— SATtva (04/02/2009 20:30)   
Single sign-on пробовали отключать?

— Гость (04/02/2009 20:40)   
Вы спросили: "Single sign-on пробовали отключать?"

И чего? Где такие настройки хранятся – не знаю, такого пункта настройки в Options нет. Есть только "Do not save my passphrase" (включено НЕ сохранять)...

Есть ещё "супер" (в кавычках) фишка, когда кликаешь на значке PGP в трее правой кнопкой мыши, выдается меню в котором есть пункт "Clear Caches". Для чего выводить отдельный пункт для очистки кэша – не понятно. Это очень не удобно, мне кажется это отмазка GPG на такой факап как хранение паролей в кэше...)))

Есть ещё соображения?

— SATtva (04/02/2009 20:45)   
Пока пароль кэширован, он очевидно будет в ОЗУ.

– Доктор, когда я вот так делаю [заламывает себе руку за спину], у меня плечо болит.
– Не делайте.

— Гость (04/02/2009 21:06)   
SATtva, Вы думаете что не о чем беспокоиться? Просто надо нажимать на "пимпочку" очистки кэша? )))
Ууухх...круто...)))

ОК. Понял, оставим этот вопрос на усмотрение создателей PGP...)))

Спасибо. Только Вы не ответили на вопрос: ГДЕ НАХОДИТСЯ НАСТРОЙКА А-ЛЯ Single sign-on ?
Мне кажется в версии 9.9.0 такой нет. Подскажите где – буду признателен...)))

— SATtva (05/02/2009 13:44)   
У меня нет Винды. Если Вы заявляете, что пароль висит в памяти несмотря на отключение кэширования, и что Вы это собственноручно проверили и подтвердили, и что висит он в памяти процессов PGP, а не был скопирован куда-нибудь самой Виндой, то пишите на security@pgp.com, ибо это реальная брешь безопасности, и Вам там скажут большое спасибо.

— Гость (05/02/2009 14:03)   
SATtva, зачем Вы закрыли соседнюю тему? Эта – про хранение пароля в памяти, та – о результатах теста.

Вот кусок этого теста: http://www.computerbild.ru/soft/27446/ Они непрофессионалы.

— SATtva (05/02/2009 14:18)   
В обеих темах ссылаются на результаты одного исследования (если его действительно можно так назвать).

— Мухтар (05/02/2009 20:26)   
Извините, но не протестировать на подобные хаки программу такого уровня – просто ламерство какое-то!

— SATtva (05/02/2009 20:56)   
Мне было бы интересно увидеть независимое подтверждение.

— Мухтар (05/02/2009 23:48)   

Вот пусть автор и напишет подробно, как он проверил, чтобы пользователи программы смогли повторить эксперимент.

— Гость (07/02/2009 09:54)   
Использование токенов во многом снимает актуальность проблемы утечки паролей.

— Alex_LG (07/02/2009 14:31)   

Использование токенов во многом снимает актуальность проблемы утечки паролей.

ага, зато ставит проблему вероятности взлома токена

— SATtva (07/02/2009 16:55)   
Это в какой-то мере превышает риск/стоимость компрометации пароля?

— Гость (16/02/2009 20:57)   
УВАЖАЕМЫЕ СОМНЕВАЮЩИЕСЯ, СПРАШИВАЛИ? ОТВЕЧАЮ...
ДЛЯ НАЧАЛА ВВОДНАЯ: У МЕНЯ (Divitis) СТОИТ PGP 9.9.0...

А теперь приступим-с к разоблачению...))) Только не хмурьтесь, я бы ничего не написал если б сам не пощупал результат...

Порядок действия таков:
1) качаем софт указанный в статье Computerbild, чтобы Вам не мучиться, качайте софтину по ссылке http://slil.ru/26650622 (программа HxD v1.7.6.6)
2) Создаем супер-пупер PGP-диск, при этом вводим пароль (который естессссно помните...)
3) Открываете PGP-диск....
и......

ПРОВЕРКА (1)
Запускаем указанную софтинку HxD. Ищем пункт меню "Extras" -> "OpenRAM"->из списка выбираем нужную программу, в нашем случае PGPTray -> нажимаем нужный пункт и вуаля... появляются "внутренности" RAM.
Теперь выбираем пункт "Search" -> "Find" -> в окошке которое появится ставите галочки на пунктах "Unicode..." и "Case..." и справа отмечаем "искать везде" (All). ТЕПЕРЬ ВВОДИМ СВОЙ ПАРОЛЬ. Нажимаем кнопку ОК.... Все! Вуаля...:-))) Софтинка покажет нам пароль, причем в абсолютно раздетом виде...то есть без всяких там символов и прочего мусора, при этом до пароля будет такая страааааная надпись, типа pass либо password... Ась? Каково? :-)))

ПРОВЕРКА (2): закрываем наш супер-пупер PGP-диск...и естесссно повторяем операцию... Ответ будет тот же...:-)))

Кстати, иногда программа смело кричит что мол ничего не найдено...если нажать ещё раз на поиск – все равно найдет...))) В 90% случаев находила с первого раза!

И чего теперь прикажете делать? ))) Молчать?

Как говорится, "дорогу осилит идущий" либо "практика критерий истины". Каждый пусть выберет для себя нужный контекст.

А всем обиженным, с болезненным восприятием...можете не отвечать...)))

— SATtva (16/02/2009 21:10, исправлен 16/02/2009 21:12)   
Опция Do not save my passphrase (или как её там) в настройках PGP включена?

Кто-нибудь ещё может подтвердить? Если да, буду писать Калласу.

— divitis (16/02/2009 21:10)   
......И ЕЩЁ, В ДОГОНКУ... ДОБАВЛЮ ЕЩЁ КОЕ ЧТО...
Скептики могут ухмыльнуться: "Почему надо вводить свой пароль в строку поиска программы HxD?"

Отвечаю...

Среди "братской могилы символов и кракозябров" RAMa, когда появляется таблица в виде символов "внутренностей" RAMа пароль легко вычленить даже визуально, так как:

1) PGP не дает вводить пароли в кириллице, поэтому используются цифры и латинский алфавит
2) Найти среди "всяких там" символов чисто визуально "буквенно-цифровой" пароль достаточно легко ЧИСТО ВИЗУАЛЬНО нужно просто терпение, внимание и 10 минут свободного времени...

В любом случае уязвимость налицо

Уфффф... Теперь все...)))

— divitis (16/02/2009 21:14)   
Вопрос от SATtva (16/02/2009 21:10) "Опция Do not save my passphrase (или как её там) в настройках PGP включена?"

ОТВЕТ:

ДА. ВСЕ БЕЗОПАСНЫЕ ФУНКЦИИ ВКЛЮЧЕНЫ (ПОВЕРЬТЕ, МЫ ТОЖЕ НЕ ШИКОМ БРИТЫ, АНГЛИЙСКИЙ ЯЗЫК ЗНАЕМ)... ВСЕ, ЧТО КАСАЕТСЯ БЕЗОПАСНОСТИ – ВСЕ ВКЛЮЧЕНО И УЧТЕНО. И ВСЕ РАВНО... ЗЗЗЗАРАЗА ПОЯВЛЯЕТСЯ...

— divitis (16/02/2009 21:17, исправлен 16/02/2009 21:17)   
Ауууу....

Мужики, ну же...

Проверьте. Я реально расстроился когда проверил и перепроверил....
Дайте хоть какой-нить коммент...

Кто проверял?

— sentaus (16/02/2009 22:38)   
Интересно. Ушёл проверять.

[offtop]
А что это PGP так распух??? Триальник 79,7 мегабайт!!!
[/offtop]

— sentaus (16/02/2009 23:46)   
Сделал предварительный тест, и получил следующие результаты.
Установил на диск пароль zaqwsxcderfvbgtyhn, кэширование отключил.

1) Открыл память PGPtray.
2) Ввёл в поиск 'zaqwsx' – результата нет.
3) повторил поиск 'zaqwsx' – нашёл именно эту подстроку 'zaqwsx', но не весь пароль
4) Ввел произвольную строчку – результата, естественно, нет.
5) повторил поиск со строкой из п. 4) – и нашёл её :)

Всё выглядит так, что "пароль" оказывается в контексте PGPTray именно после его поиска. Чтобы это подтвердить или опревергнуть, хорошо бы знать как NxD работает.

divitis, можете привести подробную инструкцию (вплоть до "нажал кпонку x", "ввел строку y", "установил галочку z")?

— Гость (17/02/2009 11:56)   

Кстати, иногда программа смело кричит что мол ничего не найдено...если нажать ещё раз на поиск – все равно найдет...

4) Ввел произвольную строчку – результата, естественно, нет.
5) повторил поиск со строкой из п. 4) – и нашёл её :)

Вот, вероятно, и ответ.

В 90% случаев находила с первого раза!

У вас какой длины пароль?
А то вот ещё недавно (см. google:библейский+код^[link1]) в библеййских текстах (если читать их через N букв) находили всякие современные названия, а потом выяснилось, что это получается с любыми достаточно длинными текстами, чисто статистически.

— Гость (17/02/2009 15:25)   
Это снова Divitis...

Отвечаю на вопрос от Sentausa (16/02/2009 23:46)

Все инструкции где ставить "галочки" и на что нажимать я уже давал...
Сам факт хранения пароля в не зашифрованном виде НАЛИЦО и считаю доказанным. Пароль находится с помощью указанной в статье программой "на раз-два". При этом строка с паролем хранится ДАЖЕ при выключенном диске. Чего ещё-то добавить? :-) Это ж реальная проблема безопасности! То есть, гипотетически, некий "злоумышленник", может подключить свою флешку (естессно при реальном доступе к компу), запустить программу и скачать все мозги RAMa (прихватив ещё и сам зашифрованный диск), а потом дома, попивая чаек спокойненько найти строчку и открыть диск.
К тому же не забывайте, что диск спокойно можно найти по расширению + можно скачать, переместить, скопировать и прочее (защиты на все это тоже нет, не предусмотрена создателем программы). И чего теперь? :-)) Кирдык...:-))

RAM-память у PGP Tray не такая уж и огромная, найти строчку при потоковом просмотре не проблема. Вы заметили как она отражается в виде "значков и символов"? На фоне символов без труда можно разглядеть набор латинских символов и цифр.


Я понимаю мнение некоторых, конечно обидно, но факт остается фактом...:-))

— sentaus (17/02/2009 15:35)   
OK, давайте я выложу дамп памяти, а вы найдёте там мой пароль. :) Если согласны, то чтобы всё было абсолютно честно, всё же настаиваю расписать подробную последовательность действий.

— Гость (17/02/2009 15:43)   

Пароль находится с помощью указанной в статье программой "на раз-два"

Есть подозрение, что "на два" он находиться только после безуспешного поиска "на раз". Без всяких обид. :)

— Гость (17/02/2009 15:52)   
Дорогой товарищ!

Я понимаю логику по поводу: "Слабо..." :-))
Не прокатит...

Понимаю, что обидно пользоваться решетом супер-программы PGP, но факт остается фактом...

— Гость (17/02/2009 16:10)   
Во первых, даже если пароль остаётся в памяти, это не смертельно. Просто не оставляйте включённый комп без присмотра, иначе вам просто поставят кейлоггер, и даже идеально работающая программа не спасёт.

А во вторых, прежде чем осуществлять поиск, скиньте дамп в файл и попробуйте найти в нём. Если это вам тоже "слабо и не прокатит", плюс ваша манера общаться просто усилит подозрение в троллинге.

— SATtva (17/02/2009 19:28)   
Манера общения, да, но скрипнем зубами и закроем на это глаза. Касаемо поиска в дампе памяти, то если есть, чем снять дамп, поиск можно произвести хоть grep-ом (учитывая, что, по словам топик-стартера, пароль лежит в памяти простым текстом, поиск должен быть прямолинейным). В Винде я когда-то пользовался вот такой^[link2] программой для сканирования памяти и накопителей.

— SATtva (17/02/2009 22:58)   
А судя по результатам sentaus'а это какой-то квантово-механический эксперимент — наблюдение искажает систему. :-)

— Гость (18/02/2009 01:07)   
Скорее это как в басне Крылова^[link3]:

Divitis, в поиске увидя свой пароль,
Накинулся на форум, словно троль:
"Смотри-ка, – говорит, – народ честной,
КАКАЯ ТАМ УГРОЗА!!!
Какие у нее ужимки и прыжки!
**Вы удавились бы с тоски,
Когда бы поняли, на что это похоже!**
А ведь, признайтесь, есть
Возможностей узнать пароль пять-шесть:
Я даже их могу по пальцам перечесть"...

"Чем пароли вовне искать, трудиться,
Не лучше ль на свой в поиск ввод, оборотиться?" -
Senatus отвечал.
Но тот его совет лишь попусту пропал.

— Гость (18/02/2009 01:18)   
Таких примеров много ныне:
Не любит узнавать никто себя в причине.

— Гость (18/02/2009 08:57)   
Уххх...))) Литуретурные вечера? ))) Впечааааатляееееет...
Пять баллов!!!

Ваш Divitis

— unknown (18/02/2009 09:16, исправлен 18/02/2009 09:16)   
Неожиданно доходчиво сразу для всех. Талантище.

Может именно в такой стихотворной форме ответ на описание проблемы и поместить в FAQ? :)

— sentaus (18/02/2009 12:27, исправлен 18/02/2009 12:30)   
:D

Но меня всё-таки немного смущают мои результаты. Есть ли здесь специалисты по Windows (:)), которые могли бы это прокомментировать?


Правильнее, конечно, было бы записать core dump процесса в файл и искать уже в нем.

— Гость (18/02/2009 15:34)   
Да, действительно, сначала следовало бы проверить более тщательно (всё-таки довольно серьёзный вопрос).
Есть ли здесь пользователи Windows? :)

— Гость (18/02/2009 20:46)   
искал через winhеx – пароля не нашел
xp, 9.1.1pro

— Гость (20/01/2010 18:37)   
Всё. Кажется залатали...:-)) На версии 9ю12 уже ничего не палится.

— basilcat (18/06/2010 15:32)   
Ё моё. Усе точно как ты пишешь. Правда надо знать что искать. Но... найти f.i.n.d и усе рядом пароль! Я Убью тебя стрелочник, то бишь Каллас!

— BrainSlug (18/06/2010 16:14)   
Как бы там по сабжу ни было, а лишний повод, пользователям тухлой проприетарщины, задуматься о внедрении в память процесса и прочих безобразиях...

— Гость (18/06/2010 16:41)   
[K.O.]
Школота атакуе. Всё больше постов и даже названий тем, где восклицательных/вопросительных знаков и скобок больше, чем текста. Как злоупотребление матом в речи говорит о бедности языка/словарного запаса, так и злоупотребление знаками пунктуации говорит об отсутствии мозгов. Неумелые идиотские попытки привлечь внимание к своему посту поставив лишние 10 восклицательных знаков лишь отталкивают окружающих, т.е. приводят к противоположному эффекту, и вообще такие посты неприятно назойливы.
[/К.О.]