On Mon, Sep 14, 2015 at 09:47:59AM +0000, brno wrote:
Non ho capito se hai letto di fretta, se sei un troll, se non hai idea
di quello che stai dicendo o se mi stai a socialengineerizzare.
Propendero' per il primo caso.
> per esempio, se hai una macchina compromessa, non hai un grosso vantaggio
> nello scrivere le pwd in terminale anziche' in X (perche' anche le pwd
> ssh/gpg/vpn dopo averle usate restano nella mem della shell, puoi
> confermarlo se provi a dumpare la mem di bash e greppare la tua pwd in
facciamo cosi', dimmi la tua pwd che provo a grepparla :)
Se non sei root e riesci a leggere la memoria di un processo di un altro
utente[1], fammelo sapere che mi interessa.
Se hai la macchina root-compromessa, hai gia' altri cazzi. Il mio threat
model e' exploit nel browser o in altra app X (che in caso di RCE puo'
"vedere" gli eventi Xorg) che gira con uid diverso da quello con cui uso
le chiavi di cui sopra. E' la terza volta che lo dico, se non ti e'
chiaro faccio un disegnino :)
[1]: con grsecurity, neanche dello stesso per altro
koba@katom:~$ strace -p`pidof ssh-agent`
strace: attach: ptrace(PTRACE_ATTACH, ...): Operation not permitted
> chiaro...), stessa cosa vale per luks, non hai la pwd in memoria, ma la key
> gia' stretchata (che brutto termine). anche se luks usa AF-split, con un
> plugin di volatility la riesci a tirare fuori.
Ah, non riesce a (de)cifrare i dati per empatia? :)
> non per essere catastrofico, ma anche le VM possono dare false speranze.
> basta guardare alle ultime vuln su qemu/vmware che permettono di fare vm
> evasion.
Si' mo me lo segno :)
> altra cosa da tener conto e' che qubes OS funziona in modo completamente
> differente, per esempio, dall'usare il browser nella vm, soprattutto se il
> proprio hw ha anche il supporto a vt-d..
Ah, grazie, non avevo letto il readme di qubes, l'avevo citato cosi' a
caso, eh. :)
Per altro ci sono vettori di attacco molto piu' semplici (oltre al
solito[2]), ma mi sembra di avere gia' dato sufficienti informazioni su
come sfondarmi senza bisogno di dettagliare ulteriormente :)
[2]:
https://xkcd.com/538/
bye,
K.