IT в России и мире в реалиях мирового кризиса

Цитата: qurvax от 15.05.2019 10:04:46С пачкой обнов от М$ опять настало время офуительных историев про Интел. В новом сезоне: попытки латать RIDL, ретполайн во все поля и общее ощущение безысхднст. Оказывается, данные можно тырить не только лишь из кеша, почти отовсюду их тырить можно. Впечатляющий POC, с вытягиванием хеша рут-пароля из /etc/shadow за 24 часа - прилагается по ссылке ниже.

https://mdsattacks.com

Цитата: Поверонов от 15.05.2019 21:44:24Хеш является практически публичной ( нескрываемой) информацией,так как считается что подобрать по нему пароль требует много времени.Гораздо "продуктивнее" тянуть приватные ключи для ssh. Кстати ssh на асимметричной паре ключей нынче основной способ доступа.

Цитата: Поверонов от 15.05.2019 21:44:24Хеш является практически публичной ( нескрываемой) информацией,так как считается что подобрать по нему пароль требует много времени.Гораздо "продуктивнее" тянуть приватные ключи для ssh. Кстати ssh на асимметричной паре ключей нынче основной способ доступа.

Цитата: Быдлокодер от 16.05.2019 12:38:06Я да. А что?

Цитата: Oleg K. от 16.05.2019 11:38:35Тут дело не в этом хеше, а в том, что в принципе это "неправомерный доступ к информации". Теоретически, вместо хеша из /etc/shadow мог бы быть ключ (симметричный) шифрования какого-нибудь важного TLS потока данных - имея его можно уже расшифровать весь перехваченный траффик. Тем более, что TLS сессии обычно кешируются и ключи перегенерируются не слишком часто. Ну то есть получив его можно получить доступ к вашей электронной почте, "консоли удалённого администрирования" и т.п.
Тенденция поиска уязвимостей пришла к тому, что виртуализация, "песочница" в браузерах и прочие механизмы защиты от вредоносных сайтов уже не дают высокой степени гарантии. Как когда-то была вечная проблема с ActiveX, так теперь будет проблема с JavaScript.
Ну а на серьезных объектах - никакого выхода в интернет, никаких "браузеров и посторонних флешек" и т.д. Раньше было, сейчас нужно и в будущем останется важным.

ЦитатаКак когда-то была вечная проблема с ActiveX, так теперь будет проблема с JavaScript.

Цитата: qurvax от 16.05.2019 13:11:25Можно пример из реальности?  Чето не догоню, о чем именно речь.

Цитата: Head790 от 16.05.2019 12:59:33На практике ничего не расшифруете, если грамотно настроено(если мамкин хакер залез под рутом, значит защиты никакой нет). Клиент сразу разорвёт соединение, если трафик переподпишете сертификатом, которого нет в клиенте. Хэши и наснифить можно, если про защиту вообще не думали, но при использовании шифрования с секретным ключом, хэши паролей по сети не передаются.
Это поможет обезопасить систему
https://www.openwall.com/tcb/

сильное заявление(с)

Цитата: Oleg K. от 16.05.2019 13:37:49Ну про "на практике" мне сложно судить - я исходное описание уязвимости не читал. А вот про "расшифровку" Вы ошибаетесь.
Дело в том, что после "рукопожатия" (TLS Handshake) данные шифруются симметричным шифром (ибо так намного быстрее), поэтому для расшифровки трафика достаточно просто получить сессионный ключ шифрования. Как и собственно для обратного процесса (но тут вступает в работу проверка целостности...).
Для перехвата доступа к веб-приложениям (которыми сейчас пользуются практически все) достаточно просто "послушать" трафик - во внутренности лезть нет необходимости.
По сети хеши никто не передаёт - все нормальные люди трафик шифруют. Так что ничего вы не наснифите.
А обезопасить систему поможет механизм предотвращения запуска непроверенного кода на железке, а не "альтернативный механизм проверки пароля". Грубо говоря - не надо по порносайтам лазить с компа, который станком управляет

Цитата: qurvax от 16.05.2019 13:52:16А механизм предотвращения запуска непроверенного кода, как водится, завязан на какие-нибудь подписи-сертификаты? Или, того хуже, на захардкоженые хеши? Где-то я уже это слышал. И даже, к сожалению, видел Убедился на практике, что не поможет мертвому припарка.

Цитата: Oleg K. от 16.05.2019 13:37:49Цитата: Oleg K. от 16.05.2019 14:37:49
Ну про "на практике" мне сложно судить - я исходное описание уязвимости не читал. А вот про "расшифровку" Вы ошибаетесь.
Дело в том, что после "рукопожатия" (TLS Handshake) данные шифруются симметричным шифром (ибо так намного быстрее), поэтому для расшифровки трафика достаточно просто получить сессионный ключ шифрования. Как и собственно для обратного процесса (но тут вступает в работу проверка целостности...).

Цитата: Oleg K. от 16.05.2019 13:37:49Для перехвата доступа к веб-приложениям (которыми сейчас пользуются практически все) достаточно просто "послушать" трафик - во внутренности лезть нет необходимости.

Цитата: Oleg K. от 16.05.2019 13:37:49По сети хеши никто не передаёт - все нормальные люди трафик шифруют. Так что ничего вы не наснифите.

Цитата: Oleg K. от 16.05.2019 13:37:49А обезопасить систему поможет механизм предотвращения запуска непроверенного кода на железке, а не "альтернативный механизм проверки пароля". Грубо говоря - не надо по порносайтам лазить с компа, который станком управляет

Цитата: Head790 от 16.05.2019 14:18:56На словах всё просто, а на практике - как обычно) Если есть доступ к последней миле подопытного, то ещё можно попытаться что-то выудить (1). Помнится кто-то распевал про перехват и анализ трафика между DWDM(а между ними всегда обмен по умолчанию шифрованный, GCM-AES-256 например, плюс отдельно разные каналы можно шифровать внутри общего (2).

Цитата: Oleg K. от 16.05.2019 14:06:33Нет. Подписи-сертификаты - это гораздо реже применяется. И то - на этапе загрузки/установки, а не выполнения.

Цитата: qurvax от 16.05.2019 14:33:57Щас буду спорить, без обид
Механизмы на этапе установки это одно. А контроль выполнения кода другое. Мы говорили о втором. Так вот, такой механизм, работающий именно что на этапе выполнения (если точно - на этапе работы виндового загрузчика, того, который образы исполняемых файлов и библиотек загружает в память), есть даже в винде. Апплокер зовется. Позволяет задать правила по хешу, по подписи, по пути и так далее. Для любых бинарников/библиотек. Включая системные удачи в отладке. Вот его я и пытался использовать. Ну а отсутствие стороннего доступа - вообще-то третье Забавная штука, что суслик часто есть даже когда его не видят, т.е. доступ может оказатся через там, где его никто не ждал. Ну как в моей ссылке. Вот с контролем этого вообще все грустно, кстати.

Цитата: Oleg K. от 16.05.2019 14:26:17Именно пункт (1) я и имею ввиду - прослушивание трафика рядом с клиентом.

Цитата: Oleg K. от 16.05.2019 14:26:17Про пункт (2) - это мне не ясно, о чем речь.

Цитата: Oleg K. от 16.05.2019 14:26:17А по остальному - всё так. Забыли Вы, правда, один пункт - пароль админа в виде 123456. Тоже местами весьма популярен.

Цитата: Head790 от 16.05.2019 16:49:05Ну это считай лабораторные условия. Только в кино такое возможно.

Цитата: Head790 от 16.05.2019 16:49:05Про магистральное оборудование(DWDM - оптический мультимлексор. Есть ещё моднейшие сервисные маршрутизаторы, но там тоже ловить нечего). Некоторые считают что там можно выловить информацию.

Цитата: Head790 от 16.05.2019 16:49:05Как правило, уважающие себя конторы доступ к железу и важным аккаунтам разрешают только с определённых IP, вне офисов - только через VPN. Ещё и порты в мир закрыты по максимуму. Поэтому долбиться можно долго и безуспешно, даже имея все нужные пароли. И без сверхъестественных навыков не пролезть(случаи с проникновением в Пентагоны не считаем, там элитные хакеры задействованы были, которые либо на энтузиазме, либо за конские деньги работают, и в общем для большинства не представляют угрозы).

Цитата: Oleg K. от 16.05.2019 17:08:25"Взломы" и атаки на первых этапах всегда "в лабораторных условиях" проходят. Вы делаете допущение, что атака будет проводиться с помощью одной уязвимости - таких массовых случаев я не вспомню. Гораздо чаще в ход идёт комплексная атака, которая использует несколько разных уязвимостей. Ну да всё равно это всё философия

Цитата: Oleg K. от 16.05.2019 17:08:25Спасибо, я не знал, что там трафик шифруется. Думаю, что проблемным здесь может быть только закладка на использование "слабых" ключей шифрования. А те, кто может себе позволить такое - могут позволить гораздо более действенные методы получения информации.

Цитата: Oleg K. от 16.05.2019 17:08:25Именно об этом и речь - что всегда максимально обрубать "физический" доступ к железкам и не брезговать всеми способами защиты от атак.

Цитата: Oleg K. от 16.05.2019 15:11:40И как раз после того, как она с диска была загружена и ей передали управление - за кодом "никто не следит" (ну кроме антивируса, наверное) [...] Современные программы очень сложны и часто в них "модификация и генерация на лету исполняемого кода" - стандартная ситуация [...]
поэтому нет уже простого решения отслеживания целостности загруженной в память программы - она сама себя слишком часто и сложно изменяет.

Цитата: Head790 от 16.05.2019 17:51:00т.к. системы в облаке крутились(минус шум/тепло, плюс безопасность)

Цитата: qurvax от 16.05.2019 20:05:47А с каких пор облако = плюс безопасность?