The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Как сделать небольшую консольную напоминалку паролей на основе PGP.

18.08.2003 02:30

В статье поедполагается описать опыт автора по изобретению велосипеда в лице консольной напоминалки паролей. Велосипед изобретался по причине неудовлетворённости найденными разработками в данном направлении. Да и вообще немного и на пальцах, о том, как можно использовать PGP в домашних условиях для шифрования важных данных.

  1. Главная ссылка к новости (http://dev.sputnikmedia.net/~r...)
Автор новости: Alexander Kulinich
Тип: Практикум
Короткая ссылка: https://opennet.ru/2793-pgp
Ключевые слова: pgp, password, crypt, console
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, John Doe (?), 19:09, 19/08/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Внимание!!! Этот ╚чудо скрипт╩ больше похож на Троянского коня.
     
     
  • 2.2, Sergey Shurin (?), 19:38, 19/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно... :) Параноя это конечто неплохо, но надо ж чуствовать меру :)
    Я думаю почти каждый(и я тоже) использует подобные "велосипеды" но вот человека не обламало описать процесс изготовления.
    А трояна там никакого нету - там же 10 строк и из нестандартных команд - только gnupg - чем там троянить? :)
     
     
  • 3.3, John Doe (?), 02:33, 20/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Раз Почему Троян Эта полезная программа содержит несколько ошибок надеюсь,... большой текст свёрнут, показать
     
     
  • 4.4, Alexander Kulinich (?), 08:08, 20/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Всё так Не спорю - варианты взлома хоть и достаточно абсурдны, но реальны Немн... большой текст свёрнут, показать
     
     
  • 5.5, Alexander Kulinich (?), 08:15, 20/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Тьху, блин, пора спать :)
    Естественно - не
    TMP_FILE=/tmp/'echo date | md5'
    а
    TMP_FILE=/tmp/'date | md5'
    или даже так:
    TMP_FILE=/tmp/'echo 'date'$$ | md5'
     
     
  • 6.6, Alexander Kulinich (?), 08:47, 20/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    RND_NUM='cat /dev/urandom | tr -cd 5-9 | head -c1'                                                  TMP_FILE=/tmp/'echo $$ | md5 | tail -c${RND_NUM}''date | md5 | head -c${RND_NUM}'
     
     
  • 7.14, John Doe (?), 21:05, 20/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно. Все приводимые заплатки выглядят внушительно (складывается ощущение, что проблемы решены), а на самом деле бесполезны.

    1) Теперь открытые пароли хранятся не в /tmp/<число>, а в /tmp/<очень случайная строка символов>, но суть от этого не меняется √ некоторое время файл содержащий открытые пароли доступен не чтение всем пользователям! Нет ничего сложного в том, чтобы следить за всеми вновь создаваемыми файлами во временной директории. Соответственно злоумышленнику нужно успеть прочитать файл с паролями после выполнения команды cat ${FILE} | gpg -d  -q > ${TMP_FILE} и до выполнения chmod 600 ${TMP_FILE}. А это не так маловероятно, как может показаться на первый взгляд. Каждая из этих команд √ процесс, а первая и не один (правда, это неважно). Процесс создается относительно медленно. К тому же, атакующая программа может повысить свои шансы fork▓нувшись раз этак 10, а то и побольше.
    ИТОГО. Файл с открытыми паролями должен располагаться в недоступном для остальных пользователей месте, а не в директории /tmp. Вопрос со ╚злым╩ root▓ом остается открытым.

    2) Команда cat /dev/urandom | tr -cd A-HJ-NP-Za-km-z1-9 | head -c1000  > ${TMP_FILE}, по сути, ничем не отличается от cat /dev/null > /tmp/$$.
    ИТОГО. Для чего создана утилита shred?

     
     
  • 8.15, Alexander Kulinich (?), 10:09, 21/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    1 Предложи лучшее решение на sh 2 По сути Как уде сказали - ложить можно в хо... текст свёрнут, показать
     
     
  • 9.18, Sergey Shurin (?), 12:12, 21/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Small bug fix vim -c read cat FILE 124 gpg -d -q TMP_FILE ... текст свёрнут, показать
     
  • 5.8, poige (?), 11:23, 20/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >В любом случае - я не ставил себе задачей написать универсальную и
    >абсолютно безопастную утилиту, как не ставил задания писать Троянского

    "безопасность". Нет там никакой "Т" inside. :)

    /poige
    --
    http://www.i.morning.ru/~poige/

     
  • 4.9, Sergey Shurin (?), 11:52, 20/08/2003 [^] [^^] [^^^] [ответить]  
  • +/

    :))))))))))))

    AHTUNG!!! Данный скрипт не рекомендуется использовать на машинах, на                                  
    которых рут есть у кого-либо кроме вас - это вполне серьёзно.                                          
    Кроме того дисковую систему, на которой использовался данный скрипт,                                  
    нельзя выбрасывать. Её надо утопить в горячей домне, при этом убедившись                              
    в _полном_ уничтожении. Иначе, злоумышленник, используя "недавние                                      
    достижения NIST в туннельной электронной микроскопии (Bruce Schneier,                                  
    Applied Cryptography, 2002)" сможет восстановить ваши пароли.

     

  • 1.7, Nikolaev D. (?), 08:59, 20/08/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    to:John Doe

    Согласен, "чудо скрипт" - троян.
    Принцип действия - социальный инжиринг.

     
  • 1.10, Аноним (10), 16:14, 20/08/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа, насчет абстрактного злоумышленника... а кто мешает $HOME/tmp вместо /tmp использовать?
    кажется никто
     
  • 1.11, Nikolaev D. (?), 17:27, 20/08/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >а кто мешает $HOME/tmp вместо /tmp использовать?
    А то, что:
    1. такой директории может не быть(но можно создать, а если $HOME - корень например ???)
    2. Идеология не верна в принципе - если на ФС записан файл с НЕШИФРОВННЫМИ паролями, то rm -rf file удаляет метку, но не ДАННЫЕ. Уверенным можно быть, ТОЛЬКО после прохода dd по всему диску. А если $HOME монтируется по NFS к примеру ?

    И вообще:
    crypt > passwods.file
    Вводим текст

    crypt < passwords.file
    получаем текст

     
     
  • 2.12, Sergey Shurin (?), 18:00, 20/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Чего-то мне кажется, что чегo-то типа John the Ripper прочитает ваш password.file аж на ура :-\
    В то время как ПГП с двухкилобайтным ключем ФСБ будет ламать пару недель.
     

  • 1.13, Аноним (10), 18:53, 20/08/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    shred /dev/hda
     
  • 1.16, Nikolaev D. (?), 10:14, 21/08/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Чего-то мне кажется, что чегo-то типа John the Ripper прочитает ваш password.file аж на ура

    Полностью согласен - стойкость никакая. Так что пароли надо хранить в памяти человека :)

     
     
  • 2.17, Андрей (?), 10:54, 21/08/2003 [^] [^^] [^^^] [ответить]  
  • +/
    И память перидически освежать - зажав ему (юзеру)пальцы в тиски, или иголки под ногти.....я просто про то что это всё класс , но мы прийдём всё к тому же - самое слабое место человек.
     

  • 1.20, Alexander Kulinich (?), 12:45, 16/03/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Новый адрес: http://rulez.kiev.ua/files/articles/pgp.html
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру