Алексей
я помню
Δαρθ
Ну так многие используют осознанное полнодисковое шифрование (например LUKS) + ZFS.
Проблема в существовании невидимых программ в защищенных рингах (приоритетнее ядра).
Что им мешает зашифровать диск еще ДО LUKS своими алго, а потом в час Х потребовать с вас баблища?
а можно вклинюсь? в чем профит zfs over luks в данном случае по ср. с нативным шифрованием zfs?
Alexander
Нативное не прячет метаданные вроде бы? Кому-то это может быть и плюсом.
Ну и LUKS таки более проверен, и при пересоздании пула остаются те же ключи.
Δαρθ
ясн спс.
а что есть проблемы с шифрованием zfs?
Alexander
ясн спс.
а что есть проблемы с шифрованием zfs?
А что не было проблем с регрессиями в ZFS даже без шифрования?
Δαρθ
"luks более проверен" <- вот это имею в виду
central
Добрый вечер,
1) Подскажите, может ли какой-нибудь зловред перезаписывать содержимое снэпшотов незаметно?
Не в смысле клонирования, монтирования и записи как обычно незловреды, а именно изподтишка?
2) Встречались ли вам хотя бы упоминания буткитов шифровальщиков, которые незаметно шифруют устройства пула vdevs?
Так у вас постфактум это произошло или вы тут просто нафантазировали и разведите панику?
Alexander
Так у вас постфактум это произошло или вы тут просто нафантазировали и разведите панику?
Пару лет назад у меня был случай со свежеустановленным pfSense, которую вырубало несколько раз через несколько секунд/минут после включения, до тех пор, пока я не отключил SSH на внешнем интерфейсе.
IMHO это показатель утечки ключей с рабочей станции либо через bootkit либо через побочные каналы, ПЭМИ и т.п.
Хотя с другой стороны может быть и демонстрация наличия закладок в SSH+железке шлюза X86.
Сейчас у меня другая железка на рабочей станции и неизвлекаемые ключи, а для SSH доступа на хосты и вовсе выделенный ARM одноплатник, где акромя SSH клиента и PCSC обвзязки для аппаратной криптухи больше ничего нет.
По идее надо бы держать хотя бы одну backup реплику ZFS тоже на ARM одноплатнике с неперешиваемым BootROM и SATA экстендером портов.
riv
Пару лет назад у меня был случай со свежеустановленным pfSense, которую вырубало несколько раз через несколько секунд/минут после включения, до тех пор, пока я не отключил SSH на внешнем интерфейсе.
IMHO это показатель утечки ключей с рабочей станции либо через bootkit либо через побочные каналы, ПЭМИ и т.п.
Хотя с другой стороны может быть и демонстрация наличия закладок в SSH+железке шлюза X86.
Сейчас у меня другая железка на рабочей станции и неизвлекаемые ключи, а для SSH доступа на хосты и вовсе выделенный ARM одноплатник, где акромя SSH клиента и PCSC обвзязки для аппаратной криптухи больше ничего нет.
По идее надо бы держать хотя бы одну backup реплику ZFS тоже на ARM одноплатнике с неперешиваемым BootROM и SATA экстендером портов.
Ни разу не сталкивался с копрометацией своих паролеи и ключей ssh.
Но побаиваюсь этого
Кстати, Это может быть связано и с атакой "человек посередине" при первом доступе.
.
central
Ни разу не сталкивался с копрометацией своих паролеи и ключей ssh.
Но побаиваюсь этого
Кстати, Это может быть связано и с атакой "человек посередине" при первом доступе.
.
Гораздо вероятнее что атака будет идти через людей
Алексей
riv
легкие пароли улетают на раз два
Ну взлом по словарю мне, надеюсь, не грозит. Если только с рабочей станции зловред утащит.
Alexander
Ни разу не сталкивался с копрометацией своих паролеи и ключей ssh.
Но побаиваюсь этого
Кстати, Это может быть связано и с атакой "человек посередине" при первом доступе.
.
Я локально настраивал и устанавливал в пределах одного и того же помещения.
Alexander
легкие пароли улетают на раз два
Там ключ был сразу установлен еще в локалке, паролями для SSH в Internet вообще не пользуюсь, кроме как в локалке и для тестовых экспериментов.
Алексей
Там ключ был сразу установлен еще в локалке, паролями для SSH в Internet вообще не пользуюсь, кроме как в локалке и для тестовых экспериментов.
да, наверное после такого я тоже начал бы нервничать
Алексей
теперь я ссш открываю только доверенным ип адресам
Alexander
теперь я ссш открываю только доверенным ип адресам
Хых, а если в железке Ethernet закладка и на определенную последовательность данных она дернет за другую закладку в каком-нибудь блобе ядра, который в свою очередь отключит iptables для адреса, с которого пришел этот например ping? Вероятно даже ничего не засветится в логах...
Алексей
ну уж увольте) безопасность это не сфкрический конь в вакууме. Всё что мы можем сделать это уменьшить вероятность успешной атаки
Алексей
в моих серверах ничего такого что потребовало бы таких сложных схем нет, слава богу.
Alexander
ну уж увольте) безопасность это не сфкрический конь в вакууме. Всё что мы можем сделать это уменьшить вероятность успешной атаки
Это на ЛОРе обсуждалось, без секурного железа все эти пляски защищают только от обычных мамкиных хацкеров.
Алексей
а секурное железо, это что например?
Alexander
а секурное железо, это что например?
Вероятно чипы, произведенные на доверенной территории, по своим собственным чертежам, но ессно в нем будут другие национальные закладки. Т.е. либо закладки АНБ либо ФСБ, да еще и впридачу, те и другие подчиняются ЗОГ, т.е. определенные спецслужбы смогут вскрывать хоть те, хоть другие. Тупик для обычного одмина :(
Но IMHO выход есть, надо брать самое древнее железо типа IrDA + модемы на пеньках и использовать их с обезжиренными ядрами типа OpenBSD. Через такой firewall уже сложнее будет просочиться.
Алексей
я думаю можно заканчивать на этом. пойду страдать 😭😭😂
George
Добрый вечер,
1) Подскажите, может ли какой-нибудь зловред перезаписывать содержимое снэпшотов незаметно?
Не в смысле клонирования, монтирования и записи как обычно незловреды, а именно изподтишка?
2) Встречались ли вам хотя бы упоминания буткитов шифровальщиков, которые незаметно шифруют устройства пула vdevs?
снапшоты нельзя модифицировать, только создавать новые
Alexander
снапшоты нельзя модифицировать, только создавать новые
Однако в IRC чатике ZOL разработчики мне писали обратное, ZDB и немного смекалки и вуаля, якобы можно.
Alexander
В синтаксисе только zpool и zfs команд конечно нельзя.
George
а можно вклинюсь? в чем профит zfs over luks в данном случае по ср. с нативным шифрованием zfs?
с обратной стороны отвечу - нативное шифрование позволяет без ключа пересылать в зашифрованном виде и выполнять scrub. Т.е. zfs знает про него и умеет такие вещи к примеру
Ivan
снапшоты нельзя модифицировать, только создавать новые
нет ничего невозможного, но очень сомнительно что кто-то будет выполнять столько работы.
George
нет ничего невозможного, но очень сомнительно что кто-то будет выполнять столько работы.
* нельзя без огроменной модификации zfs, на которую core разрабы 20 лет как сами не готовы
George
merkle tree, это ой как не просто
Alexander
* нельзя без огроменной модификации zfs, на которую core разрабы 20 лет как сами не готовы
Это очень радует, если действительно так.
George
block pointer rewrite это называется
Alexander
Что-то такое они и упоминали вроде бы как раз.
George
если какой-то шифровальщик осилит без убийства пула - нужно будет позаимствовать)))
Alexander
если какой-то шифровальщик осилит без убийства пула - нужно будет позаимствовать)))
Проблема с шифровальщиками не в том, что они могут модифицировать структуры данных ZFS, а то, что теоретически могут незаметно постепенно закриптовать блочные устройства еще до ZFS и даже до LUKS, ну или наоборот поверх ZFS, отчего вообщем то не легче.
George
Проблема с шифровальщиками не в том, что они могут модифицировать структуры данных ZFS, а то, что теоретически могут незаметно постепенно закриптовать блочные устройства еще до ZFS и даже до LUKS, ну или наоборот поверх ZFS, отчего вообщем то не легче.
могут, но не изменяя уже существующий снапшот, я про это
George
регулярные снапшоты как раз от этого помогают
George
> Подскажите, может ли какой-нибудь зловред перезаписывать содержимое снэпшотов незаметно?
Alexander
Если шифровальщик будет окучивать блоки данных на уровне ядра dev mapper (для аналогии типа утилиты DD к примеру если бы в user space)
Alexander
какой вопрос был задан, на такой и ответил)
Вопрос про снэпшоты был отдельно от проблемы с зловредным шифровальщиком.
Alexander
> Подскажите, может ли какой-нибудь зловред перезаписывать содержимое снэпшотов незаметно?
Зачем снэпшоты, блочное устройство под ZFS, а потом в час икс перестанет его автоматически расшифровывать и все пипец, приплыли.
Alexander
вот есть к примеру /dev/sda
Alexander
мы создаем пул zpool create my_valuable_data /dev/sda
Alexander
пишем туда всякое ценное и полезное, а потом хоба и ZFS больше не может импортировать пул, потому что /dev/sda был незаметно закриптован буткитом.
Alexander
Т.е. он постепенно шифрует уже записанные нешифрованные блоки и перезаписывает их зашифрованными, ессно их автоматически расшифровывает, когда ZFS (или любая другая FS) их читает.
Но в определенный момент времени перестает расшифровывать, а вместо этого просит бабло$.
George
Зачем снэпшоты, блочное устройство под ZFS, а потом в час икс перестанет его автоматически расшифровывать и все пипец, приплыли.
от такого только бекапы на другом хосте со срезом по времени теми же снапами помогут
George
если система скомпрометирована, то тут ужё всё
Alexander
от такого только бекапы на другом хосте со срезом по времени теми же снапами помогут
А вдруг там точно такие же буткиты?
Alexander
Вот я и предлагаю держать хотя бы одну реплику ZFS на одноплатниках ARM, где с буткитами вроде бы получше, чем на дырявых по самое днище X86.
Roman
Вот я и предлагаю держать хотя бы одну реплику ZFS на одноплатниках ARM, где с буткитами вроде бы получше, чем на дырявых по самое днище X86.
А что у нас на одноплатниках arm есть secure boot?
Alexander
Может быть на каких-то и есть, но даже без secure boot, если на одноплатник ставить только минимум оси и ZFS, юзать только в качестве ZFS storage и никак иначе, сколько там точек для внедрения буткитов?
Прошивка microSD? readonly прошивка TrustZone на заводе производителе чипа (навряд ли)? что еще?
Alexander
Вот берем редкий одноплатник, вкатываем на него редкую NET BSD и получаем ZFS без сюрпризов, нет?
Qwerty
Вот берем редкий одноплатник, вкатываем на него редкую NET BSD и получаем ZFS без сюрпризов, нет?
Ну и когда он станет популярным, найдутся буткиты и все остальное
Alexander
Ну и когда он станет популярным, найдутся буткиты и все остальное
А как их внедрять, если использовать microSD 10-15 летней давности только для старта Uboot, а остальное к примеру вообще по IPX с еще более древнего девайса?
Qwerty
А что мешает то же самое сделать с x86?
Roman
Может быть на каких-то и есть, но даже без secure boot, если на одноплатник ставить только минимум оси и ZFS, юзать только в качестве ZFS storage и никак иначе, сколько там точек для внедрения буткитов?
Прошивка microSD? readonly прошивка TrustZone на заводе производителе чипа (навряд ли)? что еще?
Вам ни кто не запрещает подписать свой загрузчик своим сертом и при старте его проверять через secure boot юзая параллельно аппаратный tpm, а при желании ещё и гспч модуль добавить
Qwerty
Что мешает использовать libreboot/secureboot/etc?
Alexander
А что мешает то же самое сделать с x86?
Куча PCI девайсов и собственно сам бивис, куда можно шить буткиты.
Qwerty
Куча PCI девайсов и собственно сам бивис, куда можно шить буткиты.
Что мешает использовать libreboot/secureboot/etc?
Qwerty
Что мешает не использовать pci устройства
Alexander
Что мешает использовать libreboot/secureboot/etc?
Что мешает их перешить?
https://www.securitylab.ru/analytics/432914.php
Roman
Что мешает их перешить?
https://www.securitylab.ru/analytics/432914.php
Аппаратные перемычки на плате
Alexander
Что мешает не использовать pci устройства
Сколько там перешиваемых чипов на современных материнках X86 даже без внешних дисковых контроллеров?
В современном среднестатистическом домашнем системнике с установленными PCI картами счет идут уже на десятки перешиваемых чипов.
Alexander
Аппаратные перемычки на плате
И где же взять такие перемычки?
Купить матплату 20 летней давности?
Что мешает производителю чипа немножечко обмануть юзеров, и сделать чип перешиваемым для сами знаете кого, даже с отключенной перемычкой?
Roman
И где же взять такие перемычки?
Купить матплату 20 летней давности?
Что мешает производителю чипа немножечко обмануть юзеров, и сделать чип перешиваемым для сами знаете кого, даже с отключенной перемычкой?
С таким же успехом я это переворачиваю в сторону arm
Если честно вы страдаете херней, и сейчас уйдёте вплоть до того что в cpu могут быть бэкдоры
Ps современные uefi сейчас вообще «аппаратный» рубильник в себе имеют. Запретили шить в настройках и все
Alexander
С таким же успехом я это переворачиваю в сторону arm
Если честно вы страдаете херней, и сейчас уйдёте вплоть до того что в cpu могут быть бэкдоры
Ps современные uefi сейчас вообще «аппаратный» рубильник в себе имеют. Запретили шить в настройках и все
Ухаха, а их там будто нет? Даже находили в тех же VIA.
Только такие закладки перпендикулярны шифровальщикам-зловредам, если шифровальщик уже не внедрен в CPU целиком.
Roman
Ухаха, а их там будто нет? Даже находили в тех же VIA.
Только такие закладки перпендикулярны шифровальщикам-зловредам, если шифровальщик уже не внедрен в CPU целиком.
Не пользуйтесь тогда не одним вычислительным устройством :)
Создайте свой cpu и архитектуру, напишите сами ОС, заодно портируйте туда open zfs и выводите на рынок, сообщество спасибо скажет
Alexander
Roman
И кому после этого нужно в дурку?
Не знаю, не я ж тут флужу в чате про файловую систему, псевдодырками в загрузчиках
Alexander
Не знаю, не я ж тут флужу в чате про файловую систему, псевдодырками в загрузчиках
Буткитов не существует, ога? Про зловредов - шифровальщиков тоже никто не слыхал?
А собственно что мешает их совместить и сделать гибрид - невидимку?
Alexander
Не знаю, не я ж тут флужу в чате про файловую систему, псевдодырками в загрузчиках
Боюсь, что в случае появления таких зловредов, наша медицина не справится с наплывом, казалось бы ранее здоровых пациентов.
Roman
@gmelikov как думаете, может есть таблетки для такого? 😂
Alexander
@gmelikov как думаете, может есть таблетки для такого? 😂
С цианидом? От нового компьютерного ковида.
nagual
Буткитов не существует, ога? Про зловредов - шифровальщиков тоже никто не слыхал?
А собственно что мешает их совместить и сделать гибрид - невидимку?
Мешают кривые ручки производителей железа и непредсказуемость трактоватетей RCF ... Можно сделать под одну плату, можно под две, нельзя под все ...
Alexander
Мешают кривые ручки производителей железа и непредсказуемость трактоватетей RCF ... Можно сделать под одну плату, можно под две, нельзя под все ...
Так ведь делали буткиты еще 10 лет назад, за 10 лет вероятно революционный прогресс, в новостях ничего нет, значит просто заглушили неугодную инфу.
Да ещеs systemD, который готов расшарить через сокеты (что очень удобно буткитам, чтобы не морочиться с ABI вызовов) чуть ли не весь API ядра, осталось только принудительно обратить systemD в блоб для полного "счастья".