Пароль контейнера висит в RAM-пямяти !!! ЭТО ПРОБЛЕМА
Господа, всем доброго дня!
Намедни прочел статейку в "Комьютербилде", там был обзор про криптосистемы. Так вот, PGP опустили ниже плинтуса... Сказали, что PGP хранит пароли от контейнеров в оперативке ДАЖЕ после закрытия контейнера! Я проверил...Млин......... И точно!
Я всегда был поклонником PGP Desktop Professional, юзаю последнюю версию и не нарадуюсь... После того как обнаружил казанную мягко говоря проблему, не знаю что и думать...
Ваше мнение?
Дима
Single sign-on пробовали отключать?
Вы спросили: "Single sign-on пробовали отключать?"
И чего? Где такие настройки хранятся – не знаю, такого пункта настройки в Options нет. Есть только "Do not save my passphrase" (включено НЕ сохранять)...
Есть ещё "супер" (в кавычках) фишка, когда кликаешь на значке PGP в трее правой кнопкой мыши, выдается меню в котором есть пункт "Clear Caches". Для чего выводить отдельный пункт для очистки кэша – не понятно. Это очень не удобно, мне кажется это отмазка GPG на такой факап как хранение паролей в кэше...)))
Есть ещё соображения?
Пока пароль кэширован, он очевидно будет в ОЗУ.
– Доктор, когда я вот так делаю [заламывает себе руку за спину], у меня плечо болит.
– Не делайте.
SATtva, Вы думаете что не о чем беспокоиться? Просто надо нажимать на "пимпочку" очистки кэша? )))
Ууухх...круто...)))
ОК. Понял, оставим этот вопрос на усмотрение создателей PGP...)))
Спасибо. Только Вы не ответили на вопрос: ГДЕ НАХОДИТСЯ НАСТРОЙКА А-ЛЯ Single sign-on ?
Мне кажется в версии 9.9.0 такой нет. Подскажите где – буду признателен...)))
У меня нет Винды. Если Вы заявляете, что пароль висит в памяти несмотря на отключение кэширования, и что Вы это собственноручно проверили и подтвердили, и что висит он в памяти процессов PGP, а не был скопирован куда-нибудь самой Виндой, то пишите на security@pgp.com, ибо это реальная брешь безопасности, и Вам там скажут большое спасибо.
SATtva, зачем Вы закрыли соседнюю тему? Эта – про хранение пароля в памяти, та – о результатах теста.
Вот кусок этого теста: http://www.computerbild.ru/soft/27446/ Они непрофессионалы.
В обеих темах ссылаются на результаты одного исследования (если его действительно можно так назвать).
Извините, но не протестировать на подобные хаки программу такого уровня – просто ламерство какое-то!
Мне было бы интересно увидеть независимое подтверждение.
Вот пусть автор и напишет подробно, как он проверил, чтобы пользователи программы смогли повторить эксперимент.
Использование токенов во многом снимает актуальность проблемы утечки паролей.
ага, зато ставит проблему вероятности взлома токена
Это в какой-то мере превышает риск/стоимость компрометации пароля?
УВАЖАЕМЫЕ СОМНЕВАЮЩИЕСЯ, СПРАШИВАЛИ? ОТВЕЧАЮ...
ДЛЯ НАЧАЛА ВВОДНАЯ: У МЕНЯ (Divitis) СТОИТ PGP 9.9.0...
А теперь приступим-с к разоблачению...))) Только не хмурьтесь, я бы ничего не написал если б сам не пощупал результат...
Порядок действия таков:
1) качаем софт указанный в статье Computerbild, чтобы Вам не мучиться, качайте софтину по ссылке http://slil.ru/26650622 (программа HxD v1.7.6.6)
2) Создаем супер-пупер PGP-диск, при этом вводим пароль (который естессссно помните...)
3) Открываете PGP-диск....
и......
ПРОВЕРКА (1)
Запускаем указанную софтинку HxD. Ищем пункт меню "Extras" -> "OpenRAM"->из списка выбираем нужную программу, в нашем случае PGPTray -> нажимаем нужный пункт и вуаля... появляются "внутренности" RAM.
Теперь выбираем пункт "Search" -> "Find" -> в окошке которое появится ставите галочки на пунктах "Unicode..." и "Case..." и справа отмечаем "искать везде" (All). ТЕПЕРЬ ВВОДИМ СВОЙ ПАРОЛЬ. Нажимаем кнопку ОК.... Все! Вуаля...:-))) Софтинка покажет нам пароль, причем в абсолютно раздетом виде...то есть без всяких там символов и прочего мусора, при этом до пароля будет такая страааааная надпись, типа pass либо password... Ась? Каково? :-)))
ПРОВЕРКА (2): закрываем наш супер-пупер PGP-диск...и естесссно повторяем операцию... Ответ будет тот же...:-)))
Кстати, иногда программа смело кричит что мол ничего не найдено...если нажать ещё раз на поиск – все равно найдет...))) В 90% случаев находила с первого раза!
И чего теперь прикажете делать? ))) Молчать?
Как говорится, "дорогу осилит идущий" либо "практика критерий истины". Каждый пусть выберет для себя нужный контекст.
А всем обиженным, с болезненным восприятием...можете не отвечать...)))
Опция Do not save my passphrase (или как её там) в настройках PGP включена?
Кто-нибудь ещё может подтвердить? Если да, буду писать Калласу.
......И ЕЩЁ, В ДОГОНКУ... ДОБАВЛЮ ЕЩЁ КОЕ ЧТО...
Скептики могут ухмыльнуться: "Почему надо вводить свой пароль в строку поиска программы HxD?"
Отвечаю...
Среди "братской могилы символов и кракозябров" RAMa, когда появляется таблица в виде символов "внутренностей" RAMа пароль легко вычленить даже визуально, так как:
1) PGP не дает вводить пароли в кириллице, поэтому используются цифры и латинский алфавит
2) Найти среди "всяких там" символов чисто визуально "буквенно-цифровой" пароль достаточно легко ЧИСТО ВИЗУАЛЬНО нужно просто терпение, внимание и 10 минут свободного времени...
В любом случае уязвимость налицо
Уфффф... Теперь все...)))
Вопрос от SATtva (16/02/2009 21:10) "Опция Do not save my passphrase (или как её там) в настройках PGP включена?"
ОТВЕТ:
ДА. ВСЕ БЕЗОПАСНЫЕ ФУНКЦИИ ВКЛЮЧЕНЫ (ПОВЕРЬТЕ, МЫ ТОЖЕ НЕ ШИКОМ БРИТЫ, АНГЛИЙСКИЙ ЯЗЫК ЗНАЕМ)... ВСЕ, ЧТО КАСАЕТСЯ БЕЗОПАСНОСТИ – ВСЕ ВКЛЮЧЕНО И УЧТЕНО. И ВСЕ РАВНО... ЗЗЗЗАРАЗА ПОЯВЛЯЕТСЯ...
Ауууу....
Мужики, ну же...
Проверьте. Я реально расстроился когда проверил и перепроверил....
Дайте хоть какой-нить коммент...
Кто проверял?
Интересно. Ушёл проверять.
[offtop]
А что это PGP так распух??? Триальник 79,7 мегабайт!!!
[/offtop]
Сделал предварительный тест, и получил следующие результаты.
Установил на диск пароль zaqwsxcderfvbgtyhn, кэширование отключил.
1) Открыл память PGPtray.
2) Ввёл в поиск 'zaqwsx' – результата нет.
3) повторил поиск 'zaqwsx' – нашёл именно эту подстроку 'zaqwsx', но не весь пароль
4) Ввел произвольную строчку – результата, естественно, нет.
5) повторил поиск со строкой из п. 4) – и нашёл её :)
Всё выглядит так, что "пароль" оказывается в контексте PGPTray именно после его поиска. Чтобы это подтвердить или опревергнуть, хорошо бы знать как NxD работает.
divitis, можете привести подробную инструкцию (вплоть до "нажал кпонку x", "ввел строку y", "установил галочку z")?
Вот, вероятно, и ответ.
У вас какой длины пароль?
А то вот ещё недавно (см. google:библейский+код[link1]) в библеййских текстах (если читать их через N букв) находили всякие современные названия, а потом выяснилось, что это получается с любыми достаточно длинными текстами, чисто статистически.
Это снова Divitis...
Отвечаю на вопрос от Sentausa (16/02/2009 23:46)
Все инструкции где ставить "галочки" и на что нажимать я уже давал...
Сам факт хранения пароля в не зашифрованном виде НАЛИЦО и считаю доказанным. Пароль находится с помощью указанной в статье программой "на раз-два". При этом строка с паролем хранится ДАЖЕ при выключенном диске. Чего ещё-то добавить? :-) Это ж реальная проблема безопасности! То есть, гипотетически, некий "злоумышленник", может подключить свою флешку (естессно при реальном доступе к компу), запустить программу и скачать все мозги RAMa (прихватив ещё и сам зашифрованный диск), а потом дома, попивая чаек спокойненько найти строчку и открыть диск.
К тому же не забывайте, что диск спокойно можно найти по расширению + можно скачать, переместить, скопировать и прочее (защиты на все это тоже нет, не предусмотрена создателем программы). И чего теперь? :-)) Кирдык...:-))
RAM-память у PGP Tray не такая уж и огромная, найти строчку при потоковом просмотре не проблема. Вы заметили как она отражается в виде "значков и символов"? На фоне символов без труда можно разглядеть набор латинских символов и цифр.
Я понимаю мнение некоторых, конечно обидно, но факт остается фактом...:-))
OK, давайте я выложу дамп памяти, а вы найдёте там мой пароль. :) Если согласны, то чтобы всё было абсолютно честно, всё же настаиваю расписать подробную последовательность действий.
Есть подозрение, что "на два" он находиться только после безуспешного поиска "на раз". Без всяких обид. :)
Дорогой товарищ!
Я понимаю логику по поводу: "Слабо..." :-))
Не прокатит...
Понимаю, что обидно пользоваться решетом супер-программы PGP, но факт остается фактом...
Во первых, даже если пароль остаётся в памяти, это не смертельно. Просто не оставляйте включённый комп без присмотра, иначе вам просто поставят кейлоггер, и даже идеально работающая программа не спасёт.
А во вторых, прежде чем осуществлять поиск, скиньте дамп в файл и попробуйте найти в нём. Если это вам тоже "слабо и не прокатит", плюс ваша манера общаться просто усилит подозрение в троллинге.
Манера общения, да, но скрипнем зубами и закроем на это глаза. Касаемо поиска в дампе памяти, то если есть, чем снять дамп, поиск можно произвести хоть grep-ом (учитывая, что, по словам топик-стартера, пароль лежит в памяти простым текстом, поиск должен быть прямолинейным). В Винде я когда-то пользовался вот такой[link2] программой для сканирования памяти и накопителей.
А судя по результатам sentaus'а это какой-то квантово-механический эксперимент — наблюдение искажает систему. :-)
Скорее это как в басне Крылова[link3]:
Divitis, в поиске увидя свой пароль,
Накинулся на форум, словно троль:
"Смотри-ка, – говорит, – народ честной,
КАКАЯ ТАМ УГРОЗА!!!
Какие у нее ужимки и прыжки!
**Вы удавились бы с тоски,
Когда бы поняли, на что это похоже!**
А ведь, признайтесь, есть
Возможностей узнать пароль пять-шесть:
Я даже их могу по пальцам перечесть"...
"Чем пароли вовне искать, трудиться,
Не лучше ль на свой в поиск ввод, оборотиться?" -
Senatus отвечал.
Но тот его совет лишь попусту пропал.
Таких примеров много ныне:
Не любит узнавать никто себя в причине.
Уххх...))) Литуретурные вечера? ))) Впечааааатляееееет...
Пять баллов!!!
Ваш Divitis
Неожиданно доходчиво сразу для всех. Талантище.
Может именно в такой стихотворной форме ответ на описание проблемы и поместить в FAQ? :)
:D
Но меня всё-таки немного смущают мои результаты. Есть ли здесь специалисты по Windows (:)), которые могли бы это прокомментировать?
Правильнее, конечно, было бы записать core dump процесса в файл и искать уже в нем.
Да, действительно, сначала следовало бы проверить более тщательно (всё-таки довольно серьёзный вопрос).
Есть ли здесь пользователи Windows? :)
искал через winhеx – пароля не нашел
xp, 9.1.1pro
Всё. Кажется залатали...:-)) На версии 9ю12 уже ничего не палится.
Ё моё. Усе точно как ты пишешь. Правда надо знать что искать. Но... найти f.i.n.d и усе рядом пароль! Я Убью тебя стрелочник, то бишь Каллас!
Как бы там по сабжу ни было, а лишний повод, пользователям тухлой проприетарщины, задуматься о внедрении в память процесса и прочих безобразиях...
[K.O.]
Школота атакуе. Всё больше постов и даже названий тем, где восклицательных/вопросительных знаков и скобок больше, чем текста. Как злоупотребление матом в речи говорит о бедности языка/словарного запаса, так и злоупотребление знаками пунктуации говорит об отсутствии мозгов. Неумелые идиотские попытки привлечь внимание к своему посту поставив лишние 10 восклицательных знаков лишь отталкивают окружающих, т.е. приводят к противоположному эффекту, и вообще такие посты неприятно назойливы.
[/К.О.]