| |
| 2.3, Аноним (3), 12:23, 17/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Сейчас придут как обычно умники. Которые скажут что для пароля на листочке нужен физический доступ, поэтому это не уязвимость, тьфу.
| | |
| |
| |
| |
| 5.113, нах. (?), 14:05, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
ЦБ рф считает что это недостаточно сложный пароль и запрещает тебе им пользоваться.
Кроме того, через два месяца (когда ты уже четыре раза его поменял, причем разумеется не на предыдущий) ты разумеется нифига не помнишь лошадь там чего и куда.
| | |
|
|
| 3.5, Аноним (5), 12:30, 17/01/2025 [^] [^^] [^^^] [ответить]
| +8 +/– |
если пароль под клавиатурой, то это безопасно. если на мониторе прицеплено - это уязвимость!
| | |
| |
| 4.17, Аноним (17), 13:23, 17/01/2025 [^] [^^] [^^^] [ответить]
| +4 +/– |
В проспекте одной компании видел фото директора на фоне монитора, на котором приклеен листочек с паролем.
| | |
| |
| 5.22, Аноним (-), 13:51, 17/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> В проспекте одной компании видел фото директора на фоне монитора, на котором приклеен листочек с паролем.
Мы тоже так развлекались, но пароль был на стенки и "типа случайно попал в кадр".
Было весело показывать мамкиным какирам страничку с указанием статьи УК и наказания в ней.
Но это конечно не honeypot, так просто поржать.
| | |
| |
| 6.84, aaa (??), 22:55, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
А если такой пароль был на приклеенном к ноутбуку листочке, а ноутбук подключался к СОРМ-2 на точке обмена трафиком нескольких провайдеров?
| | |
|
|
|
|
| 2.12, Аноним (12), 13:04, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Под клавой будет секурнее. Здесь же пароль приклеен на моник.
| | |
|
| 1.2, Аноним (3), 12:21, 17/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Вот как обычно тут верещали про теории заговора, а тут вот подробно описано почему это шерето. Но нет они будут продолжать писать что вы все врете. Потому что у них рушится картина идеального мира.
| | |
| 1.16, Аноним (16), 13:23, 17/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Проблема совсем в другом. /boot надо шифровать и загрузку верифицировать хотя бы. Но тогда systemd-boot работать не будет.
Проблемы нет если ВСЕ ключи BG, SB, GRUB2, IMA/EVM создаёт собственник, пользователь компа, администратор.
Но производители ноутбуков решили иначе они создают ключ BG, для подписи своего UEFI и без всякого заговора, чисто по случайности, подписывают ключ M$ для верификации загрузки винды. И теперь, чтобы вы не изобретали будет дырень.
| | |
| |
| |
| 3.98, Аноним (98), 09:52, 18/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Где инструкция как и каким программатором перепрошить ключ Intel Boot Guard (BG)?
| | |
| |
| |
| 5.110, Аноним (110), 11:48, 18/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
В доступной документации написано, что Intel Boot Guard пишется в ROM область IntelME без возможности перезаписи. Если кто знает как его изменить/отключить пишите.
| | |
| |
| 6.133, Аноним (133), 19:18, 21/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Чем-то напомнило документацию, согласно которой идентификаторы мобилы должны записываться без возможности перезаписи. Но сименс вертела требования и ставила обычную в некоторые свои мобилы( потому что той памяти у них дофига было и кто будет проверять ? ). Их потом ещё долго даже бу-шные искали и весьма за дорого
| | |
|
|
|
|
| 2.90, Аноньимъ (ok), 05:10, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
 А можно поподробнее?
То-есть, то, что я свои ключи на ноут поставил - все-равно оставляет производителю возможность загрузить бяку?
| | |
| |
| 3.99, Аноним (98), 10:03, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
В некоторых производителей есть ключ Boot Guard (BG) защищающий UEFI с ключами Secure Boot (SB).
Вы наверно поставили ключ SB который верифицирует загрузчик OS.
Насколько мне известно при поддержки BG все производители ноутов его ставят и им верифицирует содержимое UEFI.
Возможность загрузить UEFI есть в любом случае. fwupd может устанавливать UEFI от производителя.
Если BG включен, то без вашей подписи ключом BG загруженное UEFI и ключи SB работать не будут. Комп не загрузится.
| | |
| |
| 4.104, Аноньимъ (ok), 10:43, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Ну да. Подписал загрузчик.
Ноут хп предлагает создать рекавери флешку на случай если потеряю ключи.
| | |
| |
| 5.111, Аноним (110), 11:51, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Вот загрузчик и защищён SB, наверное, измените и посмотрите. Кроме загрузчика SB ничего не защищает.
| | |
|
|
|
|
| 1.18, xsignal (ok), 13:30, 17/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Примеры совершения атаки продемонстрированы [...] в связке с systemd
Ожидаемо, куда ж без него...
| | |
| |
| 2.44, Аноним (44), 16:00, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Так другого то ничего и не осталось.
А если интересно - сам проверь с другими, но там явно будет тоже(а не будет там где нет uefi, то есть у нормальных мамонтов но они увы вымерли.. ну почти все)
| | |
|
| |
| |
| 3.26, Аноним (26), 14:09, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
«Но зачем?» Сколько нужно дать вашему «админу», чтобы он сам всё вынес и/или установил аппартный бэкдор «где нужно»?
А для некоторых организаций эта сумма стремится к $0.
| | |
| |
| 4.117, нах. (?), 16:11, 18/01/2025 [^] [^^] [^^^] [ответить] | +/– | квалифицированному - много А л0x вчера нанятый младшим отклеивателем стикеров н... большой текст свёрнут, показать | | |
|
|
| |
| |
| 4.76, Аноним (76), 18:29, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Вспоминает пароль от зашифрованного диска в компе, где (была) настроена учётка, откуда он писал и где была всё разработка... всёж секьюрно. режима "напомнить пароль" нет... а если начнёт писать с другого адреса, то все же заорут "а... обман, царь не настоящий"
| | |
|
|
|
| 1.24, Аноним (26), 14:05, 17/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
Атака представляет собой усовершенствованный вариант перевода системы в «single-user mode». Абсолютно штатная особенность всех юниксов.
Шифрование дисков позволяет предотвратить утечку данных (или репутационные последствия) в случае если диск из сервера *вдруг* окажется на помойке.
Для всего остального оно бесполезно.
| | |
| |
| 2.87, Аноним (-), 01:28, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
если держать шифрованные диски на компе без доступа в интернет а раздавать по AoE то очень даже полезно
| | |
|
| 1.25, mos87 (ok), 14:07, 17/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Перед подобными новостями нужно сразу пейсать поясниловку - скачать-сканпелять-запуститьотрута, или всё хуже.
| | |
| 1.29, Аноним (17), 14:31, 17/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> Извлечение диска и ... Возвращение диска в исходный компьютер
Дисковый массив из 24 дисков весь извлекать? Еще вопрос. Когда? В выходные проникнуть. За 2 дня можно управиться. Как пояснить, что это время система не будет работать? В-общем, вопросов масса. Тут не атака, а целая тактическая операция. А по сути - бpeд.
| | |
| |
| 2.31, Аноним (-), 14:43, 17/01/2025 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Дисковый массив из 24 дисков весь извлекать? Еще вопрос. Когда? В выходные проникнуть. За 2 дня можно управиться. Как пояснить, что это время система не будет работать?
Но если это ноут, то ситуация очень сильно упрощается.
Типа "мы сперли ноут гендира просто разбив окно его авто".
> В-общем, вопросов масса. Тут не атака, а целая тактическая операция. А по сути - бpeд.
Не назвал бы это совсем бредом - например для маски шоу от государства оно вполне подойдет.
Хотя тут проще предложить 10ку или сказать пароль)
| | |
| |
| 3.33, Аноним (33), 14:48, 17/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> мы сперли ноут гендира просто разбив окно его авто
... потом вернули на место (в разбитое окно), дождались, пока гендир включит ноут, введёт пароль (разбитое окно просто так было же, и внезапный промпт пароля это в порядке вещей), вернёт ноут в машину, ещё раз разобьют окно и сопрут ноут второй раз. План надёжный, если я всё правильно понял.
| | |
| |
| 4.37, ruroruro (ok), 15:01, 17/01/2025 [^] [^^] [^^^] [ответить]
| +5 +/– |
 Я так понял, что "ввод пароля" на 4 шаге - это ввод того пароля, который ВЫ создали в 3 шаге. То есть вся суть эксплоита как раз в том, что можно заменить зашифрованный раздел на диске на раздел который зашифрован известным ВАМ ключём, после чего можно украсть исходные ключи.
То есть возвращать ноут гендира не обязательно)))
| | |
| 4.53, User (??), 16:32, 17/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> мы сперли ноут гендира просто разбив окно его авто
> ... потом вернули на место (в разбитое окно), дождались, пока гендир включит
> ноут, введёт пароль (разбитое окно просто так было же, и внезапный
> промпт пароля это в порядке вещей), вернёт ноут в машину, ещё
> раз разобьют окно и сопрут ноут второй раз. План надёжный, если
> я всё правильно понял.
Не. Проблема возникает примерно на пункте "0" - "Найти гендира с linux'ом на ноуте"
| | |
| |
| 5.105, нах. (?), 10:46, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Не. Проблема возникает примерно на пункте "0" - "Найти гендира с linux'ом
> на ноуте"
ваще не проблема. Проблема что тот линукс в виртуалочке, а макость ты без его пальца хрен разблокируешь.
| | |
|
|
| 3.40, User (??), 15:27, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Но если это ноут, то ситуация очень сильно упрощается.
Ээээ... нахрена тебе авторазблокировка clevis'ом на ноуте?!
Оно и под кроватью-то ни к чему...
| | |
| 3.52, нах. (?), 16:30, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Но если это ноут, то ситуация очень сильно упрощается.
для ноута логично и осмысленно НЕ использовать технологии, позволяющие не вводить пароль или хотя бы пин от него. Они предназначены для систем, к которым нет удобного постоянного доступа.
Как и для ситуаций когда против тебя - внезапно, государство (в этом случае часто нелишним считают и механизм самоподрыва... или не только само).
| | |
| |
| 4.57, User (??), 16:37, 17/01/2025 [^] [^^] [^^^] [ответить] | +/– | Вот не поверишь - на одной из первых работ на полном серьёзе обсуждали идею держ... большой текст свёрнут, показать | | |
| 4.91, Аноньимъ (ok), 05:13, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> для ноута логично и осмысленно НЕ использовать технологии, позволяющие не вводить пароль или хотя бы пин от него.
Вот только они повсюду рекламируются ))
И все их спешат задействовать.
| | |
| |
| 5.94, нах. (?), 09:14, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
windows hyйло - это не "не вводить пароль", а просто другая форма пароля. По задумке более стойкая к подглядыванию, а не то что ты подумал.
Хотя за их способ использования пинов - надо их конечно было убивать пока были маленькие. Тут даже то что пин нельзя долго подбирать не поможет.
Эх... где мой 2006й и T60, которому просто показываешь средний палец (и нет, скан не хранился в папочке "кортиночки" для всех любопытных) и работаешь...
Утеряная магия Древних.
| | |
| |
| 6.103, Аноньимъ (ok), 10:39, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Я о сенсорах отпечатков пальцов и морда айди
В англ чата линуксоиды жалуются на проблемы сенсор отпечатков. Мол хочу, секурно же с тпм
| | |
| |
| 7.106, нах. (?), 10:48, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Я о сенсорах отпечатков пальцов и морда айди
> В англ чата линуксоиды жалуются на проблемы сенсор отпечатков. Мол хочу, секурно
> же с тпм
Ну вот казалось бы - можно ж сделать нормально. Но нет. Нормально было в ленове до продажи китайцам.
Нет пальца - нет леновы. (Вообще вот ее нет - только замена платы и переформатирование диска.)
| | |
|
|
|
|
|
| 2.32, Аноним (32), 14:48, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А по сути - бpeд.
а про "незаметно расшифровать" это ты сам себе придумал
| | |
| 2.35, ryoken (ok), 14:56, 17/01/2025 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Вы реально на такой массив систему взгромодите со всеми данными, не поделив на массивы под разные каталоги..?
| | |
| 2.38, Аноним (28), 15:08, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
в рабочей системе ничего извлекать не надо, там уже все расшифровано, а как получить доступ к этим данным уже не имеет значение, ибо там не будет никакого обхода шифрования. Атака имеет смысл именно при потушенной системе.
| | |
| 2.41, User (??), 15:43, 17/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну да! Прихожу, значит, с паспортом в ЦОД, под камерами ключиком открываю шкаф, отрубаю чужой сервер, вытаскиваю оттуда N-дисков, достаю из рюкзака свой сервер, ставлю диски туда - ять, а там гипервизор и вот vSAN - блин, ниугадал! Ставлю обратно, тэээк, блейд-шасси, пропускаем, СХД, не трогаем - Э, пацаны? А что, на bare metal об одном диске нет ничего? А, в соседнем шкафу? Спасибо, пацаны! Тэк-с, берем ключик от соседнего шкафа - о, точно! И как раз выключен - году так в 2021, ага. Щ-щщаз мы его!!
Страшно?
| | |
| |
| 3.49, Аноним (28), 16:28, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Страшно?
за ваши логические размышления страшно, читайте комент выше.
| | |
| |
| 4.50, User (??), 16:29, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> Страшно?
> за ваши логические размышления страшно, читайте комент выше.
Всмысле, между ЦОДом и помойкой, ой, шреддером взполомают?
| | |
| |
| |
| 6.58, User (??), 16:40, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> тяжелый случай, прочтите мой комент выше, прям над вашим же.
А вы мой исходный, ок?
| | |
| |
| 7.59, Аноним (28), 16:49, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
на включенной системе в ЦОД данные уже расшифрованы, вопрос: зачем мне "Прихожу, значит, с паспортом в ЦОД, под камерами ключиком открываю шкаф, отрубаю чужой сервер, вытаскиваю оттуда N-дисков"?
ДАННЫЕ УЖЕ В РАСШИФРОВАННОМ ВИДЕ!!!
| | |
| |
| 8.65, User (??), 17:11, 17/01/2025 [^] [^^] [^^^] [ответить] | –1 +/– | Ну да, и у _админа_ нет никакой проблемы с доступом к этим данным А у мимокроко... текст свёрнут, показать | | |
| |
| 9.70, Аноним (28), 17:44, 17/01/2025 [^] [^^] [^^^] [ответить] | +/– | Читайте внимательно о чем новость и какой случай рассматривается Все, что вы оп... текст свёрнут, показать | | |
| |
| 10.72, User (??), 17:55, 17/01/2025 [^] [^^] [^^^] [ответить] | –1 +/– | Не, ну если хотите - можете в тот цод с паспортом и жидким азотом приехать, я не... большой текст свёрнут, показать | | |
| |
| |
| 12.77, User (??), 18:38, 17/01/2025 [^] [^^] [^^^] [ответить] | +/– | Да нет, это вы не поняли, что вам пишут Но если у вас есть стабильно и воспроиз... текст свёрнут, показать | | |
| |
| |
| 14.112, User (??), 11:56, 18/01/2025 [^] [^^] [^^^] [ответить] | +/– | Ну удачно вам походить по dc, поискать вот ЭТО, ага С жидким азотом чот вероятн... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
|
| 1.30, Аноним (30), 14:40, 17/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А если стоит PIN? Ведь можно сделать очень длинный пароль на диске а расшифровывать с помощью PIN на TPM.
| | |
| |
| 2.42, нах. (?), 15:54, 17/01/2025 [^] [^^] [^^^] [ответить]
| +4 +/– | |
поэтому ты поедешь сегодня в 23:00 в цод - набирать этот самый пин.
Ничего такого - пришла стандартная телега от электриков что они переключают вводы в здание, аварийное питание разумеется есть, как и дизель, но... короче, ты дежуришь.
И похрен что цод в самаре а ты в саратове. Звиздуй! Ты единственный, кому доверено ценное знание этого кода.
И можешь там оставить свой чемодан - потому что во вторник они собирались переключать обратно.
| | |
| |
| 3.66, Аноним (66), 17:18, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
А нельзя системный раздел авторазблокировкой, а рабочий с данными уже пином?
Ну или проще - Квм отменили уже?
| | |
| |
| 4.79, нах. (?), 19:24, 17/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– | |
ты же понимаешь, какой ты по счету окажешься с этим кевеме, если что-то у электриков пойдет не по плану?
У кого в ЦОДе пи3данула от такого подарка аккумуляторная стойка, залив все нахрен ядовитой жыжей - тот я.
(Истино вам говорю - держите, блжд, на крючке за входной дверью 3m'овские противогазы! Но, кстати, настал таки подходящий момент купить контрабандой газовые фильтры, а не только пылевые.)
| | |
| 4.93, Аноним (93), 07:19, 18/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Что, все полторы тыщи стоек будешь кэвээмить? А ты, смотрю, герой! Нам такие самоотверженные нужны.
| | |
| |
| 5.95, нах. (?), 09:17, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Что, все полторы тыщи стоек будешь кэвээмить? А ты, смотрю, герой! Нам
> такие самоотверженные нужны.
так-то пин вводить даже если есть куда - в таком варианте вообще не айс.
Но я предполагаю вариант попроще - стоек парочка, арендованных, и пина в них требует один может быть даже сервер. У тебя. А у остальных 300 арендаторов в этом же зале - тоже по одному. Когда до тебя дойдет очередь на тот несчастный квм?
Помнится у добропорядочных немцев я его ждал примерно пять часов.
| | |
|
|
|
|
| |
| |
| 3.47, ryoken (ok), 16:22, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> по поиску Self-Encrypting Drives нашел только этот
Инфы достаточно много, переформулируйте запрос или используйте другой поисковик :).
| | |
|
| 2.67, Аноним (-), 17:33, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
Спасибо, нет:
1) Прошивка накопителя проприетарная, проверить, как реализовано шифрование, нет даже теоретической возможности. Да, миллион глаз не гарантия, но этот миллион хотя бы хоть как-то смотрит на открытый код, в отличие от проприетарного
2) Реализация SED в консумерских накопителях не лочит их во время перезагрузки или ухода в спящий режим
| | |
| |
| 3.71, Аноним (28), 17:52, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> Прошивка накопителя проприетарная, проверить, как реализовано шифрование, нет даже теоретической возможности.
Для этого есть программы криптографической валидации, ссылки выше. Там точно укажут какая версия харда и софта (прошивки) валидировалась.
| | |
|
|
| 1.46, Аноним (44), 16:07, 17/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Обожаю уязвимости в стиле "обнаружен опасный вирус! Чтобы им заразиться нужно:
попасть в Зону51,
выкрасть ключ,
проникнуть в ЕХИ и с помощью ключа попасть в Капустин яр,
Там найти и разбить склянку 432.
...
Профит!"
Автор хоть представляет что на первом же этапе это хакерство поймают за руку?
Сферические пограмисты в вакууме🤷
| | |
| |
| 2.48, User (??), 16:26, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это же автор **NixOS** - что ему в ЦОДе-то делать?
Нет. Не представляет.
| | |
| |
| 3.54, Аноним (28), 16:33, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
а зачем что-либо расшифровывать, если на включенной машине (сервере вашем в ЦОД) они и так расшифрованы?
| | |
| |
| 4.68, User (??), 17:36, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
> а зачем что-либо расшифровывать, если на включенной машине (сервере вашем в ЦОД)
> они и так расшифрованы?
Ну да. Расшифрованы. А доступ к этому второму снизу в восьмой стойке серверу с расшифрованными данными чтобы их прочитать у вас есть?
| | |
| |
| 5.73, Аноним (28), 17:58, 17/01/2025 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> А доступ к этому второму снизу в восьмой стойке серверу с расшифрованными данными чтобы их прочитать у вас есть?
А где в новости написано, что его у меня нет и, что атака работает в случае когда физ. доступа нет?
| | |
| |
| 6.74, User (??), 18:07, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> А доступ к этому второму снизу в восьмой стойке серверу с расшифрованными данными чтобы их прочитать у вас есть?
> А где в новости написано, что его у меня нет и, что
> атака работает в случае когда физ. доступа нет?
А если у вас сетевой доступ и пароль админа уже есть - фигли вы все это вот затеяли? Из любви к искусству?
| | |
|
|
|
|
| 2.56, Аноним (76), 16:35, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– |
Мы сп..ёрли сервер. (как, это другой вопрос, хоть через маски шоу, хоть через своего засланного казачка в ТП в хостере, хоть еще как). И нам хочется почитать то, что лежит на сервере..
бывают данные, которые представляют интерес для третьих лиц, даже в случае, что их владелец знает, что их у него спёрли.. он уже ничего не сможет сделать... (а он еще и надеется, "ну их же зашифровали, значит нам не грозит ничего")
просто это намёк, для тех кто не хочет делиться своими данными, что используя эти "странные методы" с авторасшифровкой их не спасёшь от чтения третьими лицами. Да, усложнишь. но не более.
| | |
| |
| 3.80, нах. (?), 19:28, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Мы сп..ёрли сервер. (как, это другой вопрос, хоть через маски шоу, хоть
если там что-то такое чего ради могут и спереть - ну очевидно же, что ни арендованные ряды в (чужих!) цодах, ни автодешифровка tpm'ом не для вас.
Но мои паспорта таджиков и их фоточки - я тебя уверяю, не настолько нужны, чтоб ради них шли на открытый криминал.
А вот по тихому стырить с выброшенного но недонесенного до помойки диска - увы, могут.
> просто это намёк, для тех кто не хочет делиться своими данными, что
> используя эти "странные методы" с авторасшифровкой их не спасёшь от чтения
эти методы не для тех данных, о которых ты думаешь. А для просто чтоб мой пароль 23451 не могли на халяву подбирать, получив хэши.
| | |
| |
| 4.85, Аноним (85), 23:03, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Тут есть такая фигня.. очень часто те, кто понимают, что эта шифрация фигня - не имею данных для прятать (которые кому либо нужны, кроме них самих). А те кто имеет данные, утекание которых может им стоить дорогого, обычно не копенгагены во всём этом, что связанно с безопасностью в компьютерах...
| | |
| |
| 5.96, нах. (?), 09:25, 18/01/2025 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Тут есть такая фигня.. очень часто те, кто понимают, что эта шифрация
> фигня - не имею данных для прятать (которые кому либо нужны,
> кроме них самих). А те кто имеет данные, утекание которых может
> им стоить дорогого, обычно не копенгагены во всём этом, что связанно
> с безопасностью в компьютерах...
теоретически - они должны бы были нанять тех, кто копенгаген, и раз данные ценные - неплохо тем приплачивать. А практически согласно требованиям центробанка - у меня пароль примерно 23451 (наняли разумеется совиков - сыновей очень важных людей, эти самые требования из пальца высасывать). Потому что его надо менять раз в две недели, ну и прочий миллион бредовых требований. Разумеется, никто не может ни запомнить, ни хотя бы набрать с одной попытки без ошибок нормальный пароль, этим требованиям соответствующий и каждый день новый.
Про что там у нас вместо убиквити (запрещенной враждебной технологии) - я лучше не буду, а то уволют.
| | |
|
|
|
| 2.61, Ivan_83 (ok), 16:53, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
 А ты на историю с другой стороны посмотри.
Ты вот хранишь что то чем не хочешь делится, а потом силовики заходят и забирают сервер, и по вот по этой незамысловатой инструкции извлекают из него нужное им.
| | |
| |
| 3.62, Аноним (28), 16:58, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> а потом силовики заходят и забирают сервер
диски от сервера можно вмонтировать во входную дверь, чтобы они болгаркой их сами и уничтожили :))
| | |
| |
| 4.63, Аноним (-), 17:01, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
>> а потом силовики заходят и забирают сервер
> диски от сервера можно вмонтировать во входную дверь, чтобы они болгаркой их сами и уничтожили :))
оно быстрее помрет, от того что дверью хлопали)
Но идея хорошая - сделать цод целиком из стоек, на случай если будут брать штурмом))
| | |
| |
| 5.64, Аноним (28), 17:11, 17/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> оно быстрее помрет, от того что дверью хлопали)
нууу 21 век на дворе, эсэсди уже :)) ну и табличку на двери, "дверью не хлопать", можно повесить, плюс доводчик прикрепит, чтобы не хлопало, и немного армировать (утяжелить) для вида, чтобы именно пытались ее взломать болгаркой, думая, что она непреступна.
| | |
| |
| 6.78, Аноним (78), 19:24, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
Идея классная, мне нравится. Можно пойти дальше и запихнуть туда целый дата сервер, благо одноплатников хватает.
Или вообще запрятать все это добро в другие укромные места, под потолок в сартире, в картину над ресепшеном.
Компактность всей системы позволит даже организовать систему экстренного самоуничтожения, путем помещения всей электроники в капсулу с термитом
| | |
| |
| 7.81, нах. (?), 19:30, 17/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Идея классная, мне нравится. Можно пойти дальше и запихнуть туда целый дата
> сервер, благо одноплатников хватает.
Чего вдруг дурацкие одноплатники? В мою дверь нормальная mini-itx плата влезет. С питанием придется что-то думать.
> Или вообще запрятать все это добро в другие укромные места, под потолок
При грамотном обыске - брюлики находят, а ты какую-то хрень с проводами...
А вот чтоб ее сами же и запилили вместе с дверью - отличное решение, принято к исполнению!
| | |
|
|
|
|
|
|
| 1.86, Аноним (86), 00:00, 18/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Правильно понимаю, что Убунта не шифрует /boot, хотя в лёгкую могла бы, и это открывает вектор для атаки???
| | |
| |
| 2.107, нах. (?), 10:52, 18/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
> Правильно понимаю, что Убунта не шифрует /boot, хотя в лёгкую могла бы,
> и это открывает вектор для атаки???
Каким местом ты собрался расшифровывать зашифрованный /boot, интересно спросить?
И в каком месте среди перечисленных редхатоидов и никсоса тебе померещилась убунта?
| | |
|
| 1.92, ИмяХ (ok), 05:19, 18/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 >>Метод основывается на том, что атакующий может заменить существующий корневой шифрованный раздел на собственный зашифрованный раздел, созданный с тем же UUID-идентификатором и известными атакующему ключами расшифровки.
Чтобы взломать пароль, надо ввести пароль.
| | |
| |
| 2.97, нах. (?), 09:30, 18/01/2025 [^] [^^] [^^^] [ответить]
| +2 +/– |
>>>Метод основывается на том, что атакующий может заменить существующий корневой шифрованный раздел на собственный зашифрованный раздел, созданный с тем же UUID-идентификатором и известными атакующему ключами расшифровки.
> Чтобы взломать пароль, надо ввести пароль.
чтобы взломать _чужой_ - достаточно ввести - _свой_. После чего tpm радостно отдаст тебе чужой ключ. (отдельный вопрос конечно - нахрена же ж он вообще извлекаем в принципе)
Квалификация-с местной публики... даже инструкцию из трех пунктов на русском не могут прочитать и понять с первого раза.
| | |
| |
| 3.122, Аноним (28), 14:58, 19/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
> (отдельный вопрос конечно - нахрена же ж он вообще извлекаем в принципе)
ключ в ТПМ неизвлекаемый, а ключ от шифрования данных - лежит в заголовке люкса :)
| | |
| |
| 4.123, нах. (?), 16:27, 19/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
стоп-стоп, это ж - наш ключ.
Мы ж его только что подменили, вместе с заголовком и следующей парой гигабайт.
By recreating the LUKS partition with a known key (он нам и нахрен не нужон!), we can confuse the initrd into executing a malicious init executable. (Ну ок, хотя тут вопросики уже начинаются) Since the TPM state will not be altered in any way by this fake partition (сх-яли, ключ-то не подошел и его пришлось руками вводить), the original LUKS key can be unsealed from the TPM.
Вот что за нах и какого хрена последнее-то?
The idea behind secure and password-less disk decryption is that the TPM2 can store an additional LUKS key which your system can only retrieve, if the TPM is in a predetermined, known-good state.
Короче, там п-ц в головах. Это неизлечимо.
Они даже не ключ с диска дешифруют Tpm'ом, а просто заботливо хранят ключ для всех желающих.
| | |
| |
| 5.124, Аноним (28), 18:56, 19/01/2025 [^] [^^] [^^^] [ответить] | +/– | the original LUKS key can be unsealed from the TPM - он в виде токена хранится... большой текст свёрнут, показать | | |
| 5.125, Аноним (28), 19:05, 19/01/2025 [^] [^^] [^^^] [ответить]
| +/– | |
добавочка:
--tpm2-seal-key-handle=HANDLE
"parent key" (SRK) - вот этот ключ не извлекаем.
| | |
| 5.126, Аноним (28), 19:12, 19/01/2025 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> нахрена же ж он вообще извлекаем в принципе
И собственно ответ: ключ извлекаем, то есть как мы поняли, требующийся дешифровки на устройстве TPM, первичный (КЕК, мастер-ключ) ключ LUKS-а, который необходим для дешифровки уже на CPU, вторичного ключа LUKS-а, ключа шифрования данных, потому-что это механизм автоматической разблокировки (расшифровки) шифрованного раздела, для которого необходимы все эти ключи.
| | |
| |
| 6.127, нах. (?), 19:44, 19/01/2025 [^] [^^] [^^^] [ответить]
| +/– |
там надо было как минимум сбрасывать состояние в момент когда с ключом что-то явно пошло не так (понадобилось бы модифицировать как минимум initrd, чтобы и это обойти, что уже может оказаться слишком сложно - он подписан).
Этого, как я понимаю, и нету.
Но как минимум вторая претензия снимается - тут "промтом переводили", действительно tpm'ом расшифровывается ключ люкса, а не хранится в tpm.
Ну ок, не все так печально как могло бы быть, но все равно как-то не айс.
| | |
| |
| 7.128, Аноним (28), 22:32, 19/01/2025 [^] [^^] [^^^] [ответить] | +/– | Так это нормальный механизм со стороны initrd, запросить ручного ввода ключа, фо... большой текст свёрнут, показать | | |
| |
| 8.129, нах. (?), 00:03, 20/01/2025 [^] [^^] [^^^] [ответить] | +/– | вот тут надо было сбросить регистры не работает - хрен с ним, но хотя бы попыта... текст свёрнут, показать | | |
| |
| 9.130, Аноним (130), 13:17, 20/01/2025 [^] [^^] [^^^] [ответить] | +/– | Хранить на внешнем носителе бумаге, сейфе, юсб и т д , зачем давать атакующему... большой текст свёрнут, показать | | |
| |
| 10.131, нах. (?), 16:45, 20/01/2025 [^] [^^] [^^^] [ответить] | +/– | Вводить-то ты его как собрался Бегать с внешним носителем Руками битовые ключи... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 1.121, Аноним (121), 03:40, 19/01/2025 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Так задача TPM не безопасность поднять, а вендорлокнуть. Ещё в прошлом десятилетии всем стало понятно. Как там в криокамере?
| | |
|
