форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Защита от клавоснималок"
Сообщение от mirya on 13-Ноя-03, 10:33  (MSK)
Пусть у меня есть воркстейшн, на котором я не рут, и где я не доверяю админам. Т.е. у меня где-либо есть секюр шелл, я захожу с этой машины, а недобросовестные админы логят клавиатуру и получают мой пароль.   Считая, что защититься или хотя-бы установить присутствие клавоснималки невозможно (хотя тоже было бы интересно послушать специалистов), нужно придумать аутентификацию, когда пароль для следующей сессии вычисляется из предыдущего + не более 1 логина одновременно.   Т.е. у меня и удаленной машинки есть общий скрытый алгоритм вычисления пароля по предыдущему, мы синхронизируем первый пароль по надежному каналу, а далее ремот машин у себя, а я у себя дома (где уже нет плохих админов), вычисляем следующий пароль.   Проблема: придумать такой алгоритм. Чтобы по достаточно длинной последовательности паролей с каждой сессии они не смогли за разумное время вчислить следующий пароль (или разгадать сям алгоритм).
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Защита от клавоснималок"
Сообщение от Antonio on 13-Ноя-03, 10:46  (MSK)
>  Пусть у меня есть воркстейшн, на котором я не рут, >и где я не доверяю админам. Т.е. у меня где-либо есть >секюр шелл, я захожу с этой машины, а недобросовестные админы логят >клавиатуру и получают мой пароль. >  Считая, что защититься или хотя-бы установить присутствие клавоснималки невозможно (хотя >тоже было бы интересно послушать специалистов), нужно придумать аутентификацию, когда пароль >для следующей сессии вычисляется из предыдущего + не более 1 логина >одновременно. >  Т.е. у меня и удаленной машинки есть общий скрытый алгоритм >вычисления пароля по предыдущему, мы синхронизируем первый пароль по надежному каналу, >а далее ремот машин у себя, а я у себя дома >(где уже нет плохих админов), вычисляем следующий пароль. >  Проблема: придумать такой алгоритм. Чтобы по достаточно длинной последовательности паролей >с каждой сессии они не смогли за разумное время вчислить следующий >пароль (или разгадать сям алгоритм). А чем не подойдет ssh-авторизация по ключам? Сами ключи можно хранить хоть на флопе, хоть на CD, хоть на флешке. Другой вопрос, что в случае кейлоггера все действия все равно пишутся. Таким образом, ваши админы будут знать все, кроме ваших паролей и ключей. Лог же сессии все равно будет доступен.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Защита от клавоснималок"
	Сообщение от mirya on 13-Ноя-03, 10:58  (MSK)
	>Сами ключи можно хранить хоть >на флопе, хоть на CD, хоть на флешке. А кто мешает админам ловить вообще весь траффик через порт 22 тцп? Т.е. нужна именно система итерационно вычисляемых паролей. За то, что они все увидят, я не беспокоюсь. Инфу можно передавать зашифрованной, шифруя ее дома.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Защита от клавоснималок"
	Сообщение от Antonio on 13-Ноя-03, 11:22  (MSK)
	> А кто мешает админам ловить вообще весь траффик через порт 22 >тцп? Т.е. нужна именно система итерационно вычисляемых паролей. > За то, что они все увидят, я не беспокоюсь. Инфу можно >передавать зашифрованной, шифруя ее дома. Пусть ловят. Трафик SSH шифрованный (в том числе пароли и ключи передаются в зашифрованном виде в отличие от telnet). Расшифровка перехваченного ssh-трафика -- задача для админов гораздо сложнее, чем написать на вас заявление об использовании казенной техники в личных (возможно, незаконных) целях.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Защита от клавоснималок"
	Сообщение от Creatures on 13-Ноя-03, 11:36  (MSK)
	Дудики плин. Админы как я понял снимают инфу с пом hookdump или что то в этом роде, так что ssh не ssh пароли они узнают всеравно, а вытянуть файл аутентификации не особо сложная задача, имея пароль админа. Короче так, если ты пользователь, не щемись на админа, он тебя всегда прижать может.... Единственный способ это мышой выделяешь букву, вставляешь в поле (ctrl+Insert shift+Insert). Короче так они не перехватят пароль, но если у них r-admin, то они это все увидят. Однако постоянно смотреть на твою работу ни кто не будет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Защита от клавоснималок"
	Сообщение от Antonio on 13-Ноя-03, 11:59  (MSK)
	>Дудики Это слово читать как "дудки" или считать растопыркой пальцОв? >Админы как я понял снимают инфу с пом hookdump или >что то в этом роде, так что ssh не ssh пароли >они узнают всеравно, Как _кейлоггером_ вытащить содержимое из _файла_ ключа, если имя файла с ключом заранее неизвестно? С клавиатуры никаких паролей не вводится. >а вытянуть файл аутентификации не особо сложная задача, >имея пароль админа. Если ключ лежит на устройстве, монтируемом _только_ на время аутентификации, то задача нетривиальная. Придется усложнять кейлоггер (с учетом вышесказанного про ключи) на предмет отлова появления _процесса_ ssh и разбора командной строки, с которой он был запущен. Почему так -- ssh можно пускать из скрипта, прямой отлов 'ssh' с клавиатуры бессмысленен. А тут начинается уже паранойя. >Короче так, если ты пользователь, не щемись на >админа, он тебя всегда прижать может.... ... >Однако постоянно смотреть на твою работу ни кто не будет. А вот тут согласен. На работе нужно работать. Чем более непонятны для якобы шпионящего за вами админа ваши действия, тем больше вероятность получить по голове.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Защита от клавоснималок"
	Сообщение от BarS on 13-Ноя-03, 12:11  (MSK)
	Почему-то разные чудики думают что за ними следят. У меня был такой урод, IP поменять нужно было, а он пароли в биос вставил. Я ему - давай пароль, он мне - у меня там секретная информация. С руководством эту ситуацию обсудили, по чайнику ему дали. Кому нужны нафиг ваши файлы / письма / еще не знаю что. Ну а если что-то запрещено в организации, админ всегда найдет нарушителей.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Защита от клавоснималок"
	Сообщение от 545 on 29-Июл-04, 20:29  (MSK)
	>> А кто мешает админам ловить вообще весь траффик через порт 22 >>тцп? Т.е. нужна именно система итерационно вычисляемых паролей. >> За то, что они все увидят, я не беспокоюсь. Инфу можно >>передавать зашифрованной, шифруя ее дома. > >Пусть ловят. Трафик SSH шифрованный (в том числе пароли и ключи передаются >в зашифрованном виде в отличие от telnet). Расшифровка перехваченного ssh-трафика -- >задача для админов гораздо сложнее, чем написать на вас заявление об >использовании казенной техники в личных (возможно, незаконных) целях.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Защита от клавоснималок"
	Сообщение от lavr on 13-Ноя-03, 12:58  (MSK)
	>>Сами ключи можно хранить хоть >>на флопе, хоть на CD, хоть на флешке. > А кто мешает админам ловить вообще весь траффик через порт 22 >тцп? Т.е. нужна именно система итерационно вычисляемых паролей. > За то, что они все увидят, я не беспокоюсь. Инфу можно >передавать зашифрованной, шифруя ее дома. паранойя :) держи личные и приватные ключи на дискетке, если еще больше паранойи, то за'pgp'и их! ;) Пришел, вставил дискетку, ввалил ключи в память, вынул дискетку и ходи куда нужно через public-key auth. Не устраивает дискетка, держи их где-нить у себя на remote в pgp и с авторизацией, пришел, скачал, развернул, влупил в память, удалил и в течении сеанса пользуйся public-key auth. маразм однако, если подозревать всех вокруг в паранойе, самому не долго стать таким :(
		Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Защита от клавоснималок"
Сообщение от dev on 13-Ноя-03, 14:12  (MSK)
>  Т.е. у меня и удаленной машинки есть общий скрытый алгоритм >вычисления пароля по предыдущему, мы синхронизируем первый пароль по надежному каналу, >а далее ремот машин у себя, а я у себя дома >(где уже нет плохих админов), вычисляем следующий пароль. >  Проблема: придумать такой алгоритм. Чтобы по достаточно длинной последовательности паролей >с каждой сессии они не смогли за разумное время вчислить следующий >пароль (или разгадать сям алгоритм). man opie упоминавшиеся здесь private/public пары ключей - потенциально ненадежны. их можно скопировать в момент работы с дискетой, например. только продумай, как ты будешь, например, становиться рутом не вводя рутовый пароль, или подключаться к каким-либо запароленым сервисам с твоей машины.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Защита от клавоснималок"
	Сообщение от mirya on 14-Ноя-03, 15:29  (MSK)
	Как все разговорились!     Паранойя не у меня, а у админа сервака, где у меня секьюр шелл. Он знает адрес той локальной сети, где якобы недобросовестные админы, и будет очень злиться (может дойти до зазрыва дружеских отношений), если обнаружит в логах соотв. АйПишки.   Так никто не знает метода создания итеративной ф-ции от начального (секьюрно переданного) пароля, к-рая на каждой итерации генерит следующий пароль, и чтобы по достаточно долгой последовательности предыдущих пралей леьзя было за разумное время ни сгенерить следующий, ни расшифровать алгоритм? Как бы это связать с симметричноключевой шифровкой? Т.е. алгоритм есть AES с некоторым постоянным (плохим админам недоступным) ключем, но вопрос в том, как падает его надежность при получении последовательности друг из друга зашифрованных данных.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Защита от клавоснималок"
	Сообщение от dev on 14-Ноя-03, 15:36  (MSK)
	>  Так никто не знает метода создания итеративной ф-ции от начального >(секьюрно переданного) пароля, к-рая на каждой итерации генерит следующий пароль, и >чтобы по достаточно долгой последовательности предыдущих пралей леьзя было за разумное >время ни сгенерить следующий, ни расшифровать алгоритм? Как бы это связать >с симметричноключевой шифровкой? Т.е. алгоритм есть AES с некоторым постоянным (плохим >админам недоступным) ключем, но вопрос в том, как падает его надежность >при получении последовательности друг из друга зашифрованных данных. еще раз: man opie
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Защита от клавоснималок"
	Сообщение от Antonio on 14-Ноя-03, 15:44  (MSK)
	>  Паранойя не у меня, а у админа сервака, где у >меня секьюр шелл. Он знает адрес той локальной сети, где якобы >недобросовестные админы, и будет очень злиться (может дойти до зазрыва дружеских >отношений), если обнаружит в логах соотв. АйПишки. Все, абзац. ВНЯТНО объясните, каким боком связаны кейлоггер на машине с плохим админом и логи подключений на машине с хорошим. 1. Вне зависимости от наличия кейлоггера, идете по ssh с какой-либо машины -- ее IP отображается в логе sshd на сервере, куда подключаетесь. Есть одно исключение, называется -- прокси с CONNECT и ssl. 2. Уже сто раз обмусолили про ключи. Сдались вам эти пароли... ssh придуман не васей пупкиным, о безопасности думали головы поумнее наших. ЧТО вам надо, объясните ___нормально___: 1. Чтобы _хороший_ админ не увидел IP-адреса машины из _плохой_ сети? или 2. Чтобы _плохой_ админ не расшифровал ваши пароли и драгоценнейший трафик?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Защита от клавоснималок"
	Сообщение от mirya on 14-Ноя-03, 16:12  (MSK)
	>1. Чтобы _хороший_ админ не увидел IP-адреса машины из _плохой_ сети?   Забей на это. Это был ответ на мою параноидальность >2. Чтобы _плохой_ админ не расшифровал ваши пароли и драгоценнейший трафик?   Он и не расшифрует! Но я то ВВОЖУ ПАРОЛЬ ССШ НА ЕГО МАШИНЕ, где он рут и может перехватить все нажатия клавиш-чтения-с-дискеток - и плевать он хотел на криптографию, когда у него есть мой пароль.   Пошел смотреть указанный ман.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Защита от клавоснималок"
	Сообщение от mirya on 14-Ноя-03, 16:22  (MSK)
	ДА! СПАСИБО dev'у. opie - One-time Passwords In Everything. Ман еще не дочитал, но это то, что нужно.   Теперь вопросик - там везде Винды галимые. ЕЕсть портированный под винду вариант?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Защита от клавоснималок"
	Сообщение от mega4el on 17-Ноя-03, 12:40  (MSK)
	>  ДА! СПАСИБО dev'у. opie - One-time Passwords In Everything. Ман >еще не дочитал, но это то, что нужно. >  Теперь вопросик - там везде Винды галимые. ЕЕсть портированный под >винду вариант? у меня не получилось настроить sshd на работу с OPIE .. и тут тоже никто не подсказал. с telnetd проблем нет =)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Защита от клавоснималок"
	Сообщение от Antonio on 14-Ноя-03, 16:36  (MSK)
	>  Он и не расшифрует! Но я то ВВОЖУ ПАРОЛЬ ССШ >НА ЕГО МАШИНЕ, где он рут и может перехватить все нажатия >клавиш-чтения-с-дискеток - и плевать он хотел на криптографию, когда у него >есть мой пароль. Какой к лешему пароль __ssh__ при авторизации по ключам? Либо кодовая фраза к ключу, которая без ключа ничего не значит, либо ключ без кодовой фразы. А opie посмотрите, м.б. вам больше подойдет.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.