ne, nejde o zadnou bezpecnostni chybu, neni to o nic "lepsi" shell, nez kdyz bych startoval po pridani "init=/bin/sh rootdelay=1" kdy root shell naskoci rovnou ;)
a to nemluvim o tom ze nastartovat z USB flash LiveLinux zvladne i cvicena opice...
Je to bezpečnostní chyba, protože velmi usnadňuje evil maid útok. Boot z externích zařízení lze mít zakázaný v BIOSu a bootloader lze mít uzamčený / zaheslovaný proti změnám konfigurace. V takovém případě tahle chyba otvírá vrátka pro evil maids.
Nicméně faktem je, že taková konfigurace stejně jen dává zdání bezpečnosti. Daleko lepší je mít šifrovanou i boot partition a samotný bootloader chráněný před změnami pomocí UEFI Secure Boot s nahranými vlastními klíči (klíče Microsofu a OEM člověk samozřejmě musí z UEFI smazat). I pak je tu riziko třeba backdooru v UEFI nebo přeflashnutí firmwaru, ale to je podstatně složitější a dá se proti tomu (alespoň proti přeflashnutí) bránit fyzickými prostředky tak, aby to pro evil maids bylo již prakticky nerealizovatelné (alespoň pokud na to útočník bude mít omezený čas).
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
21.11.2016 13:06
k3dAR | skóre: 62
RozbalitRozbalit vše
Re: Bezpečnostní chyba v Cryptsetupu a v LUKSu?
kolik lidi co by melo zamknutej grub to bude povazovat za chybu? zadnej protoze maji sifrovanej boot (mam to tak sam :)
kolik lidi co nema zamknutej grub ale maji z instalatoru distra zakrtnute "sifrovat disk" se lekne ze maji problem? 97% ;)
Bohužel šifrovaný boot zdaleka ještě není standard Setkal jsem se s vícero lidmi, co měli šifrovaný jen root (standard v distribucích) a pouze zaheslovaný GRUB. Mimochodem i v tom hesle do GRUBu byl tak rok dva zpátky podobný bug (stačilo zmáčknout mnohokrát tuším backspace a člověk se dostal do konfigurace GRUBu i bez znalosti hesla).
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
21.11.2016 14:59
k3dAR | skóre: 62
RozbalitRozbalit vše
Re: Bezpečnostní chyba v Cryptsetupu a v LUKSu?
chtel sem tim rict, ze nekdo kdo by resil zaheslovanej grub, tak je stejne tak schopnej resit sifrovanej root... zbytecne to ale vystrasi uzivatele co maji ten sifrovanej root bez zaheslovaneho grubu... i kdyz mozna to neni zbyteccne, pokud zacnou premyslet i nad sifrovanim boot :) je jen otazka proc to distra nema rovnou pod volbou "sifrovat celej disk"...
fakt medvedi sluzba tem projektum udelat takovej clickbaitovej titulek a text zpravicky, aby se ctenar az ke konci dozvedel, ze chyba je nekde uplne jinde. To fakt neni fair.