Autor: Jaromil Data: Para: hackmeeting Assunto: Re: [Hackmeeting] opinioni su crypto.cat, kyloggers e chiavi segrete
On Mon, 14 Sep 2015, brno wrote:
> per esempio, se hai una macchina compromessa, non hai un grosso
> vantaggio nello scrivere le pwd in terminale anziche' in X (perche'
> anche le pwd ssh/gpg/vpn dopo averle usate restano nella mem della
> shell, puoi confermarlo se provi a dumpare la mem di bash e greppare
> la tua pwd in chiaro...)
ma che davero? mi sembra strano :^O ma perche' usano readline?
vedi che mi sa almeno qui pinentry aiuta
> stessa cosa vale per luks, non hai la pwd in memoria, ma la key gia'
> stretchata (che brutto termine). anche se luks usa AF-split, con un
> plugin di volatility la riesci a tirare fuori.
hai ragione
questo e' uno scenario di vulnerabilita' che ho analizzato avendoci a
che fare con Tomb
cmq per fare cio' serve essere root... insomma serve sempre combinare
attacchi diversi per entrare: fare privilege escalation eppoi rubare la
chiave in memoria aggirando AF-split. per nulla facile.