101010.pl

🅴🆁🆄🅰 🇷🇺Про #<a class="" href="https://hub.hubzilla.de/search?tag=GRUB" rel="nofollow noopener" target="_blank">GRUB</a> можно позабыть уже несколько лет как — явно находится под чьим-то влиянием и до сих пор отказывается реализовать поддержку #<a class="" href="https://hub.hubzilla.de/search?tag=LUKS" rel="nofollow noopener" target="_blank">LUKS</a> 2-й версии, в части использования #<a class="" href="https://hub.hubzilla.de/search?tag=Argon2" rel="nofollow noopener" target="_blank">Argon2</a> / #<a class="" href="https://hub.hubzilla.de/search?tag=Argon2id" rel="nofollow noopener" target="_blank">Argon2id</a>. Важно это потому, что в мире полно ферм для майнинга криптовалют, так или иначе арестованных органами общественного правопорядка. Это изначально специализированные #<a class="" href="https://hub.hubzilla.de/search?tag=ASIC" rel="nofollow noopener" target="_blank">ASIC</a> для перебора значений hash-функций. В результате, стало возможным взламывать грубой силой почти все варианты дискового шифрования, если для хранения пароля используются обычные #<a class="" href="https://hub.hubzilla.de/search?tag=PBKDF2" rel="nofollow noopener" target="_blank">PBKDF2</a> / #<a class="" href="https://hub.hubzilla.de/search?tag=PBKDF" rel="nofollow noopener" target="_blank">PBKDF</a>, не адаптированные под противодействие крипто-майнинговым фермам. Примером, нормальной современной #<a class="" href="https://hub.hubzilla.de/search?tag=PBKDF" rel="nofollow noopener" target="_blank">PBKDF</a> является тот же #<a class="" href="https://hub.hubzilla.de/search?tag=Argon2" rel="nofollow noopener" target="_blank">Argon2</a> и его вариации. Альтернатива в том, что позволяет тот же #<a class="" href="https://hub.hubzilla.de/search?tag=systemd-boot" rel="nofollow noopener" target="_blank">systemd-boot</a>. Например, для полнодискового шифрование через LUKS берётся SSD/NVMe разбитый через #<a class="" href="https://hub.hubzilla.de/search?tag=GPT" rel="nofollow noopener" target="_blank">GPT</a> с выделением раздела EFI System Partition, на котором размещаются образы #<a class="" href="https://hub.hubzilla.de/search?tag=initrd" rel="nofollow noopener" target="_blank">initrd</a> / #<a class="" href="https://hub.hubzilla.de/search?tag=initramfs" rel="nofollow noopener" target="_blank">initramfs</a> и бинарники загрузчика systemd-boot являющиеся EFI-приложением. Всё содержимое EFI System Partition может проверяться Secure Boot'ом — быть заверены своим собственным сертификатом в дереве. Не только бинарники, но и текстовые *.conf файлы в /boot/loader/entries/ описывающие каждый вариант загрузки. Поскольку они содержат такие вещи как: <pre><code>title    ... — как зовётся в меню загрузочном linux    /vmlinuz-6.6-x86_64 — какое ядро ОС использовать initrd    /intel-ucode.img — какой микрокод процессора грузить initrd    /initramfs-6.6-x86_64.img — сам загрузочный образ ... options quiet — могут быть и в одну строчку все сразу options splash options rd.udev.log_level=3 options systemd.show_status=auto options sysrq_always_enabled=1 options intel_iommu=on options iommu=pt ...</code></pre> Т.е. файлы *.conf могут содержать всякие опции/параметры ядра, отвечающие за безопасность работы системы. Например, раздачей <a href="https://habr.com/ru/news/712476/" rel="nofollow noopener" target="_blank">таких рекомендаций</a> недавно развлекался #<a class="" href="https://hub.hubzilla.de/search?tag=%D0%A4%D0%A1%D0%A2%D0%AD%D0%9A" rel="nofollow noopener" target="_blank">ФСТЭК</a> (вот оригинал официальной <a href="https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590-informatsionnoe-soobshchenie-fstek-rossii-ot-30-dekabrya-2022-g-n-240-22-6933" rel="nofollow noopener" target="_blank">публикации</a>). #<a class="" href="https://hub.hubzilla.de/search?tag=linux" rel="nofollow noopener" target="_blank">linux</a> #<a class="" href="https://hub.hubzilla.de/search?tag=crypto" rel="nofollow noopener" target="_blank">crypto</a> #<a class="" href="https://hub.hubzilla.de/search?tag=lang_ru" rel="nofollow noopener" target="_blank">lang_ru</a>

🅴🆁🆄🅰 🇷🇺Пока #<a class="" href="https://hub.hubzilla.de/search?tag=KDE" rel="nofollow noopener" target="_blank">KDE</a> создаёт свой дистрибутив #<a class="" href="https://hub.hubzilla.de/search?tag=linux" rel="nofollow noopener" target="_blank">linux</a>, что делают гаврики из #<a class="" href="https://hub.hubzilla.de/search?tag=GNOME" rel="nofollow noopener" target="_blank">GNOME</a> ? Прожигают подушку безопасности верстая бюджет с дефицитом! :) И отказываются всего лишь от таких вещей как пара директоров и затраты на транспортировку представителей своего сообщества, управляющего совета и персонала GNOME Foundation на всякие мероприятия. Однако, оставляют расходы на программы оплачиваемых стажировок Outreachy ориентированной на такие социальные группы, которые оказывается слабо представлены в сфере разработки open source (free'шного ПО). А в #<a class="" href="https://hub.hubzilla.de/search?tag=KDE" rel="nofollow noopener" target="_blank">KDE</a> просто задолбались с тем, что присутствуют в подавляющем числе дистрибутивов #<a class="" href="https://hub.hubzilla.de/search?tag=linux" rel="nofollow noopener" target="_blank">linux</a> лишь в сильно пропатченом и потому кривом виде (из-за убогости ментейнеров этих дистрибов). Потому KDE и решили делать свой дистриб, на базе #<a class="" href="https://hub.hubzilla.de/search?tag=ArchLinux" rel="nofollow noopener" target="_blank">ArchLinux</a>, в котором #<a class="" href="https://hub.hubzilla.de/search?tag=KDE" rel="nofollow noopener" target="_blank">KDE</a> давным давно присутствует прямо в нативном, неизменённом виде. Причём в KDE весьма разумно подходят к вопросу: <ul><li> обновления системы на базе снапшотов #<a class="" href="https://hub.hubzilla.de/search?tag=btrfs" rel="nofollow noopener" target="_blank">btrfs</a></li><li> с полнодисковым шифрованием диска через #<a class="" href="https://hub.hubzilla.de/search?tag=LUKS" rel="nofollow noopener" target="_blank">LUKS</a></li><li> загрузкой через #<a class="" href="https://hub.hubzilla.de/search?tag=systemd-boot" rel="nofollow noopener" target="_blank">systemd-boot</a> (поскольку #<a class="" href="https://hub.hubzilla.de/search?tag=GRUB" rel="nofollow noopener" target="_blank">GRUB</a> плохо поддерживает LUKS)</li></ul> У самого несколько лет именно так и есть — обновления с автоматическими через #<a class="" href="https://hub.hubzilla.de/search?tag=TimeShift" rel="nofollow noopener" target="_blank">TimeShift</a> снапшотами файловой системы (средствами btrfs) при накатывании обновлений или установке софта. Полнодисковое шифрование LUKS, возможности которого нормально поддерживает лишь #<a class="" href="https://hub.hubzilla.de/search?tag=systemd-boot" rel="nofollow noopener" target="_blank">systemd-boot</a>, т.е. когда SSD/NVMe разбит через #<a class="" href="https://hub.hubzilla.de/search?tag=GPT" rel="nofollow noopener" target="_blank">GPT</a> и есть раздел EFI System Partition, на котором образы #<a class="" href="https://hub.hubzilla.de/search?tag=initrd" rel="nofollow noopener" target="_blank">initrd</a> / #<a class="" href="https://hub.hubzilla.de/search?tag=initramfs" rel="nofollow noopener" target="_blank">initramfs</a> и бинарники загрузчика могут проверяться Secure Boot'ом. А про GRUB можно позабыть уже очень давно, т.к. явно находится под чьим-то влиянием и до сих пор отказывается реализовать поддержку #<a class="" href="https://hub.hubzilla.de/search?tag=LUKS" rel="nofollow noopener" target="_blank">LUKS</a> 2-й версии, в части использования #<a class="" href="https://hub.hubzilla.de/search?tag=Argon2" rel="nofollow noopener" target="_blank">Argon2</a> / #<a class="" href="https://hub.hubzilla.de/search?tag=Argon2id" rel="nofollow noopener" target="_blank">Argon2id</a>. Важно это потому, что в мире полно ферм для майнинга криптовалют, так или иначе арестованных органами общественного правопорядка. Это изначально специализированные #<a class="" href="https://hub.hubzilla.de/search?tag=ASIC" rel="nofollow noopener" target="_blank">ASIC</a> для перебора значений hash-функций. В результате, стало возможным взламывать грубой силой почти все варианты дискового шифрования, если для хранения пароля используются обычные #<a class="" href="https://hub.hubzilla.de/search?tag=PBKDF2" rel="nofollow noopener" target="_blank">PBKDF2</a> / #<a class="" href="https://hub.hubzilla.de/search?tag=PBKDF" rel="nofollow noopener" target="_blank">PBKDF</a>, не адаптированные под противодействие крипто-майнинговым фермам. Примером, нормальной современной #<a class="" href="https://hub.hubzilla.de/search?tag=PBKDF" rel="nofollow noopener" target="_blank">PBKDF</a> является тот же #<a class="" href="https://hub.hubzilla.de/search?tag=Argon2" rel="nofollow noopener" target="_blank">Argon2</a> и его вариации. Т.е. пока #<a class="" href="https://hub.hubzilla.de/search?tag=GNOME" rel="nofollow noopener" target="_blank">GNOME</a> прожирает средства на всякую откровенную херню, в то же самое время #<a class="" href="https://hub.hubzilla.de/search?tag=KDE" rel="nofollow noopener" target="_blank">KDE</a> заняты весьма годными делами. И лепят вполне современный дистрибутив, закладывая в него более чем разумные практики и вообще, и в том числе, ещё и с дистрибьюцией софта через #<a class="" href="https://hub.hubzilla.de/search?tag=flatpak" rel="nofollow noopener" target="_blank">flatpak</a>. #<a class="" href="https://hub.hubzilla.de/search?tag=crypto" rel="nofollow noopener" target="_blank">crypto</a> #<a class="" href="https://hub.hubzilla.de/search?tag=lang_ru" rel="nofollow noopener" target="_blank">lang_ru</a>

LisPi<a href="https://mk.absturztau.be/@niconiconi" class="u-url mention" rel="nofollow noopener" target="_blank">@niconiconi</a> <a href="https://shitposter.club/users/Moon" class="u-url mention" rel="nofollow noopener" target="_blank">@Moon</a> <a href="https://comfy.social/@PeterCxy" class="u-url mention" rel="nofollow noopener" target="_blank">@PeterCxy</a> <a href="https://suya.place/users/a1ba" class="u-url mention" rel="nofollow noopener" target="_blank">@a1ba</a> Doesn'it still lack support for a bunch of LUKS settings & modes that have been around for a while?Or is this warning (<a href="https://wiki.archlinux.org/title/GRUB#Encrypted_/boot" rel="nofollow noopener" target="_blank">https://wiki.archlinux.org/title/GRUB#Encrypted_/boot</a>) finally obsolete and wrong somewhere?At least going by (info "(grub) cryptomount") (<a href="https://www.gnu.org/software/grub/manual/grub/html_node/cryptomount.html" rel="nofollow noopener" target="_blank">https://www.gnu.org/software/grub/manual/grub/html_node/cryptomount.html</a>) on Debian argon2id still isn't supported despite PBKDF2 being recommended against nowadays.<a href="https://mastodon.top/tags/GRUB" class="mention hashtag" rel="nofollow noopener" target="_blank">#GRUB</a> <a href="https://mastodon.top/tags/LUKS" class="mention hashtag" rel="nofollow noopener" target="_blank">#LUKS</a> <a href="https://mastodon.top/tags/PBKDF2" class="mention hashtag" rel="nofollow noopener" target="_blank">#PBKDF2</a> <a href="https://mastodon.top/tags/PBKDF" class="mention hashtag" rel="nofollow noopener" target="_blank">#PBKDF</a> <a href="https://mastodon.top/tags/Argon2" class="mention hashtag" rel="nofollow noopener" target="_blank">#Argon2</a> <a href="https://mastodon.top/tags/EncryptedBoot" class="mention hashtag" rel="nofollow noopener" target="_blank">#EncryptedBoot</a>

Keywan TonekaboniLUKS: Alte verschlüsselte Container unsicher? Ein Ratgeber für UpdatesAngeblich konnte die französische Polizei einen LUKS-Container knacken. Kein Grund zur Panik, aber ein Anlass, Passwörter und LUKS-Parameter zu hinterfragen.<a href="https://www.heise.de/news/Alte-LUKS-Container-unsicher-Ein-kleiner-Update-Ratgeber-8981054.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege" rel="nofollow noopener" target="_blank">https://www.heise.de/news/Alte-LUKS-Container-unsicher-Ein-kleiner-Update-Ratgeber-8981054.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege</a> <a href="https://social.heise.de/tags/Argon" class="mention hashtag" rel="nofollow noopener" target="_blank">#Argon</a> <a href="https://social.heise.de/tags/LUKS" class="mention hashtag" rel="nofollow noopener" target="_blank">#LUKS</a> <a href="https://social.heise.de/tags/Linux" class="mention hashtag" rel="nofollow noopener" target="_blank">#Linux</a> <a href="https://social.heise.de/tags/PBKDF2" class="mention hashtag" rel="nofollow noopener" target="_blank">#PBKDF2</a> <a href="https://social.heise.de/tags/Security" class="mention hashtag" rel="nofollow noopener" target="_blank">#Security</a> <a href="https://social.heise.de/tags/Verschl%C3%BCsselung" class="mention hashtag" rel="nofollow noopener" target="_blank">#Verschlüsselung</a> <a href="https://social.heise.de/tags/cryptsetup" class="mention hashtag" rel="nofollow noopener" target="_blank">#cryptsetup</a>

𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕PSA: upgrade your LUKS key derivation function!🔐 <a href="https://mjg59.dreamwidth.org/66429.html" rel="nofollow noopener" target="_blank">https://mjg59.dreamwidth.org/66429.html</a>-- <a href="https://chaos.social/tags/luks" class="mention hashtag" rel="nofollow noopener" target="_blank">#luks</a> <a href="https://chaos.social/tags/argon2id" class="mention hashtag" rel="nofollow noopener" target="_blank">#argon2id</a> <a href="https://chaos.social/tags/encryption" class="mention hashtag" rel="nofollow noopener" target="_blank">#encryption</a> <a href="https://chaos.social/tags/infosec" class="mention hashtag" rel="nofollow noopener" target="_blank">#infosec</a> <a href="https://chaos.social/tags/anarchy" class="mention hashtag" rel="nofollow noopener" target="_blank">#anarchy</a> <a href="https://chaos.social/tags/linux" class="mention hashtag" rel="nofollow noopener" target="_blank">#linux</a> <a href="https://chaos.social/tags/pbkdf2" class="mention hashtag" rel="nofollow noopener" target="_blank">#pbkdf2</a> <a href="https://chaos.social/tags/anarchist" class="mention hashtag" rel="nofollow noopener" target="_blank">#anarchist</a> <a href="https://chaos.social/tags/upgrade" class="mention hashtag" rel="nofollow noopener" target="_blank">#upgrade</a> <a href="https://chaos.social/tags/psa" class="mention hashtag" rel="nofollow noopener" target="_blank">#psa</a> <a href="https://chaos.social/tags/key" class="mention hashtag" rel="nofollow noopener" target="_blank">#key</a> <a href="https://chaos.social/tags/security" class="mention hashtag" rel="nofollow noopener" target="_blank">#security</a> <a href="https://chaos.social/tags/datasecurity" class="mention hashtag" rel="nofollow noopener" target="_blank">#datasecurity</a> <a href="https://chaos.social/tags/data" class="mention hashtag" rel="nofollow noopener" target="_blank">#data</a>

Wednesday LinksWednesday Links - Edition 2023-01-11 <a href="https://dev.to/0xkkocel/wednesday-links-edition-2023-01-11-50e6" rel="nofollow noopener" target="_blank">https://dev.to/0xkkocel/wednesday-links-edition-2023-01-11-50e6</a> <a href="https://foojay.social/tags/java" class="mention hashtag" rel="nofollow noopener" target="_blank">#java</a> <a href="https://foojay.social/tags/jvm" class="mention hashtag" rel="nofollow noopener" target="_blank">#jvm</a> <a href="https://foojay.social/tags/jpa" class="mention hashtag" rel="nofollow noopener" target="_blank">#jpa</a> <a href="https://foojay.social/tags/springdata" class="mention hashtag" rel="nofollow noopener" target="_blank">#springdata</a> <a href="https://foojay.social/tags/graalvm" class="mention hashtag" rel="nofollow noopener" target="_blank">#graalvm</a> <a href="https://foojay.social/tags/PBKDF2" class="mention hashtag" rel="nofollow noopener" target="_blank">#PBKDF2</a>

Jeremi M Gosney :verified:Many of you have been asking for my thoughts on the <a href="https://infosec.exchange/tags/LastPass" class="mention hashtag" rel="nofollow noopener" target="_blank">#LastPass</a> breach, and I apologize that I'm a couple days late delivering. Apart from all of the other commentary out there, here's what you need to know from a <a href="https://infosec.exchange/tags/password" class="mention hashtag" rel="nofollow noopener" target="_blank">#password</a> cracker's perspective!Your vault is encrypted with <a href="https://infosec.exchange/tags/AES256" class="mention hashtag" rel="nofollow noopener" target="_blank">#AES256</a> using a key that is derived from your master password, which is hashed using a minimum of 100,100 rounds of PBKDF2-HMAC-SHA256 (can be configured to use more rounds, but most people don't). <a href="https://infosec.exchange/tags/PBKDF2" class="mention hashtag" rel="nofollow noopener" target="_blank">#PBKDF2</a> is the minimum acceptable standard in key derivation functions (KDFs); it is compute-hard only and fits entirely within registers, so it is highly amenable to acceleration. However, it is the only <a href="https://infosec.exchange/tags/KDF" class="mention hashtag" rel="nofollow noopener" target="_blank">#KDF</a> that is FIPS/NIST approved, so it's the best (or only) KDF available to many applications. So while there are LOTS of things wrong with LastPass, key derivation isn't necessarily one of them.Using <a href="https://infosec.exchange/tags/Hashcat" class="mention hashtag" rel="nofollow noopener" target="_blank">#Hashcat</a> with the top-of-the-line RTX 4090, you can crack PBKDF2-HMAC-SHA256 with 100,100 rounds at about 88 KH/s. At this speed an attacker could test ~7.6 billion passwords per day, which may sound like a lot, but it really isn't. By comparison, the same GPU can test Windows NT hashes at a rate of 288.5 GH/s, or ~25 quadrillion passwords per day. So while LastPass's hashing is nearly two orders of magnitude faster than the < 10 KH/s that I recommend, it's still more than 3 million times slower than cracking Windows/Active Directory passwords. In practice, it would take you about 3.25 hours to run through rockyou.txt + best64.rule, and a little under two months to exhaust rockyou.txt + rockyou-30000.rule. Keep in mind these are the speeds for cracking a single vault; for an attacker to achieve this speed, they would have to single out your vault and dedicate their resources to cracking only your vault. If they're trying 1,000 vaults simultaneously, the speed would drop to just 88 H/s. With 1 million vaults, the speed drops to an abysmal 0.088 H/s, or 11.4 seconds to test just one password. Practically speaking, what this means is the attackers will target four groups of users:1. users for which they have previously-compromised passwords (password reuse, credential stuffing) 2. users with laughably weak master passwords (think top20k) 3. users they can phish 4. high value targets (celebs, .gov, .mil, fortune 100)If you are not in this list / you don't get phished, then it is highly unlikely your vault will be targeted. And due to the fairly expensive KDF, even passwords of moderate complexity should be safe.I've seen several people recommend changing your master password as a mitigation for this breach. While changing your master password will help mitigate future breaches should you continue to use LastPass (you shouldn't), it does literally nothing to mitigate this current breach. The attacker has your vault, which was encrypted using a key derived from your master password. That's done, that's in the past. Changing your password will re-encrypt your vault with the new password, but of course it won't re-encrypt the copy of the vault the attacker has with your new password. That would be impossible unless you somehow had access to the attacker's copy of the vault, which if you do, please let me know? A proper mitigation would be to migrate to <a href="https://infosec.exchange/tags/Bitwarden" class="mention hashtag" rel="nofollow noopener" target="_blank">#Bitwarden</a> or <a href="https://infosec.exchange/tags/1Password" class="mention hashtag" rel="nofollow noopener" target="_blank">#1Password</a>, change the passwords for each of your accounts as you migrate over, and also review the MFA status of each of your accounts as well. The perfect way to spend your holiday vacation! Start the new year fresh with proper password hygiene.For more password insights like this, give me a follow!

Yellow FlagI published an article on the <a href="https://infosec.exchange/tags/LastPassBreach" class="mention hashtag" rel="nofollow noopener" target="_blank">#LastPassBreach</a>: <a href="https://palant.info/2022/12/23/lastpass-has-been-breached-what-now/" rel="nofollow noopener" target="_blank">https://palant.info/2022/12/23/lastpass-has-been-breached-what-now/</a>This is very serious, no matter what <a href="https://infosec.exchange/tags/LastPass" class="mention hashtag" rel="nofollow noopener" target="_blank">#LastPass</a> says. From the article:“This makes it sound like decrypting the passwords you stored with LastPass is impossible. It also prepares the ground for blaming you, should the passwords be decrypted after all: you clearly didn’t follow the recommendations. Fact is however: decrypting passwords is expensive but it is well within reach. And you need to be concerned.”Another conclusion from this article: <a href="https://infosec.exchange/tags/PBKDF2" class="mention hashtag" rel="nofollow noopener" target="_blank">#PBKDF2</a> is dead. Yes, you have that officially from me. If you still use it, feel free to go and fix that now.

Recent searches

Search options

Administered by:

Server stats:

#pbkdf2