Új hozzászólás Aktív témák
-
-
#96715264
törölt tag
Rendben, akkor szakmázzunk:
1. Említetted a Javascript-et, ott azért nem probléma a CPU sebezhetőség, mert a böngésző javascript motorja állítja elő a futtatható kódot (just in time compilation), és a JIT fordító egyszerűen dönthet úgy, hogy nem állít elő problémás kódot. Sőt, azt is tudja ellenőrizni, hogy telepítve van-e az adott CPU patch, és ennek megfelelően állítja elő a futtatható kódot. Ma már alapvető elvárás, hogy böngészőben nem futtatunk letöltött bináris kódot, de a javascript is innentől fogva böngésző motor biztonsági kérdés.
2. Mindig elmondtam, hogy szerver környezetben kötelezőnek gondolom a CPU patch telepítését, így a megjegyzésedet nem tartom jogosnak. Ennek ellenére még ott sem olyan egyértelmű a helyzet, ugyanis a Spectre/Meltdown első variánsai a hyperthreading nem megfelelő implementálásával volt kapcsolatos. Azaz azonos CPU magon futó hyperthreading egyik szál a másik hyperthreading szál cache-ét tudta olvasni. Szigorú feltétel, hogy azonos CPU magon kell a két hyperthreading szálnak futni. Szerver környezetben ez azért probléma, mert ha két totálisan eltérő ügyfél virtuális gépében futó szoftvere kerülhet ugyanarra a CPU magra, akkor a hyperthreading bug miatt előfordulhat érzékeny adatok megszerzése. Csak érdekességképpen írom, hogy ezt is lehet teljesítmény veszteség és CPU patch nélkül elkerülni, a hypervisort kell úgy módosítani, hogy hyperthreading szálak mindig azonos virtuális géphez kerüljenek. A CPU sérülékenység kihasználásának feltételét úgy sikerült tehát megszüntetni, hogy nincs teljesítmény csökkenés.
-
válasz #96715264 #153 üzenetére
Dönthet, de a Spectre/Meltdown esetén pont ez volt a lényeg, hogy nem kellett különösebben problémás kód, főleg a Javascript-es kihasználásához. Más esetben sem.
De ha esetleg ki is lőnéd a böngészőt, minr rést, akkor már csak másik 5 módon juthat be kártékony kód, ami nem tűnik kártékony kódnak..." ugyanis a Spectre/Meltdown első variánsai a hyperthreading nem megfelelő implementálásával volt kapcsolatos."
Az out-of order végrehajtással, ami mondjuk a HT része, de nem csak azzal függ össze.A HT szálas felvetés érdekes. Ugyanakkor nem csak virtuálgép szinten van ezzel gond, tehát adott virtuálgépen futó folyamatoknak sem lenne szabad azon a gépen belül a privilegizált memóriaterületekhez hozzáférni, ami ellen a hypervisor módosítása nem védene.
Mutogatni való hater díszpinty
-
hokuszpk
nagyúr
-
#96715264
törölt tag
Javascript kódot nem futtat a CPU, azt fordítani kell, ez a JIT-telés, ezért a böngésző javascript engine-t kell úgy módosítani, hogy ne állítson elő problémás kódot. Namost ha egy böngésző arra számít, hogy a CPU patch telepítve van, az régen rossz, mert milliárdos szám felett van a javascript futtatásra képes eszközök száma, ezért kritikus, hogy a JS engine ezt a javítást tartalmazza.
A hyperthreading csak példa volt arra, hogy nem ennyire egyszerű a helyzet, de mint eddig is, továbbra is azt állítom, hogy szerver környezetben kritikus a CPU patch telepítés, ahol untrusted code feltöltés lehetséges. Sőt, az újabb hibák miatt az Azure-ban a Microsoft már a hyperthreading tiltását javasolja ezekben az esetekben.
-
válasz #96715264 #158 üzenetére
Senki nem mondta, hogy a proci JS-t futtatna.A böngésző nem számít ara, hogy van-e S/M patch, de attól még nagyon nem baj, hogy van. (Továbbra sem csak JS-en át használhatóak ki a CPU hibák.)
"hogy szerver környezetben kritikus a CPU patch telepítés, ahol untrusted code feltöltés lehetséges. "
WTF
Csomó esetben kevésbé, mint egy otthoni gépen.
Szerverkörnezetben meg minden apró rés befoltozása kritikus.[ Szerkesztve ]
Mutogatni való hater díszpinty
-
#96715264
törölt tag
Nem baj, hogy van, csak nem lehet rá számítani, hogy van, mert többnyire nincs, ezért életbevágó a javascript motort foltozni, és technikailag lehetséges is.
Egyébként a hyperthreading bug azért durva szerver környezetben, mert nem kell hozzá root jog, privilege escalation nélkül is van esély arra, hogy érzékeny adatot tudsz ellopni, ahol nem trusted code futtatásra lehetőség van.
-
válasz #96715264 #160 üzenetére
A JS motor foltozása maúgy is életbevágó (ahogyan gyak. minden másé is). Ld. még a pár éves VLC bug, amikor a leiratletöltésen keresztül lehetett átvenni az áldozat gépét
A HT bug meg mindenhol durva, mert jogosultságot lehet vele szerezni. NEm szerver környezet mondjuk a szerveradminok gépei, ami single user (mondjuk), de ha oda sikerül bejutni, megszerezheted a szerverek jelszavait vagy SSH kulcsait. Nagyon nem mindegy.
Mutogatni való hater díszpinty
-
válasz #96715264 #162 üzenetére
Ajj. A keyloggerhez esetleg kell magasabb privilégiumot szerezni, de ha olyanod nincs egy CPU bugon keresztül akkor is van esély jelszó megszerzésére (vagy a privilégium megszerzéséhez szükséges valamilyen adat megszerzésére...)
Ugyanakkor : neked nem biztos, hogy az adott gépen kell admin jog, hanem csak meg akarod tudni egy másik gép jelszavát. Ha egy valamilyen service-ként sikerül bejutnod egy gépre, de nem tudsz adminná válni, akkor még mindig ott a CPU bug...
Nyilván vannak komolyabb rések is, de ez nem jelenti, hogy a CPU hibáit félvállról kéne venni.Az meg nem jelszókezelési probléma, ha egy folyamat lelopja a jelszavad, vagy a SSH kucsod a RAM-ból.
Mutogatni való hater díszpinty
-
-
ricsi99
addikt
Lehet most butaságot kérdezek.
Az rendszerek állandó memóriában tartják a jelszavakat?Egy Gyűrű mind fölött, Egy Gyűrű kegyetlen, Egy a sötétbe zár, bilincs az Egyetlen...
-
#96715264
törölt tag
Nem butaság. A jelszó csak addig van memóriában, amíg a user beírja, abból rögtön hash képződik, az megy át biztonságos csatornán, majd innentől fogva egy időbélyeggel ellátott ticket-et küld a kliens, amit a szerver állít ki és validál a továbbiakban. Ezért is egyszerűbb a keylogger
-
ricsi99
addikt
válasz #96715264 #168 üzenetére
második kérdés..ez eddig validált hibákal lehet célzottan támadni egy memória részletet ,vagy csak adatöredékek nyerhetők... ill a cache memória vagy a "ram" érhető el vagy csak kizárólag az éppen futtatott programrészből nyerhetö ki véletleszerüen pár byte?
Egy Gyűrű mind fölött, Egy Gyűrű kegyetlen, Egy a sötétbe zár, bilincs az Egyetlen...
-
#96715264
törölt tag
Az előző hozzászólásomból kimaradt a clipboard, az a fő ellenség. Ha copy paste-el másoljuk a jelszót, akkor az ott marad, és még root jog sem kell hozzá, hogy kiolvassa valamilyen program.
A legelső hibák arról szóltak, hogy CPU cache-ből lehet jogosulatlanul adatot kiolvasni hyperthreading esetén. Azóta kismillió variáns jelent meg, de minden esetben az a probléma, hogy mit is keresek valójában, mert semminek sincs fiksz címe a RAM-ban, főleg kernel szinten nem, ott ugyanis a stack overflow hibák megelőzése miatt már eleve szándékosan randomizálják a címeket, amit ADSLR-nek hívnak.
Nem véletlen, hogy ezeket a hibákat ilyen sokára fedezték fel, és az sem véletlen, hogy konkrét esetekről alig hallani, mert mint korábban írtam, csak akkor használható ki, ha célgépre sikerült eljuttatni a kódot, ami elég erős feltétel. Ahol kód eljuttatása könnyen leküzdhető akadály, akkor meg már nem éri meg CPU sérülékenységgel húzni az időt.
-
válasz #96715264 #170 üzenetére
- A hash visszafejthető, nem is olyan lassan
- Inkább örülj neki, hogy nincsenek konkrét esetek
- Az, hogy adattöredékek olvashatóak ki, nem olyan nagy védelem. A mai procik cache-e elég nagy, s az első expolitokkal is szépen végig lehetett nézni a RAM tartalmát. elég hosszú ideig észrevétlenül olvasva akár csak a cache-t is, biztosan található valami érdekes.(Az eredeti leírásokban olyasmi volt, hogy a proci egész jól rávehető, hogy folyamatosan pörgesse a cache-t)A másik, hogy ha nem lennének komolyak a CPU hibái, akkor az Intel bevállalta volna az arcvesztést a procik lassulásával...? Nem olyannak ismerjük őket...
Mutogatni való hater díszpinty
-
#96715264
törölt tag
A hash visszafejthető, nem is olyan lassan
Hát, nem akarlak megbántatni, de ez nem igaz. A hash lényege pont az, hogy egyirányú művelet, nincs visszafelé művelet, nincs visszafejtés. Mivel egyirányú, ezért brute force módszer van, azaz végig kell próbálgatni a variációkat. A kérdés az, hogy hány variációt kell kipróbálni (milyen erős a jelszó), illetve a hash képzése meddig tart (milyen algoritmus van használatban). Mind a két paraméter fontos adat, mert ebből jön ki, mennyi idő alatt található meg a hash-hez az eredeti jelszó. A leggyengébb jelszavak órák alatt megtalálhatók, de az erősebbek több évig, évtizedekig is eltarthatnak. Ezt egy egyszerű password cracker-rel ellenőrizheted, hogyan működnek az ilyesmik.
Teljesen természetes, hogy a CPU gyártók kiadják a javításokat (pl.: Intel), hiszen az ő szempontjukból nem tudják azt vizsgálni, hogy milyen a felhasználási mód. Márpedig szerver környezetben minimum kritikus.
[ Szerkesztve ]
-
válasz #96715264 #172 üzenetére
Kollegánál egy szimpla i5-ön a John The Ripper elég gyorsan megvolt egy átlag jelszóval. És a Win7 hashelése pl. nem is túl erős. Sanszos, hogy komolyabb számítási teljesítménnyel nem tart annyira sokáig.
Sajnos nem mindenhol vannak megkövetelve a hosszú jelszavak (ahol meg igen, ott meg a vágólap használata lesza jellemző...)Mutogatni való hater díszpinty
-
#96715264
törölt tag
válasz hokuszpk #177 üzenetére
A dictionary attack azt jelenti, hogy mivel az összes kombináció végigfuttatása nagyságrendileg hosszabb, mint pár millió idióta által használt jelszó, mint pölö 123456, ezért érdemes ezekkel kezdeni. Admin esetén megengedhetetlen ilyen jelszavak használata (lásd password policy és kirúgás).
Csak hogy milyen számokról beszélünk, egy teljes ASCII készletről választott 32 karakteres jelszó az 256 a 32-iken kombináció, ami 2 a 256-ikon kombináció, és ha nem tévedek az kb 10 a 80-adikon kombináció. Csak összehasonlításképpen a világegyetem 10 a 13-ikon éves. Szóval ne indítsd el
[ Szerkesztve ]
-
ricsi99
addikt
válasz #96715264 #178 üzenetére
Megfigyelted ,az összes kritizálód mind belső hálózati támadásról beszél?
Meg egyéb vad dolgok... vágólapos jelszó másolások ,futó keyloggerek ilyesmi.Nem képesek megérteni azt ,hogy belső hálózaton kívűlröl esélytelen , belülröl meg töredékeket lehet kiolvasni...
[ Szerkesztve ]
Egy Gyűrű mind fölött, Egy Gyűrű kegyetlen, Egy a sötétbe zár, bilincs az Egyetlen...
-
hokuszpk
nagyúr
válasz #96715264 #178 üzenetére
"256 a 32-iken kombináció"
latom ertesz hozza )
elmeletben ennyi. a valosagban meg a legtobb jelszohoz 96 karaktert hasznalhatsz. ami azt jelenti, hogy 96 ^ 32. es meg ezt is lehet szukiteni.
ha picit matekolsz, akkor elsokorben mondjuk raprobalsz csupa kisbetuvel, ami 26 ^ 32
ebben inkabb a hossz az, ami nehezites, a tekknika jelenlegi allasa szerint 9 karakter korul van az a hatar, amihez mar nincs itthon eleg a vasam, 12 karakter korul meg a cegnel.
de mondjuk meg kellene nezni a kerberos milyen hasht hasznal, mert azert az ujabb algoritmusok erosen kivanjak a powert, a regiekre meg 2012 korul egy mezei Radeon 5830 is millio feletti /s erteket produkalt.Első AMD-m - a 65-ös - a seregben volt...
-
hokuszpk
nagyúr
figy. en nem akarok meggyozni senkit, mar egyszer 20 eve lejatszottuk ezt a meccset mashol, tovabbra is ez a velemenyem. aki akarja erezze magat teljes biztonsagban.
de mondjuk egy jo biztonsagtekknikai szakit azert fizetnek, hogy kelloen paranoias legyen...Első AMD-m - a 65-ös - a seregben volt...
-
válasz #96715264 #178 üzenetére
" Admin esetén megengedhetetlen ilyen jelszavak használata (lásd password policy és kirúgás)."
És ez mióta riasztja el azokat a fullhülyéket, akikkel az IT szakmában rendszeresen találkozol, hogy céges gépen kaki jelszavakat használ, megadja másnak, plaintext tárolja (pár éve kaptunk így jelszóadatbázist Excelben ) , kikapcsolja a frissítéseket, céges adatokat Megaupload-on küld, stbSzóval érted... Tök jó, hogy elméletben egy admin nem csinál ilyet, de a gyakorlatban igencsak csinál, még durvábbat is!
@hokuszpk : Yeah
Az e-mailest meg leírtam nekik én is. Bejön, vírusirtó nem fogja meg, mert nem tűnik rosszindulatúnak, ha nincs Spectre elleni védelem, akkor a támadó boldogan olvasgatja az adataid.[ Szerkesztve ]
Mutogatni való hater díszpinty
-
hokuszpk
nagyúr
"Minden hibát visszavezetnek az user-ekre,"
meg a hanyag programozora es a c nyelvre.
de emlithetnem az amcsiknal idonkent feltuno "kotelezo hatso ajto" otletet is.Első AMD-m - a 65-ös - a seregben volt...
-
-
ricsi99
addikt
válasz hokuszpk #184 üzenetére
Nyifff.. megy a mutogatás a másikra ...régi jó szokás.
azt nem vágom ,az itt vitatkozó felsőbrendű "rendszergizdák" , akik lenéznek az user-ra ,miért nem állnak elő házilag barkácsolt védelemmel ,csak megy a mutogatás ,hogy az user igy , a rendszer úgy.... aztén meg ha az ms kiad egy patchet akkor csodás áhítat ... de 1 kolléga is terjeszti az ígét ,kinek saját bevallása szerint a win hez annyi köze van hogy van egy vm particiója amit elövesz... holnaptól megy én is a hackintos fórumba osztani az észtEgy Gyűrű mind fölött, Egy Gyűrű kegyetlen, Egy a sötétbe zár, bilincs az Egyetlen...
-
félisten
Gondolom az a D betű csak véletlenül került oda.
De ha nem, akkor valami olyasmit jelenthet, amikor az ADSL modemet beépítik a digitális tükörreflexes fényképezőgépbe. Valami ritka kísérleti cucc lehet.
[ Szerkesztve ]
Eladó régi hardverek: https://hardverapro.hu/apro/sok_regi_kutyu/friss.html
-
válasz #96715264 #189 üzenetére
Simán lehet olyan eset, amikor ér valamit. Nem látunk a jövőbe.
@Ricsi99 :
",kinek saját bevallása szerint a win hez annyi köze van hogy van egy vm particiója amit elövesz"
Pár évvel ezeőttig winfost is supportáltam, szal nem vagyok tök hülye hozzá, ráadásul melóhelyen használnak windózt is... A Spectre/Meltdown hibák, de a user hülyeségek is OS függetlenek.
(Meg se jegyzem, hogy egy virtuálgép nem egy partíció.)[ Szerkesztve ]
Mutogatni való hater díszpinty
-
-
hokuszpk
nagyúr
"azt nem vágom ,az itt vitatkozó felsőbrendű "rendszergizdák" , akik lenéznek az user-ra ,miért nem állnak elő házilag barkácsolt védelemmel "
egyreszt a rendszergizda nem felsobbrendu. aki annak erzi magat, azzal sulyos problemak vannak.
ami a hazilag barkacsolt vedelmet illeti, ez egy erdekes kerdes. valoszinuleg sokunknak van valami egyedi cucca, amit maganak rakosgatott ossze.
viszont vannak munkahelyek, ahol egesz egyszeruen nemlehet barkacsolni, mert mondjuk ehhez tul nagy a szervezet, csapatban kell dolgozni, be kell tartani a szabalyokat / szabvanyokat, menetrendszeruen jon az audit, amit az kovet, hogy kb. elso lepesben hatalyon kivul helyezik az egyedi megoldast, utana meg ha kiderul ki az alkoto -- legyen az barmilyen jo is, -- kirugnak.
kis cegnel esetleg lehet alkotni, ott tobbnyire amugyis maganyos harcos vagy a vilag ellen, viszont ez is olyan, hogy nem tudsz mindent, ami a szaknaban tortenik. One man showkent reszmegoldasokat lehet csiholni. De meg akkoris nagyon-nagyon sulyos hiba, ha mindenfele kulso revizio nelkul megbizol a sajat barkacsolasodban, ha van benne hiba, meg fogjak talalni.Első AMD-m - a 65-ös - a seregben volt...
-
#96715264
törölt tag
Cég esetében a kérdés egyszerű, egy külső auditor céget meg kell bízni, és akkor minden hiányosságra fény derül. Ennyiben nincs lezárva a kérdés, akciótervet kell készíttetni a céggel, és x időközönként felülvizsgálni az eredményt. A kérdéssel folyamatosan foglalkozni kell, ez egy végtelen ciklus.
Otthoni felhasználás esetén a következőket javaslom:
1. Nem futtatunk nem megbízható kódot: nincs vindóz krekkelés, office krekkelés, gaming krekkelés, semmilyen krekkelés. Ebben a csimborasszó eddig, amit láttam a feltört vírusirtó. Lekapartam az arcom. Ha nem akarunk valamit megvenni, ingyenes alternatíva után nézünk (pl: alternativeto.net), és nincs torrentezés, nem töltünk ismeretlen helyről sz*rságokat.
2. Nem tiltunk le semmilyen update-et, sem oprendszer, sem alkalmazás, sem vírusirtót. Sőt, inkább olyat választunk, amiben ez számunkra is jól ellenőrizhető módon meg van oldva.
3. Megbízható szolgáltatókat használunk, pl emailnél gmail vagy outlook.com, gyak tkom meg freemail szerű dolgok felejtősek.
4. Mindenhol kétlépcsős autentikációt használunk. Konkurens szolgáltatásoknál kiválasztási szempont, hogy melyik támogatja. Ha nagyon érzékenyek az adatok (pl.: banki), akkor egyáltalán nem használunk olyat, ahol erre nincs lehetőség.
5. Ha még sincs kétlépcsős autentikációra lehetőség, és nincsenek érzékeny adatok, akkor password manager-t használunk, kimaxolva a jelszó hosszt (nálam 32 a default) és karakter választékot (ékezet, szám, kis nagybetű és spec karakterek, ami belefér). A password manager azért jó, mert cseszeget a jelszócsere miatt is. Én Lastpass-t használom, de nagy a választék, ők küldenek pl értesítőt szivárgásról is.
6. Alapvető hozzáállás, hogy kétszer meggondolom, mit indítok el és mit telepítek fel. Ebben a helyi vírusirtón felüli segítség a virustotal.com szolgáltatás, van browser és shell plugin is, illetve haladóknak sysinternals integráció is van.
Most hirtelen ennyi, de a nyilvánvaló butaságokat nem lehet mind leírni, mert nem férne ide.
-
ricsi99
addikt
válasz hokuszpk #196 üzenetére
"hcl" vettem példának. Lejjeb volt pár hsz , aztán rájöttem felesleges koptatni a billentyűzetet.
Én inkább hw-s vagyok , sw rész-t csak annyit szedek fel amennyi kell.
Ezeket a topicokat is csak azért olvasom hátha tanulok belőle trükköket.Kisebb cégeknél voltam /vagy vagyok még néha de inkább csak tanácsadás a helyi informatikusoknak.
páran itt a javítások miatt ,nekem úgy tűnik teljes mérték elhanyagolják a server gépek után kötött userek sorsát. mert az medvéd minden ellen, na jah aztán ha gáz van "akkó lüke user"
Nem tomm .nálam a rendszergazdák annyira nincsennek oda, ha a kliens gépek frissitgetnek ész nélkül.
Azon felül sok nagyon profi a szakmájában ,tényleg csoda dolgokat csinálnak ,de a vashoz átlagban messziről sem szeretnek hozzányúlni ....ugyan ez a kliens gépek esetében is... linux/unix/ mindeféle programnyelv az oké ... de win működése ahogy az átalg user használja az szinte 0[ Szerkesztve ]
Egy Gyűrű mind fölött, Egy Gyűrű kegyetlen, Egy a sötétbe zár, bilincs az Egyetlen...
-
Nem tudom, ezeket honnan szeded Én pl. fglalkoztam hardverrel is (pont szerverrel kevésbé, sajnos, de remélem, lesz rá még alkalmam). Melóban szervereket adminol az ember, otthon lehet, hogy alaplapon cserélek kondit, vagy Openwrt-t abajgatok, meg megjavítom a 2000Ft-os routereket is ha az kell. stb. Sok évig userekkel, és a windowsos gépeikkel foglalkoztam pl. (Nem véletlenül nincs már itthon Windows...)
Ne ítélj pár komment alapján.(Mondjuk az való igaz, hogy a kollegák már nem nagyon szeretnek hardverhez nyúlni, de ha ez lenne a legnagyobb gond némelyikkel... )
[ Szerkesztve ]
Mutogatni való hater díszpinty
Új hozzászólás Aktív témák
- Kínai, és egyéb olcsó órák topikja
- Napelem
- Azonnali informatikai kérdések órája
- Multimédiás / PC-s hangfalszettek (2.0, 2.1, 5.1)
- Súlyos adatvédelmi botrányba kerülhet a ChatGPT az EU-ban
- Audiokultúra - Hi-Fi-ről hifisen
- LEGO klub
- Megjelentek az első HMD okostelefonok, ezek a magyar áraik
- Helldivers 2 (PC, PS5)
- Politika
- További aktív témák...
- Intel Pentium 4 3,2 GHz / 1 M /800 MHz Socket 478 CPU
- Beszámítás! Intel Core i3 9100 4 mag 4 szál processzor garanciával hibátlan működéssel
- AMD Ryzen 3600 (pár napig használt, szinte új)
- BESZÁMÍTÁS! ÚJ Intel Core i5 11400F / i9 11900KF / i9 11900K tálcás processzorok 27% áfás számlával
- Intel Core i7-11700K processzor (használt)