The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в Cryptsetup, позволяющая получить доступ к root shell

15.11.2016 09:27

В пакете Cryptsetup, применяемом для шифрования дисковых разделов в Linux, выявлена уязвимость (CVE-2016-4484), позволяющая получить доступ в командную оболочку начального загрузочного окружения initramfs или Dracut с правами пользователя root. Проблема вызвана ошибкой в коде скрипта разблокировки и проявляется только при использовании шифрования LUKS (Linux Unified Key Setup) на системных разделах.

Для эксплуатации уязвимости достаточно нажать и удерживать клавишу Enter в ответ на запрос ввода пароля для доступа к зашифрованным разделам. После примерно 70 секунд удерживания Enter пользователь будет выброшен в root shell загрузочного окружения. Атака хорошо повторяема и не зависит от настроек или системного окружения. Для атаки требуется физический доступ к системе, но не исключаются и варианты удалённой эксплуатации облачных окружений. Из систем для которых уязвимость предоставляет угрозу также упоминаются автоматизированные рабочие места, пункты совместного доступа к интернет, интернет-киоски, справочные автоматы и другие публично доступные устройства с клавиатурой.

Несмотря на то, что полный доступ предоставляется только в окружение начальной загрузки initramfs или Dracut, атакующий имеет возможность скопировать, изменить или вывести из строя содержимое незашифрованных дисков (зашифрованные разделы остаются недоступны). Например, обычно без шифрования оставляется раздел /boot, что позволяет подменить загрузочные файлы или оставить исполняемый файл с правами SetUID root для повышения привилегий локального пользователя. Также можно настроить сетевое соединение и скопировать зашифрованный раздел для осуществления подбора пароля.

Проблема вызвана неверной обработкой превышения лимита на максимальное число попыток монтирования - вместо предложения выполнить перезагрузку, осуществлялся выход из скрипта проверки c кодом ошибки, что приводило к продолжению попыток смонтировать раздел и выводу консоли восстановления (root shell) после превышения лимита на число неудачных попыток. В настоящее время обновления для пакета Cryptsetup в дистрибутивах пока не выпущены (Debian, RHEL, Ubuntu, Fedora, CentOS, SUSE, openSUSE). В качестве временной меры защиты можно настроить в grub загрузку ядра с параметром "panic" (в GRUB_CMDLINE_LINUX_DEFAULT добавить "panic=5" и запустить grub-install), после чего загрузочный скрипт инициирует перезагрузку вместо вывода root shell.



  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Уязвимость в GRUB2, позволяющая обойти блокировку загрузки паролем
  3. OpenNews: Уязвимость, позволяющая вклиниться в стороннее TCP-соединение
  4. OpenNews: Локальная DoS-уязвимость в systemd
  5. OpenNews: Аудит VeraCrypt выявил 8 критических уязвимостей
  6. OpenNews: Критическая уязвимость в ядре Linux, уже эксплуатируемая злоумышленниками
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45492-cryptsetup
Ключевые слова: cryptsetup
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (91) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, 1 (??), 10:23, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >Для атаки требуется физический доступ к системе

    Ну как обычно

     
     
  • 2.8, rshadow (ok), 10:52, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Опять новость о прикольной беге. Все как в старых виндах: нажал эскейп в окне входа - залогинился код админом :)

    По факту конечно кто шифрует диски, тот знает что у него все хорошо, даже если физический доступ и рут шелл

     
     
  • 3.9, Чаёвник (?), 11:06, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я не знаю, что у меня всё хорошо. Более того меня волнуют следующие моменты
    1) Как сменить пароль на зашифрованный диск?
    2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?
    3) Если зашифрован раздел с данными пользователя (encryptfs) - как сменить ему пароль? В /etc/passwd пароль то меняется штатными средствами, но профиль пользователя перестаёт монтироваться.
     
     
  • 4.17, dry (ok), 11:35, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    1. Читать мануал, luksAddKey/luksRemoveKey/luksChangeKey
    2. Если есть уверенность, что не скомпрометирован физический доступ, то черех iLO/IPMI/iDRAC
    3. Не пользуюсь, но совет тут общий - читай маны. Не хочешь маны - читай гугл. Не хочешь гугл - бери метлу, иди работать.
     
     
  • 5.56, Чаёвник (?), 14:11, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Спасибо. Как-то затупил и слёту про LUKS не нашёл был.
    iLO/IPMI/iDRAC - сугубо аппаратные решения, не всегда они доступны.
    А вот Dropbear SSH видимо оно, даже гуглится сразу https://stinkyparkia.wordpress.com/2014/10/14/remote-unlocking-luks-encrypted-
    Осталось encryptfs для хомяка забороть
     
     
  • 6.62, Аноним (-), 16:51, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ecryptfs-add-passphrase подойдёт? Ещё можно через смену домашнего каталога с новым паролем.
     
  • 4.18, mine (ok), 11:40, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    1) По методу Симпсона. Пункт один - подойти, пункт два - сменить. Это конечно, если ты адекват и использовал LUKS. Там мастер-ключ от раздела хранится на нём же зашифрованный паролем пользователя. Смена пароля = расшифровать мастер-ключ старым паролем + зашифровать новым. Это же позволяет иметь много паролей от одного раздела.
    2) Если физически машина под твоим контролем, то Dropbear SSH в загрузочном образе. Если нет, то у тебя нет и не будет секурности. Вообще.
    3) ХЗ, я этим не пользуюсь.
     
  • 4.22, yummy (?), 11:45, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?

    Если нужна реальная секурность, то никак.

     
     
  • 5.68, Фкук (?), 20:17, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Если нужна реальная секурность, то никак.

    iLo чем не устраивает?

     
     
  • 6.75, Michael Shigorin (ok), 13:33, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>> Если нужна [B]реальная секурность[/B], то никак.
    > iLo чем не устраивает?

    Прошивку покажите.  И да, у меня знакомые разработчики IPMI firmware по крайней мере есть.

     
  • 6.95, Аноним (-), 10:01, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > iLo чем не устраивает?

    Да вот понимаешь, жила была фирма супермикро. И запалилась на инженерном логине в таких вещах. Ну конечно же они случайно забыли, вы ничего не подумайте.

     
  • 4.24, aluck (?), 11:51, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Dropbear SSH решит часть проблем
     
  • 4.25, Аноним (-), 11:55, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Причем количество слотов вроде 8
     
  • 4.29, Аноним (-), 12:16, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Смотри
    http://youngblog.hoster-ok.com/smena-parolya-na-zashifrovannyh-cryptoluks-raz
     
  • 4.65, Меломан1 (?), 19:02, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на
    > ночь) не топая ножками и при этом сохранив секурность?

    Юзай deo encrypt. Серверы будут бутаться по ssl ключам.

     
     
  • 5.85, Аноним (-), 02:43, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это еще какая-то проприетарная куйня, по типу http-ss и прочих ie-ee?
     
  • 4.70, Аноним (-), 22:28, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 1) Как сменить пароль на зашифрованный диск?

    Штатными средствами.

    > 2) Как забутать удалённо машину, если она ребутнулась (например свет пропадал на ночь) не топая ножками и при этом сохранив секурность?

    UPS (Uninterruptible Power Supply) и/или SecureBoot.

    > 3) Если зашифрован раздел с данными пользователя (encryptfs) - как сменить ему пароль? В /etc/passwd пароль то меняется штатными средствами, но профиль пользователя перестаёт монтироваться.

    Не использовать encryptfs.

    Безопасность всегда подразумевает какой-то компромисс с удобством, и этот случай не исключение.

     
     
  • 5.76, Michael Shigorin (ok), 14:15, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> 2) Как забутать [B]удалённо[/B] машину, если она ребутнулась (например свет пропадал [B]на ночь[/B])
    >> не топая ножками и при этом сохранив секурность?
    > UPS (Uninterruptible Power Supply) и/или SecureBoot.

    ?!

     
     
  • 6.78, Аноним (-), 16:14, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    UPS как раз и нужен, чтобы электричество не пропадало. А SecureBoot (при соблюдении некоторого списка условий и допущений) может гарантировать загрузку доверенного ядра.
     
     
  • 7.79, Michael Shigorin (ok), 16:55, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > UPS как раз и нужен, чтобы электричество не пропадало.

    Для этого при "на ночь" в условиях [I]обычно[/I] нужен уже дизель-генератор -- хотя для одной машинки, конечно, может хватить и горки батареек.

    > А SecureBoot (при соблюдении некоторого списка условий и допущений)
    > может гарантировать загрузку доверенного ядра.

    По крайней мере без весьма неприятных условий или глупых допущений -- максимум загрузчика.  Ну, насколько я в теме: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

     
     
  • 8.82, Аноним (-), 21:01, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Безопасность 8212 это всегда компромисс с удобством Тем, кому действительно ... текст свёрнут, показать
     
     
  • 9.83, Michael Shigorin (ok), 00:52, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Попробуйте ... текст свёрнут, показать
     
     
  • 10.96, Аноним (-), 22:16, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем пробовать На двух серверах поднял, хоть и не без бубна, и оно уже год раб... текст свёрнут, показать
     
  • 8.86, Аноним (-), 02:54, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Olimex тут как-то писали что их сервер даунлоадов остался last man W server stan... текст свёрнут, показать
     
  • 3.16, Аноним (-), 11:32, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Если есть физический доступ, то ты не можешь быть уверен, что все хорошо.
    1. Подменяем Cryptsetup.
    2. Ждем пока кто-нибудь введет пароль в подмененный Cryptsetup.
    3. ???
    4. PROFIT!
     
  • 3.72, Андрей (??), 00:45, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Опять новость о прикольной беге. Все как в старых виндах: нажал эскейп в окне входа - залогинился код админом :)

    Да, удобно было. Пользователям. А под линуксами аналогично, только нужно быть усердней: 28 раз нажать "забой", и всё - grub сдался и пропустил. Было тут ровно 11 месяцев назад: https://www.opennet.ru/opennews/art.shtml?num=43536

     

  • 1.3, Анонимко (?), 10:25, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    это полный привет... Любой ребенок может взять мой ноутбук и "взломать" его
     
     
  • 2.4, Аноним (-), 10:28, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +18 +/
    Ребнок первым делом отломает экран.
     
  • 2.7, anonymous (??), 10:51, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    если ребёнок может взять твой ноут, то он в любом случае может получить рута, просто прописав в грубе init=/bin/bash или, если корень тоже зашифрован, свичнуться в инитрамфс или какое-нибудь грубово рескью. ну или просто вытащить твой винт

    эта ошибка не расшифровывает раздел, она просто спихивает тебя в шелл

     
     
  • 3.26, Анонимко (?), 11:58, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен с вами. Данные это не скомпрометирует. А если злоумышленник имеет в распоряжении бук и 70+ секунд на эксплуатацию этой уязвимости, он уже имеет полный доступ к винту. Хотябы методом его тыринга. Так что да. Не так уж и страшно.
     
     
  • 4.28, Аноним (-), 12:05, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если все носители зашифрованы ключом с количеством символов 40+,
    то пусть тырят. Только для этого 70 секунд маловато будет.
    Или просто выдрать носители и бежать.
     
     
  • 5.57, Аноним84701 (?), 14:45, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Если все носители зашифрованы ключом с количеством символов 40+,

    А чем не угодили 10-12 символов? PBKDF2/bcrypt вкупе с банальной комбинаторикой подсказывают, что если "не хватит" 12-и символов, то и 40+ не сильно помогут.

    > . Только для этого 70 секунд маловато будет.

    Обычно достаточно открутить один винт крепления крышки на дне/c боку ноута и выдернуть хард. Частенько таким же образом можно добавить оперативку.
    А вот "взять две отвертки, открутить 10 винтов, снять крышку, открутить еще 4, вынуть хард" -- такую "дружественность" к пользователю любят в яблоках делать :)

     
     
  • 6.60, Аноним (-), 16:06, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    У пароля есть такая характеристика как стойкость/качество.
    Так вот, если вы берете 40 символов, состоящих только
    из строчных букв и цифр, то его стойкость чуть выше 200 bit
    Ежели вы выберети все символы (строчные и прописные, цифры,
    минус, пробел, подчеркивание, спец символы), то это
    где выше 256 bit

    Выдернуть диск это самое простое, но кто высказался
    о копировании инфы, и тут нужен значительный временной задел.

     
     
  • 7.63, Аноним84701 (?), 16:58, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    CODE 4738381338321616896 17868991024601705453143247728943779822828577300160174... большой текст свёрнут, показать
     
     
  • 8.64, Аноним (-), 18:24, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Все определяется ценой вопроса Никто не будет тратить 100 р за инфу в 1 р По ... текст свёрнут, показать
     
     
  • 9.66, Аноним84701 (?), 19:25, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Предлагаю подсчитать цену на нужные ресурсы для подбора 26 мрд паролей в секунд... большой текст свёрнут, показать
     
  • 6.61, Аноним (-), 16:09, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тут чуток инфы
    https://ru.wikipedia.org/wiki/Сложность_пароля
     

  • 1.5, Ващенаглухо (ok), 10:51, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?
     
     
  • 2.11, Леха (?), 11:11, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Пароль Grub легко удалить, если есть любой livecd. Примонтировал /boot, удалил из grub.cfg нужные строки, перезагрузился и все готово, но это если Grub находится на не зашифрованном разделе, иначе труба....
     
  • 2.32, J.L. (?), 12:24, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?

    *если /boot тоже зашифрован*
    а как вы с этим живёте ? кто его расшифровывает ?
    пароль груба не относится к шифрованию бута

     
     
  • 3.35, J.L. (?), 12:33, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Интересно сработает если /boot тоже зашифрован, когда grub запрашивает пароль?
    > *если /boot тоже зашифрован*
    > а как вы с этим живёте ? кто его расшифровывает ?
    > пароль груба не относится к шифрованию бута

    видимо ответ тут https://www.opennet.ru/openforum/vsluhforumID3/109646.html#19
    "grub2 умеет открыть LUKS"

     

  • 1.10, Аноним (-), 11:11, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    А что означает
    while true; do 100; done
    ?

    Что такое 100?

     
     
  • 2.31, anon5894 (?), 12:20, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +14 +/
    сто
     
     
  • 3.74, KonstantinB (ok), 05:10, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а 3*100 ?
     

  • 1.12, Аноним (-), 11:17, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > если /boot тоже зашифрован

    Это как сделать? Первый раз слышу о таком.

     
     
  • 2.19, EuPhobos (ok), 11:41, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем /boot и ставит grub2.
     
     
  • 3.23, Аноним (-), 11:46, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении, что boot нужно убирать на внешний носитель.
     
     
  • 4.33, J.L. (?), 12:27, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении,
    > что boot нужно убирать на внешний носитель.

    и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик читает именно с вашего нужного внешнего носителя (я пока не знаю как бы это делать нормально кроме как каждый раз вызывать меню выбора "откуда грузимся")

     
     
  • 5.37, Аноним (-), 12:38, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Хм.. На вирт машине прям сегодня посмотрю. Хотя остаюсь при совем мнении,
    >> что boot нужно убирать на внешний носитель.
    > и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик
    > читает именно с вашего нужного внешнего носителя (я пока не знаю
    > как бы это делать нормально кроме как каждый раз вызывать меню
    > выбора "откуда грузимся")

    В БИОСе можно явно указать - грузится с внешнего носителя. Указать с какого именно в большенстве случаев не получится, но в некоторых есть профили загрузки.

     
     
  • 6.88, Аноним (-), 06:07, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В БИОСе можно явно указать - грузится с внешнего носителя.

    В результате атакующему остается лишь без палива сунуть мелкую флешку показывающую логин-промпт похожий на ваш - и для вас дело полная шляпа.

     
  • 5.89, Аноним (-), 06:11, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > и ещё надо как-то убеждаться что биос машины первый в цепочке загрузчик
    > читает именно с вашего нужного внешнего носителя (я пока не знаю
    > как бы это делать нормально кроме как каждый раз вызывать меню
    > выбора "откуда грузимся")

    Интел уже убедился. Что первым неизбежно запускается ME (management engine) и проверяет что BIOS правильный. Чтобы вы случайно не соскочили с их услуг по причинению пользы и нанесению добра.

    Поэтому если вы пользуетесь писюком свежее 2010 года на чипсетах от интел - вы можете ожидать вполне конкретный уровень безопасноти... интела. От вас и ваших систем. Ну а то что ME может все перепатчить, поменять настройки BIOS и даже операционку переставить при том что это доступно по сети и даже невозможно зафайрволить - дичайший баян.

     
  • 3.34, J.L. (?), 12:31, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Граб2 умеет работать c LUKS, дебиан прям с инсталлятора шифрует без проблем
    > /boot и ставит grub2.

    проблема в том что загрузочный сектор винчестера доступен для подмены при возможности загрузится с ливсидюка
    но в принципе для умеренного уровня паранои наверно достаточно будет настроить биос на загрузку с определённого винта и пароль на биос
    надо посмотреть как там груб умеет с LUKS, пропустил эту возможность

     
     
  • 4.41, Аноним (-), 12:45, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И что вы получите на выходе при подмене?
    Невозможность открыть?
     
     
  • 5.44, J.L. (?), 12:53, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И что вы получите на выходе при подмене?
    > Невозможность открыть?

    кейлогер вписанный в функциональность стандартного загрузочного сектора
    (но наверно скрытая камера или микрофон+анализ звука клавиш будут удобнее для заинтересованных лиц)

     
     
  • 6.49, Аноним (-), 13:11, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Уже тут договорились, что /бут
    на внешнем носителе.
    Камеры конечно бывают маленькими,
    но чем меньше, тем меньше разрешение.
    Вопрос питания и коммуникаций.
    Все это скрыть.. ну надо быть сильно невнимательным.
     
  • 3.84, Аноним (-), 01:08, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как этот grub запустится, если он сам зашифрован будет? Или шифруется не веcь /boot, а только ядро и initrd?
     
     
  • 4.98, JL2001 (ok), 15:14, 19/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А как этот grub запустится, если он сам зашифрован будет? Или шифруется
    > не веcь /boot, а только ядро и initrd?

    груб запускается с мбр и ко, дальше предположительно он умеет спросить пароль и открыть зашифрованный раздел (зашифрована не вся поверхность, там ещё технические структуры типо таблицы разделов и прочего, в этом объёме пускатель груба и лежит)

     

  • 1.13, Аноним (-), 11:19, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > с правами пользователя root.

    Как они получаются? Ну в шелл сбрасывает - может быть, но как под рутом? Нихрена не понятно ((

     
     
  • 2.36, J.L. (?), 12:37, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> с правами пользователя root.
    > Как они получаются? Ну в шелл сбрасывает - может быть, но как
    > под рутом? Нихрена не понятно ((

    аналогично этому
    init=/bin/bash
    и получаешь инитрдешный шел под рутом + зашифрованные винчестеры

     
     
  • 3.90, Аноним (-), 06:15, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это валидно при условии что бутлоадер согласен тебя пустить в продвинутости. Тот же grub умеет пароль просить при этом. Не то чтобы это сильная защита, но если атакующий ограничен во времени - это немного стопорнет атакующего. Хотя если он сможет загрузиться с другого носителя - эта линия защиты будет расплющена.

    Чтобы менять настройки BIOS было нельзя - бывает пароль на BIOS. А на него бывает AWARD_SW, после ввода которого менять их становится таки можно. И прочие management engine.

     

  • 1.14, Аноним (-), 11:21, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > получить доступ в командную оболочку начального загрузочного окружения

    Это в принципе не уязвимость как таковая. Зашифрованные данные остаются зашифрованными. А доступ к остальным разделам при наличии доступа к железу - дело времени.

     
     
  • 2.91, Аноним (-), 06:17, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Это в принципе не уязвимость как таковая. Зашифрованные данные остаются зашифрованными.

    Тем не менее, атакующий может подпихнуть приблуду которая ему сольет твой пароль при этом. И если у атакуюшего выдастся минутка когда ты отошел посцать - можно зажать энтер, подпихнуть приблуду, отвалить в туман и сделать вид что так и было. А вот дальше атакующий уже знает как все это расшифровывать, извини.

     

  • 1.15, Аноним (-), 11:24, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > добавить "panic=5" и запустить grub-install

    update-grub не катит?

     
  • 1.21, vantoo (ok), 11:45, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Это больше на закладку похоже.
     
  • 1.30, J.L. (?), 12:19, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > обычно без шифрования оставляется раздел /boot

    до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?

     
     
  • 2.39, J.L. (?), 12:41, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> обычно без шифрования оставляется раздел /boot
    > до кого-то ещё не дошло что /boot должен быть на флешке (в
    > формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен
    > и настроен на загрузку с определённой флешки а все винчестеры целиком
    > и полностью зашифрованы ?

    ладно, ладно
    для умеренного уровня паранои наверно достаточно будет настроить биос на загрузку с определённого винта и пароль на биос + цельношифрованный диск + шифрованный бут + груб2 с умением стартануть с LUKS
    и опечатанный корпус компа чтоб не сняли винт/не ребутнулись в ливсидюк и не заменили загрузочный сектор винта

     
     
  • 3.43, Аноним (-), 12:49, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Опечатанный корпус предотвращает бесконтрольный доступ, а не сам доступ.
    Что вам дает замена загрузочного сектора? Уже сказано, что boot вынесен на внешний носитель.
    Где вы хотите его найти и заменить?
     
     
  • 4.46, J.L. (?), 13:01, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Что вам дает замена загрузочного сектора? Уже сказано, что boot вынесен на
    > внешний носитель.

    есть два варианта
    1) бут на внешнем + загрузка явно с этого внешнего + необходимость во флешке + "защита машины/биоса от чужих лап" (а то перепрошьют биос на версию с кейлогером)
    2) бут внутри полностью шифрованного винчестера + груб2 умеющий с LUKS + загрузка явно с этого винчестера + "защита машины/биоса от чужих лап" (а то перепрошьют биос на версию с кейлогером И/ИЛИ загрузочный сектор винчестера на версию с кейлогером)

    получается что второй вариант не требует флешки при одинаковых уязвимостях к "физическому доступу"

    как я понимаю достоинство первого варианта - возможность открывать винт по паролю+ключу, а не только по паролю
    достоинство второго - отсутствие флешки

     
     
  • 5.48, Аноним (-), 13:06, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В чем достоинство отсуствия флешки?
    Вы на 100% контролируете защиту boot,
    без всякого его шифрования.

    Вариант 3:
    Установка ОС на внешний носитель с полнодисковым шифрованием.
    (USB3.0, размер носителя не проблема).

     
     
  • 6.53, J.L. (?), 13:44, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > В чем достоинство отсуствия флешки?

    не потерять через дырку в кармане

    > Вы на 100% контролируете защиту boot, без всякого его шифрования.

    а чем вообще вариант груб2+luksboot на винчестере плох ?

    > Вариант 3:
    > Установка ОС на внешний носитель с полнодисковым шифрованием.
    > (USB3.0, размер носителя не проблема).

    мы так договоримся до убунтутелефона в кармане, а вместо компа у нас теперь будет юсб-хаб с винтом+клавомышкой и монитор по hdmi

     
     
  • 7.55, Аноним (-), 14:03, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если за шифрованный диск +/- можно быть спокойным, то с /boot не все однозначно.
    Вдруг потом выснится какая то уязвимость, которую противник знал, а вы нет?
    Примеров таких полно.

    Что касается ОС на внешнем носителе, так а что вы теряете?
    В производительности? Не уверен. На ПК где приложением требуется
    серьезные ресурсы, врядли содержится информация, которую нужно защищать.
    Или вы что неправильно организовали в совем рабочем процессе/месте.

     
  • 2.50, ryoken (ok), 13:26, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > до кого-то ещё не дошло что /boot должен быть на флешке (в
    > формфакторе позволяющим её быстро съесть и ещё быстрее переварить)

    Благородный дон происходит от крокодилов???

     
     
  • 3.92, Аноним (-), 06:20, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Благородный дон происходит от крокодилов???

    Вроде бы, переваривать пластик не умеют даже крокодилы. Многие пластики достаточно устойчивы к химии. И RoHS конечно RoHS'ом но применяемые в электронной промышленности материалы все-таки не сказать что полезны для здоровья.

     

  • 1.38, Аноним (-), 12:38, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?

    А ещё надо быстро подключится по удаленке при пропававшем инете и съесть флешку без запивки, по чесноку что-бы было. )))
    А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика. )))

     
     
  • 2.40, Аноним (-), 12:44, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
    > А ещё надо быстро подключится по удаленке при пропававшем инете и съесть
    > флешку без запивки, по чесноку что-бы было. )))
    > А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика.
    > )))

    Нечего хранить инфу на удаленной машине.
    И да, заминировать. При отключении питания срабатывает механический взрыватель.

     
     
  • 3.42, J.L. (?), 12:49, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>>до кого-то ещё не дошло что /boot должен быть на флешке (в формфакторе позволяющим её быстро съесть и ещё быстрее переварить), биос запаролен и настроен на загрузку с определённой флешки а все винчестеры целиком и полностью зашифрованы ?
    >> А ещё надо быстро подключится по удаленке при пропававшем инете и съесть
    >> флешку без запивки, по чесноку что-бы было. )))
    >> А винчестеры заминировать и взорвать при первой опасности или появлении таракана разведчика.
    >> )))
    > Нечего хранить инфу на удаленной машине.
    > И да, заминировать. При отключении питания срабатывает механический взрыватель.

    зачем ? вроде пока LUKS не ломали... достаточно винчестер открывать по ключу (с паролем) и ключик уничтожать - пусть отапливают вселенную ломая, людям же надо получать зарплату
    а про то что в брянском болоте запрятан бекап ключика забывать под гипнозом заранее

    или вы считаете что ваш пароль уже соснифили (скрытой камерой) и теперь пришли уже за винчестером ?

     
     
  • 4.45, Аноним (-), 12:56, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
    Тот кто получил к ней доступ с запущенной ОС, получил доступ к инфе
    в открытом виде.
     
     
  • 5.47, J.L. (?), 13:06, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
    > Тот кто получил к ней доступ с запущенной ОС, получил доступ к
    > инфе
    >  в открытом виде.

    ну это если говорить о вариантах с чтением памяти через перестановку после жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой доступ к памяти, или какой взлом запущенных на машине сервисов)
    тут уж никакие зашифрованные винчестеры не помогут, так что речь идёт только о варианте когда желающий не может получить доступ внуторь рабочей расшифрованной системы, а только как простой смертный через - ввод спертого пароля

     
     
  • 6.52, ryoken (ok), 13:27, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Чего тут вообще обсуждать, когда утрачен доступ к удаленной машине?
    >> Тот кто получил к ней доступ с запущенной ОС, получил доступ к
    >> инфе
    >>  в открытом виде.
    > ну это если говорить о вариантах с чтением памяти через перестановку после
    > жидкого азота или ещё какими техническими средствами (говорят Thunderbolt имеет прямой
    > доступ к памяти, или какой взлом запущенных на машине сервисов)

    Ещё вроде Ieee1394, которвй FireWire.

     
     
  • 7.93, Аноним (-), 06:29, 17/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А также PCI PCIe и прочие infiniband И таки да - есть девайсы которые сделав DM... большой текст свёрнут, показать
     
  • 3.51, ryoken (ok), 13:26, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Нечего хранить инфу на удаленной машине.

    Как можно УДАЛИТЬ машину..?
    ..а, тьфу :D

     
     
  • 4.54, J.L. (?), 13:48, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Нечего хранить инфу на удаленной машине.
    > Как можно УДАЛИТЬ машину..?
    > ..а, тьфу :D

    //оффтоп
    как-то так http://www.ua.all.biz/img/ua/catalog/1156254.jpeg
    а это удаление в корзину http://itc.ua/wp-content/uploads/2014/12/22_main145-671x362.jpg

     
  • 4.58, тоже Аноним (ok), 14:46, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это же русифицированная терминология - бессмысленная и бессмысленная.
    Любое нововведение должно быть названо так, чтобы звучало по возможности неочевидно и по-канцелярски.
    В данном случае, например, вариант "отдаленный" не вызывал бы подобных казусов, но он чересчур литературен, чтобы им кто-то всерьез пользовался. Недостаточно суконно.
     
     
  • 5.69, Аноним (-), 21:45, 15/11/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Пиши ещё.
     
     
  • 6.71, тоже Аноним (ok), 00:34, 16/11/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Да что писать об очевидном?
    Любой человек, писавший курсовые и диплом, поневоле выучился этому странному диалекту русского языка, изобилующему деепричастиями и сложноподчиненными предложениями, скорее предназначенному не для донесения некоторой мысли до читающего, а для скрытия того факта, что никакой мысли в прочитанном тексте нет.
    Принято у нас лить воду и оговаривать терминологию вместо того, чтобы сказать что-то простым бытовым языком. Понятным при беглом прочтении. Зато скорочтение процветает - вчитываться-то в тексты никакого смысла нет, главное - разглядеть те две строчки сути, которые размазаны на весь лист.
     

  • 1.67, Michael Shigorin (ok), 19:50, 15/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Точно в cryptsetup, а не в чьих-то кривых дистрибутивных скриптах?
    Не слышу хора "systemd-mkinitrdd!".
     
  • 1.73, Аноним (-), 00:50, 16/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Тут писали что можно шифровать раздел /boot
    Не поленился и решил зашифровать.
    Установщик сходу заорал, что такое
    делать нельзя.
    "Это невозможно, так как системный загрузчик
    не сможет загрузить ядро и initrd" (дословно)

    Что делается не так?

     
     
  • 2.97, M (?), 14:36, 18/11/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Инсталлятор 8.6 перестал давать такое делать. Надо 8.5. Предположу, что 8.5 не проверяет  есть ли бут на незашифрованном разделе.
     

  • 1.77, Аноним (-), 14:33, 16/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Но ведь это же уязвимость в инициализационных скриптах дебиана, а никак не в cryptsetup.
     
  • 1.81, Аноним (-), 17:26, 16/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    16.11.2016 в ветке debian testing обновлены пакеты cryptsetup,cryptsetup-bin.
     
  • 1.94, marios (ok), 09:13, 17/11/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Может ли система подписей UEFI-прошива -> загрузчик -> ядро обеспечить защиту от подмены ядра?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру