Пароль контейнера висит в RAM-пямяти !!! ЭТО ПРОБЛЕМА
Господа, всем доброго дня!
Намедни прочел статейку в "Комьютербилде", там был обзор про криптосистемы. Так вот, PGP опустили ниже плинтуса... Сказали, что PGP хранит пароли от контейнеров в оперативке ДАЖЕ после закрытия контейнера! Я проверил... Млин......... И точно!
Я всегда был поклонником PGP Desktop Professional, юзаю последнюю версию и не нарадуюсь... После того как обнаружил казанную мягко говоря проблему, не знаю что и думать...
Ваше мнение?
Дима
комментариев: 4 документов: 1 редакций: 0
Скептики могут ухмыльнуться: "Почему надо вводить свой пароль в строку поиска программы HxD?"
Отвечаю...
Среди "братской могилы символов и кракозябров" RAMa, когда появляется таблица в виде символов "внутренностей" RAMа пароль легко вычленить даже визуально, так как:
1) PGP не дает вводить пароли в кириллице, поэтому используются цифры и латинский алфавит
2) Найти среди "всяких там" символов чисто визуально "буквенно-цифровой" пароль достаточно легко ЧИСТО ВИЗУАЛЬНО нужно просто терпение, внимание и 10 минут свободного времени...
В любом случае уязвимость налицо
Уфффф... Теперь все...)))
комментариев: 4 документов: 1 редакций: 0
ОТВЕТ:
ДА. ВСЕ БЕЗОПАСНЫЕ ФУНКЦИИ ВКЛЮЧЕНЫ (ПОВЕРЬТЕ, МЫ ТОЖЕ НЕ ШИКОМ БРИТЫ, АНГЛИЙСКИЙ ЯЗЫК ЗНАЕМ)... ВСЕ, ЧТО КАСАЕТСЯ БЕЗОПАСНОСТИ – ВСЕ ВКЛЮЧЕНО И УЧТЕНО. И ВСЕ РАВНО... ЗЗЗЗАРАЗА ПОЯВЛЯЕТСЯ...
комментариев: 4 документов: 1 редакций: 0
Мужики, ну же...
Проверьте. Я реально расстроился когда проверил и перепроверил....
Дайте хоть какой-нить коммент...
Кто проверял?
комментариев: 1060 документов: 16 редакций: 32
[offtop]
А что это PGP так распух??? Триальник 79,7 мегабайт!!!
[/offtop]
комментариев: 1060 документов: 16 редакций: 32
Установил на диск пароль zaqwsxcderfvbgtyhn, кэширование отключил.
1) Открыл память PGPtray.
2) Ввёл в поиск 'zaqwsx' – результата нет.
3) повторил поиск 'zaqwsx' – нашёл именно эту подстроку 'zaqwsx', но не весь пароль
4) Ввел произвольную строчку – результата, естественно, нет.
5) повторил поиск со строкой из п. 4) – и нашёл её :)
Всё выглядит так, что "пароль" оказывается в контексте PGPTray именно после его поиска. Чтобы это подтвердить или опревергнуть, хорошо бы знать как NxD работает.
divitis, можете привести подробную инструкцию (вплоть до "нажал кпонку x", "ввел строку y", "установил галочку z")?
Вот, вероятно, и ответ.
У вас какой длины пароль?
А то вот ещё недавно (см. google:библейский+код) в библеййских текстах (если читать их через N букв) находили всякие современные названия, а потом выяснилось, что это получается с любыми достаточно длинными текстами, чисто статистически.
Отвечаю на вопрос от Sentausa (16/02/2009 23:46)
Все инструкции где ставить "галочки" и на что нажимать я уже давал...
Сам факт хранения пароля в не зашифрованном виде НАЛИЦО и считаю доказанным. Пароль находится с помощью указанной в статье программой "на раз-два". При этом строка с паролем хранится ДАЖЕ при выключенном диске. Чего ещё-то добавить? :-) Это ж реальная проблема безопасности! То есть, гипотетически, некий "злоумышленник", может подключить свою флешку (естессно при реальном доступе к компу), запустить программу и скачать все мозги RAMa (прихватив ещё и сам зашифрованный диск), а потом дома, попивая чаек спокойненько найти строчку и открыть диск.
К тому же не забывайте, что диск спокойно можно найти по расширению + можно скачать, переместить, скопировать и прочее (защиты на все это тоже нет, не предусмотрена создателем программы). И чего теперь? :-)) Кирдык...:-))
RAM-память у PGP Tray не такая уж и огромная, найти строчку при потоковом просмотре не проблема. Вы заметили как она отражается в виде "значков и символов"? На фоне символов без труда можно разглядеть набор латинских символов и цифр.
Я понимаю мнение некоторых, конечно обидно, но факт остается фактом...:-))
комментариев: 1060 документов: 16 редакций: 32
Есть подозрение, что "на два" он находиться только после безуспешного поиска "на раз". Без всяких обид. :)
Я понимаю логику по поводу: "Слабо..." :-))
Не прокатит...
Понимаю, что обидно пользоваться решетом супер-программы PGP, но факт остается фактом...
А во вторых, прежде чем осуществлять поиск, скиньте дамп в файл и попробуйте найти в нём. Если это вам тоже "слабо и не прокатит", плюс ваша манера общаться просто усилит подозрение в троллинге.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 11558 документов: 1036 редакций: 4118
Divitis, в поиске увидя свой пароль,
Накинулся на форум, словно троль:
"Смотри-ка, – говорит, – народ честной,
КАКАЯ ТАМ УГРОЗА!!!
Какие у нее ужимки и прыжки!
**Вы удавились бы с тоски,
Когда бы поняли, на что это похоже!**
А ведь, признайтесь, есть
Возможностей узнать пароль пять-шесть:
Я даже их могу по пальцам перечесть"...
"Чем пароли вовне искать, трудиться,
Не лучше ль на свой в поиск ввод, оборотиться?" -
Senatus отвечал.
Но тот его совет лишь попусту пропал.
Не любит узнавать никто себя в причине.