чём смысл TPM?

    Ну как, без него атакующий в систему не попал бы. Бэкдор успешно выполнил свою функцию, предоставив ключ атакующему :)))

     
  • 6.136, Shevchuk (ok), 20:38, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В том, чтобы не быть ограниченным _только_ ручным вводом.

    Да-да, в свете этой новости: "ну как поплавали?" Речь об идее.

     
  • 3.17, Аноним (17), 12:32, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему?
    Если я их в другой системе попробую примонтировать,
    появится диалог ввода пароля. Если знаете пароль, вводите
     
     
  • 4.132, Dmitry22333 (ok), 20:11, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я слышал что была такая игра, там штангист поднимает штангу, и чем чаще нажимается Enter тем больший груз он поднимает :)

    а если с USB брелком как описан в посте - можно будет тонны поднимать одной рукой :)

     
  • 3.217, Страдивариус (?), 09:49, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Если просто вынуть диски, данные не извлечь.

    А нельзя, вынув диск, подключить в материнку свой диск, загрузиться с рутом и просто извлечь из TPM ключи и потом расшифровать вынутый диск?

    Я не понимаю модель нарушителя, для которого эта затея сделана.

     
  • 3.291, погроммист (?), 16:41, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Не взломав систему

    Ну т.е. если не брать всякую биометрию, то всё равно пароль нужно вводить, просто позже -- на этапе login manager-а.

     
  • 2.6, Аноним (-), 12:09, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +14 +/
    > В чём смысл TPM, если с его помощью система просто загружается без ввода пароля?

    В данном случае видимо наглядное демо что удобство и безопасность живут по разные стороны улицы. Вы хотели автторазблокирование? Ну вот атакующий его оказывается тоже сможет. Удобно же!

     
     
  • 3.29, Аноним (29), 13:15, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Смысл авторазблокировки не в том, чтобы создать невзамываемую систему, а в том, чтобы диск был бесполезен без компьютера, в котором он был зашифрован.
    Т.е. представь что у тебя сломался накопитель, и ты не можешь удалить с него данные программно. Полнодисковое шифрование дает тебе чуть большую уверенность, что никто не сможет извлечь с него данные. Диск можно сдать в переработку, не прибегая к специальным способом его уничтожения.
    Конечно, если ты параноик, то ни авторазблокировка, не отправка дисков в переработку тебе не подходит.
     
     
  • 4.43, pic (?), 13:48, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Обычный слесарный молоток решает эту проблему.
     
  • 4.98, Аноним (-), 17:21, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Смысл авторазблокировки не в том, чтобы создать невзамываемую систему, а в том,
    > чтобы диск был бесполезен без компьютера, в котором он был зашифрован.

    И этот бред в результате "защищает" - паазвольте ка, кого и от чего?! Если атакующий может сп...ть диск, то уж гирьку на энтер он поставить и подавно может. Ну, ладно, не гирьку так приблуду в юсб.

    На вид выглядит как буллшит какой-то вместо защиты. Т.е. ситуация в которой это еще и работает - полностью выдуманная и прокатит только от совсем рагулий вместо атакующих.

     
  • 4.295, АнонимПротивЦензуры (?), 20:55, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    теперь нужно воровать диск с мат. платой и входить без пароля. так фбр удобней.


    А брелок с ключом от диска требует ещё и пароля.

     
  • 2.16, Аноним (16), 12:31, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    TMP полная чушь. Гораздо надежнее использовать флешку для хранения ключей. Вынул флешку - нет ключа. Вставил - есть ключ. А TMP вынуть нельзя если заходел отдать комп в сервис. Так что TMP полная чушь.
     
     
  • 3.26, Аноним (29), 13:10, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Использую аппаратный TPM, его можно вынуть. Гребенка под него есть практически на любой современной, и не очень, плате.
     
     
  • 4.105, Аноним2 (?), 17:42, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Почитай что такое TPM. Это лютая дичь с security through obscurity. В первой версии вообще детские нелепости были(бэкдоры?), во второй таких критичных пока не обнаружено, но пользоваться такой технологией это как доверить деньги жулику.
     
     
  • 5.207, Аноним (207), 05:15, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Почитай, что такое descrete TPM. Можешь заодно погуглить картинки и почитать про материнки с TPM header-ом.

    Впрочем, у dTPM есть свои проблемы: к нему, в отличии от fTPM (firmware TPM) можно подцепить на контакты осциллограф и считать, что он за данные у него там на шине летают.

     
     
  • 6.296, АнонимПротивЦензуры (?), 20:59, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а встроенное шифрование в диск вставить фбр не разрешило
     
  • 4.173, Аноним (173), 23:36, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    TPM - гoвнo. Бай дезигн.
     
  • 3.39, пох. (?), 13:29, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот утром был сбой системы защиты электропитания в DC, она защитила электропитание, отрубив его сама. Езжай, милок, в свой выходной, за 20 километров - флэшки вставлять будешь.

    И побыстрее, бузинесс уже недовольство выразил.

     
     
  • 4.61, Tron is Whistling (?), 15:00, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    IPMI с удалённым экраном и флешкой и пароль - лучше ещё не придумано.
     
     
  • 5.107, Тот самый (?), 17:49, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >лучше ещё не придумано.

    Открой для себя Tang. Жизнь с шифрованными томами в ЦОДе станет существенно легче.
    Кстати, Clevis умеет брать ключи в т.ч. из Tang и в этом случае описанная уязвимость не сработает.

     
     
  • 6.137, Shevchuk (ok), 20:54, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причём ключ никогда не покидает машину, на которой он используется для расшифровки. Но при этом без помощи внешнего сервера Tang и сама эта машина ключ не может использовать, принципиально. Довольно остроумная система.

    - https://youtu.be/Dk6ZuydQt9I
    - https://youtu.be/v7caQEcB6VU

     
     
  • 7.144, Tron is Whistling (?), 21:33, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пасибо, ребята, но настолько базовые ключи автоматически по сети ходить не должны. Только с оператором.
    А так хоть в гитхаб выкладывайте - мне фиолетово.
     
     
  • 8.195, Тот самый (?), 02:39, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты так и не понял, что такое Tang ... текст свёрнут, показать
     
  • 7.199, Аноним (199), 04:02, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как этот Tang проверяет, что злодей не пересобрал initramfs, вставив туда дамп и отправку ключа шифрования после того, как диск расшифровался?
     
     
  • 8.216, Tron is Whistling (?), 09:48, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да никак, плюс всё это автоматизировано - и фиг отследишь, когда утекло ... текст свёрнут, показать
     
  • 5.116, пох. (?), 18:26, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > IPMI с удалённым экраном и флешкой и пароль - лучше ещё не
    > придумано.

    ты вот пробовал это в рамках хотя бы первых сотен коробок? Уверяю тебя, быстро расхочется использовать для любой сколько нибудь массовой деятельности.

    Штатная перезагрузка ТОЛЬКО с ipmi - Б-же сохрани от такого.

     
     
  • 6.143, Tron is Whistling (?), 21:31, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А у меня вообще других вариантов нет.
    К счастью, эта штатная перезагрузка бывает раз в полгода-год, для обновления.
     
  • 6.160, Вася (??), 22:53, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    cryptsetup-initramfs + dropbear ssh = <3
     
  • 6.171, penetrator (?), 23:28, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а что это за система у тебя такая, что требует FDE эндпоинтов так еще кластер на несколько сотен машин, где нет администратора готового ОТВЕЧАТЬ ЗА ОБНОВЛЕНИЕ И ПЕРЕЗАГРУЗКУ НОД? да еще и доступ только удаленный?
     
     
  • 7.178, пох. (?), 00:05, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    от давай ты и будешь таким администратором. А мы поржем с безопасного расстояния.

     
     
  • 8.335, count0 (ok), 18:16, 19/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я хочу опыт в ЦОД Сколько ЗП, какой город ... текст свёрнут, показать
     
     
  • 9.336, пох. (?), 13:46, 20/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    TLV норм там зарплата Но этот ЦОД принадлежит 1513 1489 а они понаехов н... текст свёрнут, показать
     
  • 4.106, Аноним2 (?), 17:48, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Скажу больше - если серверов 1000+ такое происходит каждый день, но даже с физическим размещением никто никуда не едет, благо на всех интерпрайзных серверах есть ipmi. Поводов съездить в цод три: поставить новый сервер, заменить старый, на главную сетевую железку упал метеорит. Первые два делаются в будни и за раз.
     
     
  • 5.114, пох. (?), 18:20, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Скажу больше - если серверов 1000+ такое происходит каждый день

    вряд ли ты можешь похвастаться 1000+ шифрованных серверов.

    > благо на всех интерпрайзных серверах есть ipmi

    и толку-то с него? Ты в самом деле работал в конторе с первой тысячей серверов? Пусть даже нешифрованных.

    (вопрос риторический, очевидно что нет)

     
     
  • 6.145, Tron is Whistling (?), 21:35, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну будем честными: _шифрованных_ серверов обычно столько и не надо.
     
     
  • 7.157, пох. (?), 22:43, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну хз что там у какого-нибудь протона.
    Но мне бы хватило вот просто тыщи серверов с ipmi. Не в том смысле что без него лучше, а в том что ipmi - это на совсем уж крайний случай, непосредственно перед поездкой на предмет выковыривания сдохшего уже напрочь сервера из стойки. Когда стандартный "reboot/reinstall" уже не помог.
    А не на каждой перезагрузке, упаси Г-дь.

     
     
  • 8.218, Tron is Whistling (?), 09:51, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А фирмварь на хардварных нодах вообще не обновляете Без IPMI этот процесс выгля... текст свёрнут, показать
     
     
  • 9.222, пох. (?), 10:19, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    там где их тыщи Конечно не обновляют, это ж совсем е нуться можно П-данулась... текст свёрнут, показать
     
     
  • 10.225, Tron is Whistling (?), 10:29, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, всё достаточно просто, образ с фирмварью и немножечко автоматизации Бут-... текст свёрнут, показать
     
     
  • 11.227, Tron is Whistling (?), 10:30, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    у нас нет тысячи нод, но я так прикидываю - сотен 5 за день окучить вполне реал... текст свёрнут, показать
     
  • 10.228, Tron is Whistling (?), 10:32, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тыщи нод у нас так-то реально только у гугла и прочих мажоров, но там и землекоп... текст свёрнут, показать
     
     
  • 11.232, пох. (?), 10:42, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да ладно тебе, какой гугль мелкая конторка в которой я имел сомнительное щаст... большой текст свёрнут, показать
     
     
  • 12.233, Tron is Whistling (?), 10:45, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, сейчас корытца стали пожирнее, и их реально поубавилось - ледники надо береч... текст свёрнут, показать
     
  • 12.338, count0 (ok), 13:56, 20/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Скажите, которые нужно ненавидеть и не покупать А то вдруг попросят подсказать ... текст свёрнут, показать
     
     
  • 13.342, пох. (?), 14:44, 20/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    речь о сетапах, а не серверах Иногда на сервере стоит что-то такое что его нель... большой текст свёрнут, показать
     
     
  • 14.343, count0 (ok), 14:46, 20/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Видимо поэтому и придумали CI CD, чтобы не обращать внимание на падения железа, ... текст свёрнут, показать
     
     
  • 15.344, пох. (?), 14:52, 20/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    угу А потом такие - ой, транзакция потерялась или раздвоилась, что еще забавн... текст свёрнут, показать
     
     
  • 16.345, count0 (ok), 23:02, 21/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы не потерялась - проверяет скрипт на стороне клиента не получил от сервера... большой текст свёрнут, показать
     
  • 4.109, ivan_erohin (?), 17:50, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Езжай, милок, в свой выходной, за 20 километров - флэшки вставлять будешь.

    за 7000 руб/час вообще без проблем (оплачиваемое время включает поездку
    до места и работу до результата "все завелось", поездка обратно за свой счет).
    если кто не доверяет, то пусть ставит дизель в свой "датацентр класса А"
    (или как там класифицируются помойные датацентры).

     
     
  • 5.115, пох. (?), 18:24, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Езжай, милок, в свой выходной, за 20 километров - флэшки вставлять будешь.
    > за 7000 руб/час вообще без проблем (оплачиваемое время включает поездку

    Какой дешовый раб...

    > если кто не доверяет, то пусть ставит дизель в свой "датацентр класса
    > А"

    дык был дизель. Не очень помогает - когда выходит из строя система которая должна управлять в том числе и теми дизелями. Вон поищи историю эпик фейла AWS.

    Даже двухлучевое подключение иногда не спасает от таких подарочков. (при том что не у всякой железки вообще в принципе есть второй блок питания в штатном комплекте)

     
     
  • 6.129, ivan_erohin (?), 20:00, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> 7000 руб/час
    > Какой дешовый раб...

    окей, назови свою цену. особо сложной работы там не будет,
    вставил-вынул и бежать.

    >> если кто не доверяет, то пусть ставит дизель в свой "датацентр класса
    >> А"
    > дык был дизель. Не очень помогает - когда выходит из строя система
    > которая должна управлять в том числе и теми дизелями.

    и дизель и систему надо иногда проверять (от "раз в квартал" до "раз в месяц" в зависимости от обстановки). чтобы контакты не закисали и топливо не расслаивалось.

     
     
  • 7.163, пох. (?), 23:03, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    удовольствие от посещения гермозоны и пребывания в ней несколько часов к ряду - ... большой текст свёрнут, показать
     
  • 6.200, Аноним (200), 04:20, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что смотришь, HR у звони Поделите премию на двоих, нормуль А может, состояни... большой текст свёрнут, показать
     
     
  • 7.223, пох. (?), 10:23, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а он точно не подставит меня так со своими подходами, что МНЕ придется тоже звиз... большой текст свёрнут, показать
     
     
  • 8.242, Аноним (-), 12:04, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Можно деловое предложение в договор вписать если не справился то получает 0, и ... большой текст свёрнут, показать
     
  • 8.247, Anon3 (?), 12:18, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вообще, то каждая ветвь электропитания имеет свою собственную независимую схе... большой текст свёрнут, показать
     
     
  • 9.339, count0 (ok), 14:05, 20/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Читал историю ТуТу ру и их общение с датацентрами В-общем надо резервироваться ... большой текст свёрнут, показать
     
  • 3.292, погроммист (?), 16:43, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Под ssh ключи tpm вполне годится. Лучше, чем голый ключ на диске.
     
  • 2.86, Аноним (87), 15:56, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В чём смысл TPM, если с его помощью система просто загружается без ввода пароля?

    Ты сам ответил на свой вопрос. Нет видимого смысла, когда любой имеющий физический доступ к машине может её спокойно запустить, а вот скрытых зондов там предостаточно.

     
  • 2.156, Аноним (156), 22:38, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Основная мотивация в том, чтобы защищать данные поставщиков ПО и контента от пользователя (владельца) компьютера, на который эти данные были загружены. Обычно подобное продается под видом заботы о безопасности самого пользователя.
     
     
  • 3.340, count0 (ok), 14:07, 20/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Основная мотивация в том, чтобы защищать данные поставщиков ПО и контента от
    > пользователя (владельца) компьютера, на который эти данные были загружены. Обычно подобное
    > продается под видом заботы о безопасности самого пользователя.

    StarForce-3? ))))

     
  • 2.248, onanim (?), 12:23, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >  В чём смысл TPM, если с его помощью система просто загружается без ввода пароля?

    правильное использование TPM - контроль целостности системы.
    чип TPM собирает информацию о железе и прошивках, и выводит чексуммы собранной информации в своих регистрах "PCR". сравнивая эти чексуммы с эталонами, полученными после первоначальной настройки сервера, администратор сервера может определить (даже удалённо, будучи за 100500 км от сервера), изменилась ли прошивка (не залили ли протрояненный BIOS) или железо (не воткнули ли в сервер DMA дампер), и поступить соответствующим образом (продолжить загрузку системы, если он сам обновил биос или поменял железо).

    а хранение ключей шифрования в TPM - долбодолбизм, так делают только долбобобы и всякие похи с тысячами шифрованных серверов.

     
     
  • 3.331, ivan_erohin (?), 10:07, 13/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > чип TPM собирает информацию о железе и прошивках, и выводит чексуммы собранной информации

    т.е. контролировать софт через TPM - глупость ?

    > сравнивая эти чексуммы с эталонами, полученными после первоначальной настройки сервера,
    > администратор сервера может определить

    примерно нихрена не сможет. Сноуден описывал черные кабинеты на почте и у операторов доставки,
    способные протроянить железо спецжелезками в процессе пересылки.

     
     
  • 4.332, onanim (?), 12:31, 13/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > т.е. контролировать софт через TPM - глупость ?

    что значит "контролировать софт через TPM"?

    > примерно нихрена не сможет. Сноуден описывал черные кабинеты на почте и у
    > операторов доставки,
    > способные протроянить железо спецжелезками в процессе пересылки.

    ну от снифферов PCI или SPI шин ничто не защитит, увы.
    благо среднестатистический онаним с опеннета никому не интересен настолько, чтобы заражать его железо такими имплантами, а от втыкания обычных хакерских PCI или USB девайсов TPM защитит.

     
     
  • 5.341, count0 (ok), 14:11, 20/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > благо среднестатистический онаним с опеннета никому не интересен настолько, чтобы заражать
    > его железо такими имплантами, а от втыкания обычных хакерских PCI или
    > USB девайсов TPM защитит.

    Зато те, у кого могли быть такие платы за пределами МКАД отсутствуют, поэтому и TPM не сильно распространён. А вот швабры, бутылки шампанского и паяльники у этих вот самых есть. Так что онаним сам введёт все пароли, расскажет "эксперту" как, и что, и подпишет признание под тяжестью улик )))

     

     ....большая нить свёрнута, показать (70)

  • 1.5, Аноним (-), 12:08, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Далее, так как ключи для разблокировки хранятся в TPM

    А вот не...фиг ключи хранить где попало. Т.е. на системе без TPM этот номер вообще совсем не прокатит?

     
     
  • 2.35, пох. (?), 13:22, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> Далее, так как ключи для разблокировки хранятся в TPM
    > А вот не...фиг ключи хранить где попало. Т.е. на системе без TPM
    > этот номер вообще совсем не прокатит?

    на системе без TPM невозможно вообще загрузиться автоматически - будешь как лox каждый раз вводить свой пароль вручную. Подглядывающие за тобой в камеры будут очень рады, особенно если этот пароль и еще к чему-нибудь подойдет.

    Ну а если в ЦОД моргнуло питание - звиздуй туда пешком, вводить пароли от всего.

     
     
  • 3.37, InuYasha (??), 13:24, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Если у вас в ЦОДе радиус со лдапой не завезли, то это печально, печально.
     
     
  • 4.40, пох. (?), 13:30, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    они как тебе помогут для загрузки сервера, который вот встал в позу и ждет твой суперсекретный пароль на загрузчик?

     
  • 3.47, Аноним (-), 14:05, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > на системе без TPM невозможно вообще загрузиться автоматически - будешь как лox
    > каждый раз вводить свой пароль вручную. Подглядывающие за тобой в камеры будут
    > очень рады, особенно если этот пароль и еще к чему-нибудь подойдет.

    Ну я выну им из широких штанин фак^W "флеху" с из STM32. Оно и "напечатает пароль". Где там у него кнопки на которые смотреть - хрен его знает. Но фак, наверное, увидят :)

     
  • 3.62, Tron is Whistling (?), 15:01, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем пешком-то? Удалённое управление каким-нибудь iDRAC.
     
     
  • 4.164, Аноним (173), 23:04, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Dell тебя благобдарит.
     
  • 4.198, Аноним (199), 04:00, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А как ты проверишь, что между iDRAC и разблокируемым сервером нет MiTM?
     
     
  • 5.214, Tron is Whistling (?), 09:35, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    TLS


     
     
  • 6.243, onanim (?), 12:10, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а как ты проверишь, что iDRAC не пишет нажатия клавиш и не передаёт "куда следует"?
     
     
  • 7.262, Tron is Whistling (?), 19:08, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем?
     
  • 7.263, Tron is Whistling (?), 19:11, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поясняю. Я не помешан на приватности. Мне принципиально только то, чтобы уборщик Уася, скоммуниз**в сервер или хранилку, не мог ничего прочитать.
     
     
  • 8.268, onanim (?), 22:45, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    уборщик Вася и TLS перехватить не осилит, а если осилит перехватить TLS, то и iD... текст свёрнут, показать
     
     
  • 9.269, Tron is Whistling (?), 22:47, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не читатель ... текст свёрнут, показать
     
     
  • 10.270, onanim (?), 22:48, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    а, точно, перечитал ветку и понял, что фигню написал ... текст свёрнут, показать
     
  • 6.299, Брат Анон (ok), 09:51, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А кто тебе сказал, что в реализации TLS нет закладок?
     
     
  • 7.300, Tron is Whistling (?), 09:53, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    См. выше.
     
  • 3.101, ryoken (ok), 17:38, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Ну а если в ЦОД моргнуло питание

    Это что ж за "ЦОД" такой..??? Прям интересно стало, у них же пачка разых Tier-ов и всякого прочего.

     
     
  • 4.117, пох. (?), 18:31, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Это что ж за "ЦОД" такой..??? Прям интересно стало, у них же
    > пачка разых Tier-ов и всякого прочего.

    хер его знает какой там был тогда у AWS - но вышло эпичненько.

    (отказ системы резервного питания стартовать из-за...нестабильности параметров входной сети. Видимо не было способа ее отрубить вообще нахрен кроме динамита. Теперь-то наверное есть динамит. Они там чуть не на коленях ползали перед поставщиком этого г-на, умоляя дать секретный код запуска под свою ответственность и любые отказы от любых гарантий - не, "нипаложана!" ответил дежурный Кумар. Ну упсы сели, а дизели не включились.)

     
     
  • 5.133, ryoken (ok), 20:21, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > (отказ системы резервного питания стартовать из-за...нестабильности параметров входной
    > сети. Видимо не было способа ее отрубить вообще нахрен кроме динамита.
    > Теперь-то наверное есть динамит. Они там чуть не на коленях ползали
    > перед поставщиком этого г-на, умоляя дать секретный код запуска под свою
    > ответственность и любые отказы от любых гарантий - не, "нипаложана!" ответил
    > дежурный Кумар. Ну упсы сели, а дизели не включились.)

    Ай красота.... :D

     
  • 5.155, Атон (?), 22:31, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > дежурный Кумар.

    а какого ответа ты, мало обеспеченный гражданин, ждал, если у AWS перед тобой ответственность по SLA меньше $1000 за год простоя?

     
     
  • 6.158, пох. (?), 22:47, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ответа ждал _AWS_ от Кумаров копчоных. И для них это был вопрос жизни и смерти, потому что они после тех двух инцидентов (второй, точнее, первый - с грузовиком) потеряли дохрена клиентов.

    Но не дождались ничего хорошего - потому что кумару плевать было насколько это важный клиент, у него инструкция (главное в ней - не будить Раджу по ночам что бы там ни сгорело вместе с бизнесом).

     
     
  • 7.319, Атон (?), 09:12, 06/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > ответа ждал _AWS_ от Кумаров копчоных.
    > Но не дождались ничего хорошего - потому что кумару плевать было насколько
    > это важный клиент, у него

    у него по SLA ответственность перед AWS ограничена одним окладом.

     
  • 5.201, Аноним (-), 04:26, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > (отказ системы резервного питания стартовать из-за...нестабильности параметров входной
    > сети. Видимо не было способа ее отрубить вообще нахрен кроме динамита.
    > Теперь-то наверное есть динамит. Они там чуть не на коленях ползали
    > перед поставщиком этого г-на, умоляя дать секретный код запуска под свою
    > ответственность и любые отказы от любых гарантий - не, "нипаложана!" ответил
    > дежурный Кумар. Ну упсы сели, а дизели не включились.)

    А что, так то хороший повод послать поставщика таких систем в ж@пу и научиться делать системы управления самим. Под свои требования и приоритеты. Чтоб все коды были под рукой, и динамит сразу встроенный, если надо.

     
  • 5.220, Страдивариус (?), 09:55, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ай, молодца Кумар! Показал им всем, что значит ынтырпрайз! Всегда смешно когда большой ынтырпрайз ломает зубы об маленький, потому что обычно всегда всё наоборот.
     
  • 3.174, Аноним (173), 23:43, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >будешь как лox каждый раз вводить свой пароль вручную.

    На виртуалке. При штатном обновлении системы с перезагрузкой. Раз в полгода/год.
    Страшно тяжелая работа, да.
    Лучше доверить ключи какой-то технологии какой-то фирмы, которой не нужны ваши данные и она вообще занимается защитой "ВАШИХ ДАННЫХ". Бесплатно.
    Верить - вот главное условие надежности. Зуб дают. Даже два.  

     
     
  • 4.179, Аноним (179), 00:06, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не дают они зуб. У них отказ от ответственности на каждом шагу. И возмещение ущерба размером в один (бело)русский рубль. Кто поверил, то не мамонт!
     
  • 3.209, bOOster (ok), 07:12, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Используй USB флешку с первичным ключем, не как лох :)
     
     
  • 4.224, пох. (?), 10:25, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ну я ж говорю - для локалхоста зашибись, а представь что у тебя их десятки таких.
    Может ну его нахрен, пусть как-нибудь сами загружаются?

    Тем более если там винда с битлокером - ее вряд ли кто-то сумеет проломить (описанный тем васяном способ требует пару дней жить в DC, и не факт что сработает вообще - даже если ты не принял превентивных мер)

     
     
  • 5.229, Tron is Whistling (?), 10:34, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да не, ну подключиться к IPMI, найти-получить нужный ключ и воткнуть - это задача максимум на 2 минуты.
    Причём один землекоп может почти одновременно десяток этих нод бутнуть.

    Что касается битлохера, проблема со всей этой авторазлочкой достаточно простая - если сп***т ноду, то шанс получения доступа ко всему максимален. На платах имеются нераспаянные JTAG'и и прочее.

     
     
  • 6.231, Tron is Whistling (?), 10:35, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. даже в случае битлохера только ручной ввод.
    Но в целом у нас битлохер только в виртуалках, поэтому решений по аппаратуре как-то не требовалось.
     
  • 6.234, пох. (?), 10:52, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    э вот ты уверен что десяток одновременных эмуляций usb ибо что еще там у теб... большой текст свёрнут, показать
     
     
  • 7.235, Tron is Whistling (?), 11:03, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > э... вот ты уверен что десяток одновременных эмуляций usb (ибо что еще
    > там у тебя за ключ) через ipmi - это хорошая идея и тем более что оно вообще-то заработает так?

    Ну, работает...
    Единственная с этим проблема - доступ операторов к ключам, но это меньшее зло, чем хранить ключи прямо под ковриком.

    > Ну и насчет двух минут - у меня лезвия грузятся по 15.

    Ну, с iSCSI могут и дольше - смотря сколько загружать. Или имеется в виду инит фирмвари? Инит фирмвари минуты 2 на EPYC'ах занимает.

    > они не должны давать доступа к содержимому tpm - он неплохо изолирован.

    Ну, как видим... Не обязательно к tpm, достаточно перехватить управление после measured boot.


     
     
  • 8.236, Tron is Whistling (?), 11:06, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тут скорее вопрос, что благонадёжнее - TPM или оператор Мы решили, что оператор... текст свёрнут, показать
     
  • 6.244, onanim (?), 12:12, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а на хуавеях даже распаянные
     
     
  • 7.264, Tron is Whistling (?), 19:12, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > а на хуавеях даже распаянные

    Кщастью, этого добра нет и не ожидается.

     
     
  • 8.267, onanim (?), 22:43, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    смотря у кого ... текст свёрнут, показать
     
     
  • 9.321, пох. (?), 17:18, 07/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    хм, они ж вроде отказались вообще вести дело с РФ ... текст свёрнут, показать
     
     
  • 10.323, onanim (?), 21:56, 07/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    кто они Huawei или казахстанская армянская ООО Точно Не Одноразовая Проксико... текст свёрнут, показать
     
     
  • 11.324, пох. (?), 22:10, 07/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А потом китаец из оченьплохойдороги приедет в армоказахстан для настройки или ре... текст свёрнут, показать
     
     
  • 12.326, onanim (?), 15:39, 08/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ага, недавно на широко известном в узких кругах форуме писали, что новые прошивк... текст свёрнут, показать
     
     
  • 13.327, пох. (?), 15:42, 08/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пипец мериканскому а так же китайскому шпиену- припрется по дипломатической ви... текст свёрнут, показать
     
  • 7.265, Tron is Whistling (?), 19:13, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Но таки да, желающие скорее всего нароют на любом вендоре.
     
  • 6.334, Аноним (-), 05:05, 19/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Что касается битлохера, проблема со всей этой авторазлочкой достаточно простая - если
    > сп***т ноду, то шанс получения доступа ко всему максимален. На платах
    > имеются нераспаянные JTAG'и и прочее.

    Вообще-то вполне себе распаяный. В каждом PCI разъеме, внезапно, есть.

     
  • 3.252, Mr. Cake (?), 13:57, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    google://dropbear-initramfs
     

     ....большая нить свёрнута, показать (44)

  • 1.10, Ананимаз (?), 12:14, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    ну шо, съэкономили пару мс на паралельном запуске?
     
  • 1.11, Q2W (?), 12:20, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Что это за шифрование такое, если ключи можно просто попросить у этого TMP, и он их имеет и даст?

    Капец какой-то. Это как в автомобилях: для установки автозапуска вмуровывали в приборную панель оригинальный ключ.

     
     
  • 2.12, Q2W (?), 12:21, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    s/TMP/TPM/
     
  • 2.18, Аноним (17), 12:34, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас есть решения без оставления иммобилайзера в машине
     
     
  • 3.210, bOOster (ok), 07:15, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если иммобилайзер или блок управления двигателем уже не раздраконили - ключ в любом случае придется "закапывать"..
     
     
  • 4.330, анонимоус (?), 08:10, 12/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    например для VAG.
    которые заводят двигатель в ограниченном режиме.
    грется можно, двигаться нельзя.
     
  • 2.32, Аноним (29), 13:18, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ключ шифрования LUKS по умолчанию хранится на самом диске, добро пожаловать в реальность. Просто для разблокировки (расшифровки) этого ключа используется либо пароль, либо машина-специфичные регистры TPM.
    Да, обычно никто не хранит ключ расшифровки в TPM, хотя такая возможность существует.
     
     
  • 3.68, Tron is Whistling (?), 15:12, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В битлохере оно не просто существует, его надо руками выковыривать.
     
     
  • 4.108, Аноним2 (?), 17:50, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Проблемы индейцев шерифа не касаются.
     
  • 3.82, Аноним (82), 15:53, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ключ шифрования LUKS по умолчанию хранится на самом диске, добро пожаловать в реальность. Просто для разблокировки (расшифровки) этого ключа используется либо пароль, либо машина-специфичные регистры TPM.

    Эти регистры TPM - это как дополнительный слот для пароля в LUKS? Именно поэтому можно расшифровать диск или вручную или с TPM?

     
     
  • 4.111, Аноним2 (?), 17:54, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Почитай про TPM например на хакере. Вкратце: принадлежит микрософту, делают ерунду по принципу security through obscurity, в целом очень похоже на ерунду которую делал интел со своими (неудачными) анклавами, старые версии совсем с детскими бекдорами, новыми лучше просто не пользоваться.
     
  • 4.118, пох. (?), 18:35, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Эти регистры TPM - это как дополнительный слот для пароля в LUKS?

    ну да.

    > Именно поэтому можно расшифровать диск или вручную или с TPM?

    или с флэшки, или еще с чего. Но разница в том что TPM не должен ничего расшифровывать если его не попросят правильные ребята правильным образом, т.е. подписанный загрузчик с подписанным ведром.
    (И, разумеется, вовсе необязательно использовать ключи microsoft если так уж хочется безопасТно)

    Ну а там - как обычно, кто бы мог подумать да и было ли чем. Причем уже второй раз на одни и те же грабли.

     
  • 3.102, Аноним (-), 17:38, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Второй вариант почему-то секурным не выглядит ну вот вообще совсем никак Маркет... большой текст свёрнут, показать
     
     
  • 4.119, пох. (?), 18:37, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Во первых предлагается доверять мутной блобфирмвари какой-то хрени предоставить ключ,

    Кто о чем, а мамкины конспирологи о кознях врагофф.

    > Во вторых, возникает резонный вопрос "а насколько атакующему сложно получить эти данные"
    > и судя по новости ответ на него - это полное ололо.

    а это вопрос не к tpm, а, внезапно, к опенсорсной поделке и л@п4тым гениям безопастносте.

    > В третьих если атакующему достаточно просто получить вот это для расшифровки ключа,

    Вот это - это рут в уже загруженной системе со всеми правильными подписями всего. Да, удивительно, правда?

    > возникает вопрос зачем вам шифрование диска было? Чтобы при случае таки

    действительно. Если у тебя кто угодно может стать рутом - можно ничего уже не шифровать.

     
     
  • 5.175, Аноним (179), 23:46, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > это вопрос не к tpm, а, внезапно, к опенсорсной поделке и л@п4тым гениям безопастносте

    Чушь. Доступ к железу - это больше, чем рут. Режим восстановления (в systemd) тут погоды не делает. И придуман, чтобы не искать лайвсиди и не монтировать разделы руками в простых случаях поломок. Совет про "вечную перезагрузку" вместо "режима восстановления" из новости - где-то на грани добра и зла.

    А типа "зашифрованные" данные, как раз, раскрывает корпоративная поделка с гениальным дизайном "доверь свои секреты нам". /Хотели как лучше/, а получилось как всегда - обделались, зато /с заботой о клиентах/. Если пользуетесь этим мусором, шифрование вам не нужно, не выпендривайтесь.

     
     
  • 6.180, пох. (?), 00:09, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Чушь. Доступ к железу - это больше, чем рут.

    дружище, ты правда не понимаешь, зачем люди используют шифрованные диски?

    > А типа "зашифрованные" данные, как раз, раскрывает корпоративная поделка с гениальным дизайном

    нет. опенсорсная поделка по имени системдрянь.

     
     
  • 7.181, Аноним (179), 00:12, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > дружище, ты правда не понимаешь, зачем люди используют шифрованные диски?

    Я-то понимаю, зачем замки придуманы. А вот ты нет. Иначе бы ключами не разбрасывался.

     
  • 7.183, Аноним (179), 00:14, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > нет. опенсорсная поделка по имени системдрянь

    Опенсорсная она или дрянь корпоративная - роли не играет. Нету у неё пароля от LUKSа, хоть ты тресни. А у TPM есть.


     
  • 5.177, Аноним (179), 23:56, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Если у тебя кто угодно может стать рутом - можно ничего уже не шифровать.

    Алё. Инициализация не завершена, разделы не примонтированы. Какой кто-угодно? Каким рутом?

    Уязвимость не в "руте" на этапе загрузки (не, ну кто бы мог подумать-то?)! А в зло-недоум-ышленниках, доверяющих пароли шифрования дисков очередной авто-магической приблуде от корпоративных доброжелателей.


     
     
  • 6.182, пох. (?), 00:14, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Алё. Инициализация не завершена, разделы не примонтированы. Какой кто-угодно? Каким рутом?

    обычным таким. Он тебе и инициализацию завершит, он - может.

    > Уязвимость не в "руте" на этапе загрузки

    уязвимость именно в этом. Его там быть было не должно, в подписанной системе, которой только и доверяет TPM (т.е. никакой левый не помог бы - но этот не левый, этот штатный именно от той системы что должна загрузиться). И даже старались, чтоб он там не возник без спросу. Но получилось как всегда - потому что опенсорсники в очередной раз запутались в своем "параллельном ините".

    Так что прекращай подменять понятия - обоcpaлись именно вы.

     
     
  • 7.184, Аноним (179), 00:16, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > доверяет TPM

    Вот мы и нашли виноватого.

    > обоcpaлись именно вы

    Нет, вы.


     
  • 5.203, Аноним (-), 04:32, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да вот сабж прозрачно намекает Ну то-есть идея хранить ключ локально для того ч... большой текст свёрнут, показать
     
     
  • 6.226, пох. (?), 10:29, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> а это вопрос не к tpm, а, внезапно, к опенсорсной поделке и
    >> л@п4тым гениям безопастносте.
    > Ну то-есть идея хранить ключ локально для того чтобы атакующий мог им
    > воспользоваться, да еще доверив его мутному чипу без сорцов прошивки -

    Последний раз для совсем полных иди0тов - чип ВНЕЗАПНО не позволил бы им воспользоваться.
    Если бы его не попросил тот самый немутный очень сорцовый софт, которому чип доверял - по твоей же команде. Который нельзя подменить, если все сделать правильно. И который не должен был этого делать, если что-то пошло не так - но оно, вот.

    > Ну вы ж хотели удобств. Вот, атакующему стало просто ЗБС. А чем

    Потому что руки у опенсорсников - из оттуда. Но виноват почему-то "мутный чип".

     
     
  • 7.245, Аноним (245), 12:15, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле Он его отдает системе для расшифровки диска И хаксору вломившемуся в ... большой текст свёрнут, показать
     
     
  • 8.254, пох. (?), 14:30, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    б-ть, НЕТ - он его выдает твоему т-пому рукoжопoму опенсорсному г-ну, причем так... текст свёрнут, показать
     
     
  • 9.306, Аноним (-), 12:47, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бы фэйл в том что он нахаляву атакующему подмахивает - и вообще не важно ... большой текст свёрнут, показать
     
     
  • 10.310, пох. (?), 13:57, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    и ничего не получится на сем дискуссию и можно считать законченой, возвращайся... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (25)

  • 1.14, Имя (?), 12:29, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как так получается, что хранимый ключ сам по себе не зашифрован паролем?
     
     
  • 2.20, Аноним (17), 12:35, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пароль на пароль?
    Супер
     
     
  • 3.204, Аноним (204), 04:40, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Про 2FA слышал?
     
  • 2.34, Аноним (29), 13:22, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Все вообще не так. Суть шифрования с TPM в том, что вместо пароля вы используете специальные строки, которые генерирует TPM. В теории, эти строки уникальны для каждой материнской платы. При этом ты можешь выбрать, какие регистры использовать, включать ли в них командную строку ядра и настройки биос, состояние secure boot и т.п.
     
  • 2.69, Tron is Whistling (?), 15:16, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зашифрован. Игла кащеева с яйцами.
    Ключ от данных лежит на диске.
    Ключ от ключа на диске лежит в TPM.
    Содержимое TPM зафиксировано прошивкой на конкретный подписанный загрузочный образ и отдаётся только ему.
    И всё это разом ломается на том, что загрузочный образ оказался и подписанным, и дырявым.
    Если проще - все эти цукербуты и прочее можно отключать не глядя, и действовать ламповыми решениями.
     
     
  • 3.85, Аноним (82), 15:55, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    TPM - корпоративная фишка для офиса. Для личного использования или в случае особо ценных данных она не нужна и даже вредна.
     
     
  • 4.92, Аноним (87), 16:07, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    TPM вообще-то аппаратный бэкдор типа intel me.
     
  • 2.189, Аноним (173), 00:31, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну это же трастед, ты что, ему не веришь? Оно же трастед!!!
     

  • 1.21, Аноним (21), 12:37, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Systemd кидок
     
  • 1.23, InuYasha (??), 13:00, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    У меня такое чувство, что разработчики линуксов* работают на раскалённых клавиатурах. Потому что - тут ВВОД подержать и получишь рута, там PRINTSCREEN подержать - получишь смерть DBus, в иксах CTRL+SHIFT вообще запрещено держать... Если вы видите совпадение, я вижу систему.

    Есть такая штука как проекционная клавиатура (лазер рисует на глом столе клавиши, а камера смотрит на пальцы). Так вот: разработчикам, наверное, проецируют клавиши на раскалённую сковородку.

    (UJL)

     
     
  • 2.77, Аноним (77), 15:30, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Они просто заблокировали доступ к клавиатуре для своих котов.  Коты не могут на них лежать, от этого страдает тестирование.
     
  • 2.113, Аноним2 (?), 17:58, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В вас просто нет конспирологической жилки. Неочевидные действия с клавишами это классический "бекдор", частенько использовавшийся в старых аппаратных и не очень играх и устройствах.
     
  • 2.122, пох. (?), 18:41, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Если
    > вы видите совпадение, я вижу систему.

    Да обычные руки из ж0пы. И голова там же. И сама эта ж0па - с ушами.


     
     
  • 3.150, Аноним (150), 22:14, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Приматы?
     
     
  • 4.159, пох. (?), 22:50, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то это осьминоги. Но мне портрет модного современного разработчика почему-то видится именно таким.


     
  • 4.259, Аноним (259), 17:15, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, хранители! :)
     
  • 2.172, Аноним (179), 23:31, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А Линукс тут причем? Если подстава в модуле от Микрософт, который сводит дисковое шифрование на нет, храня ключи по-корпоративному "безопасно" (читай - открыто) на железке.

    А все эти подержи Enter, получишь рута - это, как раз, ни о чем. С доступом к железу нет никакого рута, есть только диск с данными. Грузись с лайвсиди, монтируй и читай. Собственно, для того дисковое шифрование и придумали, чтобы данные без секретного слова прочитать нельзя было. Но Микрософт решил, что от него у вас секретов нет.

     
     
  • 3.185, пох. (?), 00:16, 03/09/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 4.186, Аноним (179), 00:22, 03/09/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.187, Аноним (179), 00:25, 03/09/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 4.190, Аноним (173), 00:34, 03/09/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.176, Аноним (173), 23:50, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня такое чувство,

    Это эмоции.
    Спокойнее надо быть :)
    Медитация поможет.

     

  • 1.24, Аноним (24), 13:08, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    типичный системд
     
     
  • 2.27, Аноним (27), 13:14, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что? Кто надо всегда должен иметь доступ куда надо. Иначе зачем они платят деньги шапке за системд?
     
  • 2.51, Аноним (51), 14:08, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > и systemd

    ...

     

  • 1.28, Аноним (28), 13:15, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    это была специальная фича, теперь её спалили, но ничего есть ещё
     
     
  • 2.30, Аноним (27), 13:16, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    — Ты видишь дыру?
    — Нет
    — А она есть.
     
     
  • 3.127, Аноним (127), 19:14, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Машка, видал я эту дыру, в которую проваливается пароль в 32 символа да так, что остаётся ещё с десяток бит до переполнения стека.
     

  • 1.31, Fracta1L (ok), 13:18, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Аппаратные методы защиты оказались ненадёжными, никогда такого не было...
     
     
  • 2.36, пох. (?), 13:24, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Аппаратные методы защиты оказались ненадёжными, никогда такого не было...

    деточка, ты в упор не хоешь видить что ненадежным оказался опять системдрянь, а не аппаратура?

     
     
  • 3.41, Аноним (21), 13:31, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    системд: вот тебе рут! делай!
     
  • 3.42, Fracta1L (ok), 13:42, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не визжи, клован. Без ТРМ этой дыры бы не было.
     
     
  • 4.73, Аноним (73), 15:20, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ага, а без компуктера и тебя бы небыло наверн.
     
  • 3.152, Аноним (150), 22:15, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Видеть — Википедия
    ru.wikipedia.org›Видеть
    Меню
    «Видеть» — американский научно-фантастический драматический телесериал, созданный Стивеном Найтом для Apple TV+. Среди известных актёров Джейсон Момоа и Элфри Вудард.

    Извинити )

     
  • 3.170, Аноним (173), 23:27, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    тётенька, аппаратура - это что, богиня?
    и почему в неё надо верить?
     
  • 3.208, Аноним (-), 06:59, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Аппаратные методы защиты оказались ненадёжными, никогда такого не было...
    > деточка, ты в упор не хоешь видить что ненадежным оказался опять системдрянь,
    > а не аппаратура?

    Хранить ключ для расшифровки в "аппаратуре" и отдавать его каждому встречному на автомате - это, конечно, очень безопасТно было придумано.

     
  • 2.169, Аноним (173), 23:23, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И вот опять. Надо просто верить.
    Верить производителю, который прибыль получает.
    Капитализация подтверждает, да. !!!
     

  • 1.38, InuYasha (??), 13:27, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    При трукрипте такого не было! (Ц)
     
     
  • 2.322, Аноннонинмумумус (?), 20:12, 07/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Самый цимес был в их мануалеЖ

    Раздел
    - Правдоподобное отрицание наличия скрытого раздела

    В захлеб просто читалось (посмотрите прям в стандартном исталяторе пдфка лежала Хд

     

  • 1.44, Аноним (44), 13:58, 02/09/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –3 +/
     

     ....ответы скрыты (5)

  • 1.46, Аноним (46), 14:04, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Простите, а кто пароль рута то ввёл? ctrl-D или введите пароль рута. Если знаешь пароль рута, то зачем эмулировать Enter. А если не знаешь пароль рута - перед тобой чёрный ящик.
     
     
  • 2.49, Аноним (49), 14:07, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Systemd, получив управление после неудачных попыток ручной разблокировки, не сможет получить доступ к файловым системам на зашифрованных дисках, предложит перейти в режим восстановления после сбоя и предоставит доступ к командной оболочке с правами root в окружении загрузочного ram-диска.
     
     
  • 3.54, Аноним (50), 14:13, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Да здравствует Systemd!
     
  • 3.60, Вася (??), 14:58, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А каким образом диски разблокируются в этом случае?
     
     
  • 4.64, Tron is Whistling (?), 15:04, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    TPM далее прочитать не проблема - у загрузочного образа есть к нему доступ и ключ.
     
  • 4.65, Аноним (65), 15:05, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Далее, так как информация для расшифровки ключей хранится в TPM, атакующий, сохраняя за собой доступ с правами root, может инициировать штатный процесс автоматической разблокировки зашифрованных дисков при помощи инструментария Clevis и примонтировать корневой раздел из зашифрованного диска.
     
     
  • 5.303, фф (?), 11:40, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    я правильно понимаю, что ключ от диска лежит в ТРМ, а ключ доступа к этому ключу в clevis? который доступен любому идиоту который сможет загрузить initramfs?
    может правда проще в файлик записывать?
     
     
  • 6.325, пох. (?), 22:22, 07/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    нет, б-ть Еще один феноменально т-пой не смог прочитать статью но ценное мнение... большой текст свёрнут, показать
     

  • 1.53, Аноним (53), 14:10, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >>> и предоставит доступ к командной оболочке с правами root <<<

    мда... жесть как она есть:(

     
     
  • 2.58, пох. (?), 14:54, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>>> и предоставит доступ к командной оболочке с правами root <<<
    > мда... жесть как она есть:(

    в этом месте все сравнительно правильно сделано - предполагалось, что это случай когда диск не смонтировался из-за повреждений, и ты наверное все же хочешь его починить.

    Неправильно что оно туда попадает не при поврежденном насмерть диске (когда в общем-то похрен уже на шифрование-то) а просто вот пробельчик понажимать.

    Ну и вокараунд собственно в том и заключается что а давайте мы все эти аварийные восстановления вообще выключим нафиг, чего его, сервер-то ваш восстанавливать, у вас поди их еще много.

     
     
  • 3.63, Tron is Whistling (?), 15:03, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Всё там неправильно.
    Хочешь починить повреждённый насмерть диск - переключай бут-режимы и бутись с другого носителя.
     
     
  • 4.72, пох. (?), 15:20, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это вот на современном сервере может у тебя не очень получиться.
     
     
  • 5.75, Аноним (73), 15:24, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты из адептов облаков штолле ?
     
     
  • 6.125, пох. (?), 18:47, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты из адептов облаков штолле ?

    каких нахрен облаков. Чтоб загрузиться с чего-то левого такому серверу нужно поменять настройки uefi boot. Вот как загрузишься, так и поменяешь. Он бы тебе даже и позволил автоматически загрузиться с чего-то еще, если бы загрузочный диск совсем не читался, но в нашем случае побита файловая система, а начальная загрузка вполне успешна.

    Бери дежурный пропуск, ижжай в Караганду.

    Не на каждой ентер-прайсной железке, конечно, такая пакость, но - слуцяетца. Причем чем более секьюрно-навороченная тем более там такое вероятно.
    (ну рецпет мы все знаем - не выпендривайся, ставь vmware, linoops свой супрешифрованный - в виртуалочке запустишь)

     

  • 1.59, Tron is Whistling (?), 14:57, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Бггггггг.
    Ну, за причины, предпосылки и последствия ничего говорить не буду - всё и так ясно.
    Но завтра я ребятам расскажу, почему я им лет 5 назад как уже, запретил в TPM хранить ЛЮБЫЕ ключи. И они матерились. Вот, хороший пример.
     
     
  • 2.76, Аноним (73), 15:25, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший пример чего ?
     
     
  • 3.146, Tron is Whistling (?), 21:37, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Того, что TPM - это дыра, которая не имеет по факту никакой валидации и может быть прочитана кем попало.
     

  • 1.66, birdie (ok), 15:06, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Никакого _обхода шифрования_ нет в помине.

    Есть получение root консоли и выкачивание пароля шифрования из TPM из-за кривого/дырявого initrd.

    Если ключ шифрования _не_ хранится в TPM, то нет никакой атаки - с таким же успехом (а речь идёт о физическом доступе) можно просто вытащить винт и начать перебирать LUKS пароли.

     
     
  • 2.70, Tron is Whistling (?), 15:17, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что значит непонятно?
    У нас _подписанный_ загрузочный образ, который может TPM читать, выпал в рут.
    Дальше, думаю, сами догадаетесь.
     
     
  • 3.71, Tron is Whistling (?), 15:20, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    (а к этому моменту он прошёл и проверку подписи, и measured boot - и вся эта шляпа оказалась припаркой к кадавру в итоге)
     
  • 3.74, пох. (?), 15:23, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Что значит непонятно?
    > У нас _подписанный_ загрузочный образ, который может TPM читать, выпал в рут.
    > Дальше, думаю, сами догадаетесь.

    там даже догадываться незачем - автор оставил детальную инструкцию что за чем нажимать чтоб смонтировать диски. Но местные зингонавты ж нечитатели.

     
  • 3.83, birdie (ok), 15:54, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это если ключ шифрования хранится в TPM. Атака _не_ на шифрование, а на _кривой initrd_.

    Могу вам вручить все свои машины с LUKS - вперёд, используйте эту атаку. TPM у меня не используется ровно нигде.


    Даже по ссылке: https://pulsesecurity.co.nz/advisories/tpm-luks-bypass

    TPM (!) LUKS BYPASS

    Максим в заголовке новости упустил критическую деталь. Послал ему исправление.

     
     
  • 4.147, Tron is Whistling (?), 21:39, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я только за TPM и вещаю. Уже достаточно.
    К счастью да - нас это даже потенциально тоже затронуть не может, подстраховка сработала.
     

  • 1.67, Аноним (67), 15:11, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот тебе и SystemD
     
     
  • 2.141, Shevchuk (ok), 21:22, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Вот тебе, бабушка, и systemd

    Поправил, не благодари

     

  • 1.81, Аноним (87), 15:52, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Очередная сферическая уязвимость в вакууме. А TPM в принципе не нужен и является аппаратным бэкдором на равне с secure boot, intel sgx, me и прочей тряхомудией.
     
     
  • 2.94, Аноним (82), 16:15, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А TPM в принципе не нужен и является аппаратным бэкдором на равне с secure boot, intel sgx, me и прочей тряхомудией.

    Не, TPM полезен вообще-то, но в ограниченном количестве случаев и не должен предполагать особую важность данных. В основном для корпоративного применения или как здесь для удаленной загрузки сервера, чтобы не бегать вручную пароль вводить.

     
  • 2.196, Аноним (199), 03:29, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    TPM не может быть бекдором, так как не умеет активно влиять на вычислительные пр... большой текст свёрнут, показать
     
     
  • 3.212, Аноним (-), 07:19, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    кому попало И по случайному совпадению - упал на мой кулак 5 раз подряд, тьф... большой текст свёрнут, показать
     
     
  • 4.272, Аноним (199), 23:39, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Как политика настроена, тому и выдаётся Можно и кому попало, а можно только в с... большой текст свёрнут, показать
     
     
  • 5.307, Аноним (-), 13:21, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Во этом всем я вижу как минимуму 1 небольшой нюанс вроде бы ниоткуда не следует... большой текст свёрнут, показать
     
  • 4.276, Аноним (199), 01:11, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А может, просто не надо хранить ключи шифрования в чипах с мутноблобистой фирмварой? Да и даже с открытой - и правильным процессом - стоит сто раз подумать что если ключ локально есть то и атакующий до него добраться в принципе все-таки может.

    Представь себе железку, которая висит на линии reset и умеет один раз за загрузку по единственной команде отдавать ключ. Подключена эта железка по тупому протоколу, без всяких DMA - пусть будет RS-232. Как ты собираешься удалённо добираться до ключа?

    Атакующий конечно сможет добраться до всего - абсолютно защищённых систем не существует. Даже если ключа не будет локально, он сможет его в момент ввода сохранить.

     
     
  • 5.308, Аноним (-), 13:37, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем на линии Reset то Ну вот тут уже сложнее Особенно если что-то типа диф... большой текст свёрнут, показать
     
  • 2.246, onanim (?), 12:16, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    не гони на secure boot, он-то как раз - дар богов.
    а остальное - да, бэкдоры.
     
     
  • 3.274, Аноним (199), 00:47, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Secure boot абсолютно бесполезен. Того же уровня безопасности можно достичь, просто поставив пароль на изменение настроек BIOS и пломбу на корпус, что было возможно ещё во времена IBM PC AT.

    Если злоумышленник может писать тебе в загрузчик, то он и secure boot выключит - это один байт в Setup в nvstore. А если не может, то ни с чего, кроме локального диска (при правильной настройке загрузчика и BIOS) он не сможет без нарушения целостности корпуса.

     
     
  • 4.301, Аноним (301), 11:03, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > это один байт в Setup в nvstore

    Попробуйте выключить Secure Boot на моём enterprise ноуте. Раньше теплового конца вселенной не получится.

     
     
  • 5.309, Аноним (-), 13:39, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Попробуйте выключить Secure Boot на моём enterprise ноуте. Раньше теплового конца вселенной
    > не получится.

    Потом вылезет какой-нибудь vendor cmd который делает невозможное за 10 секунд... :)))

     

  • 1.93, Аноним (77), 16:13, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    если заблокирован ключ к зашифрованному, то зашифрованное не зашифровано, а заблокировано.
    и его не надо расшифровывать, а достаточно только разблокировать.

    поэтому корень дыры лежит в сведении зашифрованности к заблокированности.

     
     
  • 2.96, Аноним (27), 16:44, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Корень в том что никто не любит тех кто шифруется и на них всегда методы найдутся.
     
     
  • 3.153, Аноним (150), 22:24, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это как-то называется другими выражениями )
     
  • 3.165, Вася (??), 23:07, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    никто это кто? ты щас пишешь на сайте через https, но не люблю я тебя только за нелепые высказывания, таким образом твое утверждение про абстрактных "никто" несколько не соответствует истине
     
  • 2.148, Tron is Whistling (?), 21:40, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Абсолютно да.
    И железка по превращению одного в другое называется TPM.
    Я это некоторым донести так и не смог, пришлось просто по рукам бить.
     

  • 1.97, YetAnotherOnanym (ok), 17:01, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Либо ты держишь пароль в голове, либо не морочишь себе голову и не страдаешь фигнёй с шифрованием. А вот это вот мозгоблудие "как бы сделать бы так бы, чтобы пароль там как бы был, и в то же время его там как бы не было" - это от лукаваго.
     
     
  • 2.288, BeLord (ok), 13:27, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пароль можно забыть, вот у меня было парочку архивов начала 2000-х, год назад я понял, что пароль уже не вспомнить.-))
     

  • 1.100, Аноним (100), 17:35, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    При этом помимо автоматизированной разблокировки в подобных системах остаётся и возможность ручного ввода пароля разблокировки зашифрованного раздела, которая оставлена ****на случай сбоя автоматизированного процесса разблокировки.****

    Так почему ручной ввод работал параллельно, а не запускался ЕСЛИ и ПОСЛЕ того, как в автоматическом вводе происходил сбой?

     
     
  • 2.112, Аноним (27), 17:55, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    По какой методике ты собираешься это проверять что если и после? Или гуманитарий?
     
     
  • 3.304, фф (?), 11:47, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    пф

    #!/bin/sh

    if ! decrypt_automatic --please; then
       decrypt_manual --hule
    fi


     
  • 2.126, пох. (?), 18:50, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Так почему ручной ввод работал параллельно, а не запускался ЕСЛИ и ПОСЛЕ

    Патамушта у нас же ж системдрянь заботится об очень-очень-быстрой загрузке и все операции делает параллельно, включая даже аварийный запуск.

    Других разработчиков "системных менеджеров" у меня для вас нет. Попробуйте, что-ли, винду?

     
     
  • 3.241, Аноним (241), 11:47, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Попробуйте, что-ли, винду?

    Зачем же так сразу - в петлю?

     

  • 1.104, Ананоним (?), 17:42, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Это какой-то... позор.
     
     
  • 2.110, Аноним (27), 17:52, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не прокатило, вычёркиваем. Да вы правы.
     

  • 1.123, Аноним (123), 18:43, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не баг а фича - Леннарт Пёттеринг...
     
  • 1.124, Аноним (-), 18:44, 02/09/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.128, Аноним (128), 19:50, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Любопытно смотреть на любителей шифрования когда у них начинается сыпаться диск. В случае обычного раздела удается спасти почти все, а вот в случае шифрованного остается только любоваться их выражением лица
     
     
  • 2.130, Вы забыли заполнить поле Name (?), 20:01, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если удалось примонтировать, то какая разница?
     
  • 2.131, Аноним (131), 20:06, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Еще интереснее смотреть на ваши студенческие сборки дистрибутивов -- 20 лет ИТ в РФ -- замещение и не одной нормальной комерческой ОС - с закрытым кодом.
     
     
  • 3.154, Аноним (150), 22:28, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    😊 Прекратите. Они серьёзно думают, что занимаются серьёзным делом типа выращивания еды или выработки энергии для них же.
     
  • 2.134, Q2W (?), 20:25, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Бекапы же есть
     
  • 2.142, Shevchuk (ok), 21:28, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Есть два типа людей: те, кто не делает бэкапы, и те, кто уже делает.
     
     
  • 3.149, Аноним (149), 22:08, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще-то три. Люди делятся на три категории: те кто ещё не делает резервные копии, те, кто уже делает, и те, кто проверяет сделанные.

     
     
  • 4.205, Shevchuk (ok), 04:52, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это подкатегория вторых
     
  • 2.151, Tron is Whistling (?), 22:15, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А, современные SSD всё равно сыпаться умеют так, что с них хоть с шифрованием, хоть без - не вытащить ничего.
    Бэкап - друг человека.
     
  • 2.161, Вася (??), 22:55, 02/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    raid 1 или бекапы, что же выбрать... да какая разница, оба варианта отлично помогают от сыпящихся дисков.
     
     
  • 3.298, _ (??), 06:52, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эпический!(С)
     
  • 2.240, Аноним (241), 11:45, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Любопытно смотреть на мненечегоскрывателей, когда у них крадут ноут со всей их личной и рабочей перепиской, рабочими проектами под неразглашением, паролями от веб-сервисов, сохранениями от игр и архивом домашнеговидео^W семейных фотографий за десять лет супружеской жизни. Всё незашифрованное. А бэкапов нет, ведь они же самонадеянные эксперты по восстановлению разделов.
     
  • 2.271, Perlovka (ok), 23:18, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Любопытно смотреть на администраторов локалхоста, которые в жизни не работали в системах, где секретность информации стоит выше ее сохранности.
     

  • 1.167, Аноним (173), 23:11, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Атака сводится к тому, что злоумышленник может подключить устройство для симуляции непрерывного нажатия Enter, откатить процесс загрузки на ручной ввод пароля разблокировки и успеть исчерпать максимальный лимит на число попыток ввода пароля в небольшой промежуток времени до окончания выполнения обработчика автоматической разблокировки (автоматическая разблокировка требует времени и симулируя очень быстрые нажатия Enter можно успеть завершить выполнение процесса ручной разблокировки раньше, чем отработает параллельно запущенный процесс автоматической разблокировки).

    Это вообще законно???

     
     
  • 2.211, YetAnotherOnanym (ok), 07:16, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    "Это деяние, хотя и предусмотренное Уголовным кодексом, все же имеет невинный вид детской игры в крысу"
     

  • 1.168, Аноним (173), 23:18, 02/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >В качестве возможной меры для защиты от атаки рекомендуется выставить при загрузке параметры ядра rd.shell=0 и rd.emergency=reboot, при которых в случае сбоя на раннем этапе загрузки будет выполнена автоматическая перезагрузка, а не переход в интерактивный сеанс.

    Да как так-то?
    Вот надо таки было использовать FreeBSD или OpenBSD. Там такой фигни нет. По умолчанию.

     
     
  • 2.305, фф (?), 11:51, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    в смысле нет? я так рутовский пароль и на фри и на опен восстанавливал.
     

  • 1.192, torvn77 (ok), 02:12, 03/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Systemd, получив управление  

    Корень всех проблем

     
     
  • 2.238, Аноним (241), 11:39, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    /bin/sh лучше?
     
     
  • 3.286, torvn77 (ok), 13:15, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем sh если есть sysVinit?
     
  • 2.239, Аноним (241), 11:39, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.opennet.me/openforum/vsluhforumID3/131398.html#237
     
     
  • 3.287, torvn77 (ok), 13:19, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тем не менее решение о предоставлении локального доступа без предоставления пароля принимает именно systemd.  
    а вот sulogin по умолчанию без пароля не пустит.
     

  • 1.202, Аноним (202), 04:28, 03/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Дать рута не спрашивая пароля рута? SystemDегиниально!
     
     
  • 2.237, Аноним (241), 11:37, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты вообще понимаешь о чём говоришь, гений Как устроен процесс загрузки ядра Чт... большой текст свёрнут, показать
     
     
  • 3.275, Аноним (199), 01:05, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь внимательнее почитай эту функцию Там выше запускается init из initram... большой текст свёрнут, показать
     
     
  • 4.280, Аноним (179), 11:38, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это не функция, а ленивое выражение Если часть выражения, которая вызывает функ... большой текст свёрнут, показать
     
     
  • 5.294, Аноним (199), 19:26, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да Это ленивое выражение находится внутри функции kernel_init, которая вызыва... большой текст свёрнут, показать
     
     
  • 6.312, Аноним (312), 14:16, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Которая тоже строка, содержащая путь init , если не установлен другой , по ко... большой текст свёрнут, показать
     
  • 6.313, Аноним (312), 15:01, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ты вообще не замечаешь, как ловко у M всё выходит В рекламных буклетах M ти... большой текст свёрнут, показать
     
  • 6.314, Аноним (312), 15:12, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И в догонку.
    Почему логика про "кривой Линукс" и "сам настроил, сам виноват" не работает. Потому что в природе не существует устройств, которые бы не взломали на этапе загрузки-инициализации, имея к ним железный доступ. Причем, даже не прибегая к пайке/монтированию. Если Гугель с миллионами долларов не смог, значит, и от Васи с тыщей рублей в кармане требовать большего глупо.
     

     ....большая нить свёрнута, показать (7)

  • 1.206, Аноним (206), 05:10, 03/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> Systemd, получив управление после неудачных попыток ручной разблокировки, не сможет получить доступ к файловым системам на зашифрованных дисках, предложит перейти в режим восстановления после сбоя и предоставит доступ к командной оболочке с правами root в окружении загрузочного ram-диска.

    А при испорченном (контролируемо) диске мы тоже получим режим восстановления с рутом? Уже неплохо, плюс восстановим (с флешки) повреждённое и инициируем штатный процесс автоматической разблокировки зашифрованных дисков, вот и данные.

     
     
  • 2.230, пох. (?), 10:34, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А при испорченном (контролируемо) диске мы тоже получим режим восстановления с рутом?

    _якобы_ наши средства шифрования не позволяют диск испортить контролируемо (если ты уже не рут еще до перезагрузки). Реализация вполне может быть как обычно.

    Я еще не забыл историю ранних дней линукса, когда у них des оказался xor'ом. Причем это было видно просто если посмотреть hexdump - но кто бы мог подумать и было ли чем, сказали же ж вам - des, чего на него смотреть-то.

    > Уже неплохо, плюс восстановим (с флешки) повреждённое и инициируем штатный процесс

    С флэшки не получится, если это не кого надо флэшка.

    С штатного загрузчика подписанного своим ключом - не должно получаться без запроса пароля, но сам видишь, получается, даже без необходимости что-то там портить.

     
     
  • 3.261, Аноним (206), 17:34, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я имел в виду немного другое т к у нас подключается USB-брелок, то физический ... большой текст свёрнут, показать
     
     
  • 4.315, пох. (?), 23:03, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    дружище, ты хорошо понимаешь разницу между - пихнуть мелкую флэшку - и вынуть ди... большой текст свёрнут, показать
     
     
  • 5.318, Аноним (206), 05:39, 06/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Вариант с мелкой флешкой конечно удобней, безусловно, просто описание уязвимос... большой текст свёрнут, показать
     
  • 4.316, пох. (?), 23:03, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    дружище, ты хорошо понимаешь разницу между - пихнуть мелкую флэшку - и вынуть ди... большой текст свёрнут, показать
     

  • 1.213, Аноним (213), 08:54, 03/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Шифрование с тпм это шифрование просто от детей, не более.
     
     
  • 2.277, Аноним (199), 01:13, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Для детей и пароля на биос с загрузчиком хватит. Или просто кабель питания унести с собой на работу.
     
     
  • 3.290, 1 (??), 15:54, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это у тебя ещё маленькие дети.
     
     
  • 4.317, пох. (?), 23:04, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Это у тебя ещё маленькие дети.

    не достают с пола до клавиатуры на столе,угу

     

  • 1.250, Аноним (250), 13:06, 03/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >В Linux

    Пишите правду в заголовке что systemd виновато

     
     
  • 2.255, пох. (?), 14:34, 03/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    systemd/linux тогда уж.

    (у нас есть и другой линукс, в нем нет этой уязвимости, но он называется - андроид и тебе вряд ли понравится)

     
     
  • 3.302, Аноним (302), 11:18, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    к счастью, полно линуксов и без systemd помимо этого вашего "ведра"
     
     
  • 4.311, пох. (?), 14:02, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > к счастью, полно линуксов и без systemd помимо этого вашего "ведра"

    с тем же успехом ты мог бы вспомнить netbsd, или вовсе там ресдох.
    Но есть один нюанс, догадываешься, какой?

    В общем-то дома на локалхосте тебе не нужны никакие ключи в tpm - всегда можно набрать пароль вручную, заодно и не забудешь его.


     

  • 1.256, Аноним (256), 14:45, 03/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Держите компы в сейфе, а питание осуществляйте методом электромагнитной индукции через маленькую дырдочку.
     
     
  • 2.285, torvn77 (ok), 13:13, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Через вал мотор-генератора будет практичнее.
     

  • 1.257, pavlinux (ok), 15:24, 03/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > непрерывно симулирующий нажатие Enter c задержкой на уровне 15 миллисекунд,

    Насколько помню, у контроллера клавы задерка 25 мс.

     
     
  • 2.278, Аноним (199), 01:23, 04/09/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У USB HID такой задержки нет. Стандартная частота поллинга EP - 125 Гц, что даст задержку в 8 мс.

    У контроллера клавиатуры, что в SuperIO, по умолчанию частота шины 10-16 КГц (62-83 мкс) и честные прерывания.

    Частота опроса типичной клавиатурной матрицы контроллером внутри дешёвой клавиатуры - 350 Гц. Можно смело делить на два, потому что обычно ещё антидребезг делают, что даёт суммарную задержку где-то около 6 мс.

     

  • 1.281, Аноним (281), 11:53, 04/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понимаю, что если настроен ввод PIN дополнительно, то эту атаку нельзя провести?
     
  • 1.282, Golangdev (?), 11:58, 04/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > откатить процесс загрузки на ручной ввод пароля разблокировки и успеть исчерпать максимальный лимит на число попыток ввода пароля в небольшой промежуток времени до окончания выполнения обработчика автоматической разблокировки (автоматическая разблокировка требует времени и симулируя очень быстрые нажатия Enter можно успеть завершить выполнение процесса ручной разблокировки раньше, чем отработает параллельно запущенный процесс автоматической разблокировки)

    хех, сделали race condition, молодцы!)

     
  • 1.289, Аноним (289), 14:01, 04/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Раньше считалось что если зажать энтер то система быстрее грузится
     
  • 1.328, Алексей (??), 20:37, 09/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А почему, интересно, загрузка с левой железякой считается за measured boot?
     
     
  • 2.329, onanim (?), 10:28, 10/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А почему, интересно, загрузка с левой железякой считается за measured boot?

    потому что эта железяка кого надо железяка

     

  • 1.333, Пряник (?), 09:37, 18/09/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > можно успеть завершить выполнение процесса ручной разблокировки раньше, чем отработает параллельно запущенный процесс автоматической разблокировки

    ДВА параллельных процесса разблокировки! Ты действовал наверняка, да?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру