| 1.1, const86 (ok), 12:53, 05/03/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> искусственно вызывался сбой через незначительное изменение напряжения, подаваемого для питания атакуемой системы
Во фантазёры, а...
| | |
| |
| 2.6, twilight (ok), 13:33, 05/03/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
ага, так просто обозвать ученых фантазерами, особенного, когда у самого знаний нет.
gbop.nm.ru/htm/gbop-8-3.htm
| | |
| 2.14, ыцла (?), 15:23, 05/03/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> искусственно вызывался сбой через незначительное изменение напряжения, подаваемого для питания атакуемой системы
>
>Во фантазёры, а...
методу основанному на анализе сбойных данных - сто лет в обед. Впервые его применили для взлома smart-card.
Не показывайте лучше свою неграмотность, смешно.
| | |
|
| 1.2, Аноним (-), 12:56, 05/03/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
при физическом доступе ключ можно попросту стырить, rsa никогда и не гарантировал безопасность при физиеском доступе
| | |
| |
| 2.9, Cobold (??), 14:01, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
банальный пример - уличные банкоматы, эти ребята показали что реально подключиться на кабель питания и телефонную линию не вызывая подозрений. Если там конечно openssl используется.
| | |
| |
| 3.16, Аноним (-), 17:58, 05/03/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
Конечно, ведь это так просто, когда в кармане лежит работающий под управлением Debian GNU/Linux кластер из 80 узлов.
| | |
| |
| 4.21, Cobold (??), 21:17, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
проблем-то, найти 80 студентов-информатиков из одной общаги :) Во сколько ящиков пива банкомат обойдётся ?
| | |
|
| 3.35, User294 (ok), 05:24, 07/03/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Угу, учтя что у большей части банкоматов видеокамеры - интересный вопрос, через сколько времени служба безопасности банка возьмет за выступающую часть тела таких хаксоров :).Кроме того, блоки питания банкоматов врядли позволят слишком комфортно глючить питание, а влезть в кишки банкомата чтобы подергать питание там более прицельно с низковольтной стороны ... удачи в этом начинании, ага. Сухярями заодно запаситесь :)
| | |
| |
| 4.47, progr (?), 09:24, 09/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
Вот только закупаемые российскими банками банкоматы зачастую не имеют встроенного бесперебойника, а то и внутрях нет места, чтоб поставить обычный.
| | |
|
|
|
| 1.3, AleksK (?), 13:11, 05/03/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Ух, а если ещё найти владельца атакуемой системы, да паяльник или утюг... то время можно свести вообще до нескольких минут.
| | |
| |
| 2.20, XoRe (ok), 21:07, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Ух, а если ещё найти владельца атакуемой системы, да паяльник или утюг...
>то время можно свести вообще до нескольких минут.
Термо-ректальные методы всегда останутся вне конкуренции)
| | |
|
| 1.4, CaptainJack (?), 13:17, 05/03/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
найти владельца атакуемой системы, да паяльник или утюг... это уже физический доступ на другой уровень.
| | |
| |
| 2.10, User294 (ok), 14:11, 05/03/2010 [^] [^^] [^^^] [ответить]
| +3 +/– |
Знаете, даже если нашинковать вас на кусочки - 1024 битный ключ вы нифига не вспомните...
| | |
| |
| 3.43, Slavaz (ok), 13:24, 08/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Знаете, даже если нашинковать вас на кусочки - 1024 битный ключ вы
>нифига не вспомните...
Зато вспомните, где он лежит и как его достать ;)
| | |
|
|
| 1.5, CHERTS (??), 13:23, 05/03/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Паяльник для владельца не поможет раскрыть пароль закрытого ключа, потому как в нормальной системе владелец ключа не знает пароль! Пароль генерируется случайно и имеет непредсказуемую длину. Хранится пароль в памяти программы подписи сертификатов, ресет системы или открытие корпуса или другие события приводят к очистке кэша и стиранию ключа из памяти. При загрузке сервера ключь запрашивается, админ открывает сейф, достаем конверт с ключом, вводит пароль, опечатывает конверт и кладет назад. Запомнить случайно сгенерированный пароль ключа к примеру из 20 символов нереально человеку. Так что человеческий фактор и паяльник исключаются напрочь. Если только не ввести человека в транс и не выудить ключь у него из подсознания, что нереально!
| | |
| |
| 2.7, J10 (?), 13:40, 05/03/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
пример хоть одной такой "нормальной" системы? психоневрологические диспансеры не считаются
| | |
| |
| 3.17, anesth (ok), 18:40, 05/03/2010 [^] [^^] [^^^] [ответить] | +5 +/– | Домашняя система кардера З машины, 1 FreeBSD 2 Gentoo одна xenolinux, одна b... большой текст свёрнут, показать | | |
| |
| 4.18, Andrew Kolchoogin (?), 19:41, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– | |
Дурачок он. Не знает основополагающих принципов защиты информации.
Вот взломают ему дверь. Увидят всё это барахло. Поймут, что "наши люди в булочную на такси не ездят", поймают "просто, чтобы на всякий случай", а дальше -- правильно, он самый. Ректотермальный криптоанализ. Отмазки типа "а что говорить-то" не прокатывают -- а вот всё, что знаешь, то и говори. Зачем тебе это всё, чем занимался, и так далее. Потом и потерпевших найдут. А дальше -- "басманное правосудие" (tm), и ты едешь отдыхать на курорт где-нибудь в сильно восточной Сибири.
Если нужно что-то хорошо спрятать, нужно прятать так, чтобы было незаметно. :) И стеганография -- только первый шаг. :)
| | |
| |
| 5.24, anesth (ok), 23:44, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
Ну знает он очень много, я даже удивляюсь - математик по образованию, он дофигища знает в области медицины, права, баллистики, чёрт знает чего ещё. А что показал - так это ж он не поймал меня на улице за руку, мы знакомы весьма давно:)
Да, мы на Украине, у нас Сибири нету. И с правохоронителями отношения по-другому строятся. Вот товарища, о ком речь - ужо его чекисты душили-душили, душили-душили... А у него судимости даже нету до сих пор. И пофиг ему всё.
Но два адвоката - на контракте постоянно.
| | |
| |
| 6.25, anesth (ok), 23:50, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
PS. Ну деньги там действительно водятся. По моему впечатлению (если не предполагать, что он их в банках засаливает), просто по тому, как они тратятся - это заработать честно вполне реально. Спрашиваю - зачем? Внятного ответа не добился. Так мне хочется и всё тут.
Помоему, тут просто эгоизм и желание играть.
| | |
| |
| 7.31, GliNT (??), 13:37, 06/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
 Интересно, как все эти меры предосторожности и адвакаты могут помочь если приедут другие ребята, не из органов. У денег всегда есть владелец, иногда такой, что лучше и вообще не знать, что он есть. В лучшем случае оставят жить, забрав все, в худшем - лучше и не говорить. С огнем товарищ играет, адреналин похоже вставляет, и детская радость от того, что "всех перехитрил".
| | |
|
|
| 5.26, anesth (ok), 01:10, 06/03/2010 [^] [^^] [^^^] [ответить] | +/– | Дружище, да вы видимо на практике ни с басманным печерским, по-нашему правосуд... большой текст свёрнут, показать | | |
| |
| 6.32, Аноним (-), 15:34, 06/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
Сильно вашему другу помогут все эти знания, когда в ОБЭПе ему "слоника" сделают? Думаю, он сам во всем признается еще и доказательства покажет где взять.
| | |
| |
| 7.50, XoRe (ok), 22:21, 09/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Сильно вашему другу помогут все эти знания, когда в ОБЭПе ему "слоника"
>сделают?
Очень интересно (чисто теоретически) узнать, что такое слоник)
| | |
|
|
|
| 4.22, anonimous (?), 21:17, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Хозяин если и неадекватен...
И при всех мерах безопасности, он похвастался этим перед вами ? Действительно неадекват.
| | |
| |
| 5.36, User294 (ok), 05:33, 07/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
>И при всех мерах безопасности, он похвастался этим перед вами ? Действительно
>неадекват.
Более того - теперь все знают как выглядит этот ваш кардер :). И даже самый дебиловатый следователь может намотать на ус. А если еще и не дебиловатый - и подавно.
| | |
|
| 4.23, m0t0 (?), 21:28, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
А это не он показывал в москве, на большом экране всякие непотребства :).
| | |
| 4.46, octo (?), 08:54, 09/03/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
ключ тут - жена с грудным ребенком... Помните как в Штирлице ребенка радистки Кэт на морозец выносили?
| | |
|
|
| 2.8, Аноним (-), 13:58, 05/03/2010 [^] [^^] [^^^] [ответить]
| +1 +/– |
Делов то... значит паяльник вставляется админу, и он "открывает сейф, достаем конверт с ключом..."
| | |
| 2.13, ыцла (?), 15:20, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
Какой к черту пароль на RSA? Вы с симметричными ключами не путайте.
| | |
| |
| |
| 4.19, Andrew Kolchoogin (?), 19:43, 05/03/2010 [^] [^^] [^^^] [ответить]
| +/– | |
> Учите матчасть. Закрытый ключ шифруется пассфразой.
Да, учите матчасть. А как выучите, найдите мне в алгоритме Рона Ривеста, Ади Шамира и Леонарда Адельмана хоть одно упоминание о каких-то там "фразах".
| | |
| 4.38, User294 (ok), 05:57, 07/03/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Учите матчасть. Закрытый ключ шифруется пассфразой.
К.О. намекает: пассфраза - весьма опциональный довесок который к самому RSA не относится никаким боком. Дополнительная навесная мера защиты. Может юзаться. Может не юзаться.
| | |
|
|
| 2.28, Аноним (-), 09:09, 06/03/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>в нормальной системе владелец ключа не знает пароль!
Оть иманна.
Запарили малопочтенные с придыханием произносить: "паяяяяльник".
В минимальной конторе получить доступ к данным через паяльник - все равно, что пытаться вынести Алмазный фонд, пытая постового мента на Манежке.
| | |
|
| 1.11, CHERTS (??), 14:46, 05/03/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Бумажка с паролем в одном экземпляре, кладется в конверт и в сейф
Толку от паяльника, админ что ли высрет эту бумажку когда вы нападете на него в темном переулке?
Другое дело, что он может её укрась и передать злодею васе пупкину, но это уже другая история из другой сказки.
| | |
| |
| 2.29, Аноним (-), 09:11, 06/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
>Бумажка с паролем в одном экземпляре, кладется в конверт и в сейф
>
>Толку от паяльника, админ что ли высрет эту бумажку когда вы нападете
>на него в темном переулке?
>Другое дело, что он может её укрась и передать злодею васе пупкину,
>но это уже другая история из другой сказки.
Ребята имеют ввиду себя и никчемный личный архивный файл на задворках домашнего диска.
| | |
| |
| 3.30, Damon (??), 10:47, 06/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
 > Ребята имеют ввиду себя и никчемный личный архивный файл на задворках домашнего диска.
Не совсем так, к расшифровке зашифрованых архивов данная новость отношения не имеет!
. Цитирую:
>> ...исследователи разработали способ свести время определения 1024-битного RSA-ключа, используемом для _аутентификации_...
Также из wiki ( http://ru.wikipedia.org/wiki/RSA ):
>> RSA (буквенная аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом.
Таким образом подразумевается, что один из ключей (открытый или закрытый) в устройстве уже есть. Если у вас есть доступ к машинке (ПыСы),тем более Вы можете оперировать с питанием(!), вам никто не помешает прочитать его из файла, либо дизассемблирование бинарника! Т.ч., это скорее к смарт-картам (для них данный метод известен давно!) и другим устройствам идентификации, например, электронным паспортам, если там, конечно, используется аутентификация.
PS: есть более интересное и мирное применение данной техники (для ендюзеров) -- борьба с тивоизацией ( http://ru.wikipedia.org/wiki/%D0%A2%D0%B8%D0%B2 ):
>> Тивоизация (от англ. Tivoization) — практика создания аппаратно-программных систем, у которых ПО имеет копилефт-лицензию, но аппаратное обеспечение не даёт запускать модифицированную версию ПО (например, с помощью цифровой подписи).
Имея на руках девайс, вполне можно применить данную технику для подбора ключа для подписи прошивки!
| | |
| |
| 4.33, Аноним (-), 17:20, 06/03/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Не совсем так, к расшифровке зашифрованых архивов данная новость отношения не имеет!
Я ровно о том же. А вот кричатели слова "паяльнег!" никак не поймут, что обсуждаемый в статье физический доступ к оборудованию и демонизируемый ими физический доступ к телу (в случае доступа к телу максимальным призом станет как раз никчемный личный архив) - разные-преразные, не пересекающиеся, перспективы.
| | |
| |
| 5.34, anonymous vulgaris (?), 03:49, 07/03/2010 [^] [^^] [^^^] [ответить]
| +/– | |
>Не совсем так, к расшифровке зашифрованых архивов данная новость отношения не имеет!
Естественно, имеет отношение только к попилу денег американских налогоплательщиков (The authors acknowledge the support of the National Science Foundation). Ну ученым тоже есть надо. И дипломы и диссеры делать.
Если поглядеть оригинал то видно, что все так называемые "эксперименты по снижению напряжения питания проводились на специально сделанном нереалистичном устройстве
The hardware consists of a SPARC-based Leon3 SoC from Gaisler Research, which is representative of an off-the-shelf commericial embedded device. In our experiments, the unmodified VHDL of the Leon3 was mapped on a Xilinx Virtex2Pro FPGA.
Естественно на реальном чипе ничего бы не вышло. По причинам которые понятны всем здешним спецам и самим авторам открытия.
| | |
| |
| 6.39, Damon (??), 09:44, 07/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
>The hardware consists of a SPARC-based Leon3 SoC from Gaisler Research, which
>is representative of an off-the-shelf commericial embedded device. In our experiments,
>the unmodified VHDL of the Leon3 was mapped on a Xilinx
>Virtex2Pro FPGA.
>
>Естественно на реальном чипе ничего бы не вышло. По причинам которые понятны
>всем здешним спецам и самим авторам открытия.
Ну... ПЛИСина греется неплохо во время работы, т.ч. КПД по сравнению с готовым процом у нее значительно меньше, следовательно, существенные для "взлома" эффекты могут быть выражены сильнее. Этим, как вариант, объясняется такой странный (с Вашей точки зрения) выбор тестового объекта для НИОКРа...
Ну а касательно самого "экскремента" :-)... Leon3, насколько я знаю, доступен в исходниках (возможно, это тоже сыграло свою роль -- ребята знали внутреннее устройство процессора с точностью до вентиля), Virtex2Pro также вполне доступен... Работа вполне поддается проверке, все в ваших руках! Заодно и нам расскажите, что получилось. :-)
| | |
| 6.41, Аноним (-), 18:12, 07/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>Если поглядеть оригинал то видно, что все так называемые "эксперименты по снижению
>напряжения питания проводились на специально сделанном нереалистичном устройстве
>
>The hardware consists of a SPARC-based Leon3 SoC from Gaisler Research, which
>is representative of an off-the-shelf commericial embedded device. In our experiments,
>the unmodified VHDL of the Leon3 was mapped on a Xilinx
>Virtex2Pro FPGA.
>
>Естественно на реальном чипе ничего бы не вышло. По причинам которые понятны
>всем здешним спецам и самим авторам открытия.
А, может, все же, осилить программу восьмилетки?
Не задумывались?
| | |
|
|
| |
| |
| 6.42, User294 (ok), 05:11, 08/03/2010 [^] [^^] [^^^] [ответить]
| +2 +/– |
Очередной пример небольшой проприетарной халтуры. Как видите, фирмваре умного счетчика не отличается чрезмерной заботой о приваси и безопасности клиента и всякой прочей фигне. Ведь тем кто писал фирмваре по большому счету насрать что там случится с клиентом. Что самое интересное - в какую проприетарь не ткни а такое отношение к клиенту - почти везде. Дескать, авось клиент дурак, авось все вокруг дебилы, авось халтурку не заметят. Подумаешь, рандом генератор туп как топор и предсказуем. В глаза не бросается а зарплату 1 хрен заплатят. А потом... что потом можно посмотреть на примере NXP vs студенты :)
| | |
| |
| 7.44, twilight (ok), 15:07, 08/03/2010 [^] [^^] [^^^] [ответить]
| +/– |
это называется SBO - security by obscur^W ostrich.
За сцылку отдельная благодарность :)
| | |
|
|
|
|
|
|
|
