Comments 174
учебно-тренировочную твердотельную электронную плату
Шедеврально. Только почему-то мне кажется, что сарказм тут не имелся в виду...
Это паллиативное решение позволяет сэкономить Вам 3000 рублей на покупке оригинальной Пастильды, которая, к слову, стоит 5000 RUR. Таким образом монополия Третьего Пина в какой-то степени ликвидируется.
Это решение позволит мне потратить 3500 рублей (дешевле с учетом доставки я не нашел в продаже) на ненужную фигню. Сколько там оригинальных пастильд было продано? Спрос такой, что сразу ясно - это нужно каждому? Или немного нет?
+ корпус, и про экономию уже речь не идёт.
Я правильно понимаю, что всё это нужно для совместимости с KeePass, для эмуляции клавиатуры можно найти плату попроще?
для эмуляции клавиатуры можно найти плату попроще?
Для эмуляции клавиатуры достаточно миниатюрной отладки с Али за 300-500 руб.
Для эмуляции клавиатуры достаточно миниатюрной отладки с Али за 300-500 руб.
Можете привести ссылку в качестве примера?
Ну и что?
На этой плате BlackPill у вас получится сделать менеджер паролей, который вставляет только 1 единственные пароль по кнопке.
А Пастильда позволяет вставлять по выбору ключевым словом любой пароль из сотен, которые хранятся на SD карте.
Понимаете?...
При чем тут менеджер паролей? Вопрос был про эмулятор клавиатуры.
Хотите сказать, что в black pill поместится только 1 пароль? ;) И для sd карты ножек не хватит?
Поместиться, то поместится.
Однако в black pill нет HMI чтобы выбирать нужный пароль. Понимаете?...
Я сварщик ненастоящий.. Как выглядит это HMI?
При подключенной Пастильде Кода нажимаешь Ctrl + ~ устройство набирает командную строку
>>>
далее вы вводите мастер пароль. Пастильда печатает звёздочки
>>>******
Вы нажимаете Enter. Пастиьлда печатает первую запись из KeePass файла на SD карте. Например
>>>rutracker
Вы нажимаете стрелку вверх. Пастильда печатает следующую запись из keePass на SD карте
>>>avito
Вы нажисаете Enter. Пастильда удаляет курсор и токен и вставляет логин TAB+ пароль для avito, например
myemal@gmail.com + TAB+qwerty_for_avito
вы попадаете в личный кабинет для avito
Пастильда переключается в обыкновенный проброс нажатий.
i2c дисплея за 1$ для этого хватит? ;)
При подключении Пастильды у вас перед глазами монитор от PC....
Пастилда на него как раз и пишет свои символы.
Накой нужен второй более плохой дисплей с I2C?
Пастилда на него как раз и пишет свои символы
Э.. как? У нее есть доступ через USB к иксам на моем линуксе?
Пастильда может в открытом текстовом файле вам на мониторе напечатать любую ASCI графику. (DataOut)
Скажите, зачем вам отдельный I2C дисплей?
То есть нужно открыть окно с блокнотом, через него договориться с криптопепякой.. Удобно (нет конечно же).
Пастильда реализует однострочный текстовый редактор. Поэтому все действия проводятся в ячейке набора логина прямо на сайте куда надо вводить логин и пароль.
Текстовый редактор не нужен.
прямо на сайте куда надо вводить логин и пароль
И переход из одного поля в другое строго по кнопке ТАБ ? 20 лет назад более - менее так и было. А сейчас очень часто поле с логином на предыдущем экране. А поверх поля с логином крутится js, который проверяет, что там введено, на валидность. Вероятность встретить несовместимый сайт != 0.
Если нажимать большой Enter, то Пастильда вставит логин и пароль
Если нажать маленький Enter, то Пастильда вставит только пароль.
Я верю, что извернуться можно. Открыть текстовый файл, уговорить пепяку выбрать нужный пароль.. Через поле со звёздочками это будет затруднительно, не правда ли? ;) Но это неудобств добавляет, а защиты не особо.
Через поле со звёздочками это будет затруднительно, не правда ли?
Пастильда звёздочками печатает только мастер пароль. Токены для сайтов печатаются обычным текстом. Поэтому выбор очень удобный. Есть даже как в CLI автонабор по TAB.
все действия проводятся в ячейке набора логина прямо на сайте куда надо вводить логин и пароль.
В какой ячейке проводятся действия, если есть только поле для пароля?
В ней самой
в поле пароля ничего кроме звёздочек не видно.
Обычно на сайтах есть радиобаттон показать набираемый пароль. Надо нажать этот радиобатон
Очень далеко не на всех сайтах такое есть.
Легко. Вот сразу навскидку из того, чем пользовался в последние пару дней.
Скрытый текст
Легко. Вот сразу навскидку из того, чем пользовался в последние пару дней.
Это не то. Надо GUI, где предлагают ввести только пароль. Без логина. И где нет кнопки показать пароль.
Есть и такие, и не мало. Наткнусь - приложу скриншот.
Ну дак что @Andy_Big ? Где ваше "очень часто"?
Очень не везде.
Мультипасс имеющий на борту небольшой дисплей очевидно удобнее примерно в миллион раз.
Она просто эмулирует нажатия соответствующих символов на клавиатуре. Если при этом курсор находится в окне текстового ввода - в нем будут отображены эти символы. Если нет - ну тогда как повезет, может ничего, а может наклацать хоткеями такое, что потом придется полдня приводить обратно в порядок :)
Если нет - ну тогда как повезет, может ничего, а может наклацать хоткеями такое, что потом придется полдня приводить обратно в порядок :)
Надо просто перезагрузку PC выполнить и всё норм.
И все настройки текущего софта, которые были изменены хоткеями, волшебным образом вернутся к предыдущему виду? :)
+ корпус, и про экономию уже речь не идёт.
Оригинальную Пистильду тоже без корпуса продавали
Я правильно понимаю, что всё это нужно для совместимости с KeePass, для эмуляции клавиатуры можно найти плату попроще?
Для совместимости с KeePass надо плата с SD картой и желательно MCU c аппаратным AES256 крипто модулем.
желательно MCU c аппаратным AES256 крипто модулем
Я думаю, если aes будет считаться не за 10 мкс, а за 100 мс, этого в эмуляторе клавиатуры никто не заметит.
Я думаю, если aes будет считаться не за 10 мкс, а за 100 мс, этого в эмуляторе клавиатуры никто не заметит.
Вы явно не в теме, что KeePass очень хорошо шифрует файл.
MCU на максимальной частоте CPU 168MHz расшифровывает мой 150kByte файл за 53сек! С крипто модулем AES256 за 17 сек.
Разница всего лишь в 3 раза? Что 17, что 53 сек - это запредельно долго.
Пастильда начинает расшифровывать базу как только подано электропитание .
За 17--50 сек пользователь даже не успеет открыть почту как база данных уже будет расшифрована и лежать в RAM памяти.
При запросе пароля она мгновенно выдает логин и пароль.
Пастильда начинает расшифровывать базу как только подано электропитание
Без мастер-пароля? О_о Sekuriti, yee.
Без мастер-пароля? О_о Sekuriti, yee.
Мастер пароль прошивка берёт из on-chip NVRAM.
Э... то есть если эту штуку потерять - нашедшему все пароли просто достанутся?
Мастер пароль в NVRAM тоже зашифровать можно.
В stm микроконтроллерах есть функция защиты прошивки на чтение по jtag. Есть прошить с ключами защиты, то нашедший устройство не сможет прочитать мастер пароль.
А зачем ему мастер-пароль, если эта штука при включении сама всё расшифрует и в текстовое окно выведет? ;)
Чтобы расшифровать keepass файл на sd карте нужен мастер пароль.
Есть прошить с ключами защиты, то нашедший устройство не сможет прочитать мастер пароль.
Пастильда начинает расшифровывать базу как только подано электропитание
Зачем мне знать какой-то мастер-пароль, если эта штука сама все расшифрует? ;)
Зачем мне знать какой-то мастер-пароль, если эта штука сама все расшифрует? ;)
Чтобы ваш коллега случайно нашедший вашу Пастильду на столе пока вы обедаете не смог ввести ваши пароли.
Пастильда спросит его мастер пароль, который он не знает и не станет давать ему ваши пароли.
Пастильда спросит его мастер пароль
Пастильда начинает расшифровывать базу как только подано электропитание
Есть прошить с ключами защиты, то нашедший устройство не сможет прочитать мастер пароль.
Ну, определитесь как-то, спросит пароль или прочитает из защищенной памяти ;) Первый вариант просто неудобен (расшифровка базы 50 секунд, это печально). Второй - поXORивает всю модель безопасности.
Ну, определитесь как-то, спросит пароль или прочитает из защищенной памяти
При первом запуске хозяин Пастильды прописывает мастер пароль в NVRAM через CLI.
CLI вызывается горячей комбинацией Ctrl+Ctrl.
Появляется курсор
~~>
Пользователь набирает клавиатурой мастер пароль (например qwerty)
~~> kpe qwerty
и нажимает Enter
Пастильда исполняет команду kpe qwerty и переходит обратно в режим пробрасывания нажатий
При первом запуске хозяин Пастильды прописывает мастер пароль в NVRAM через CLI.
А при втором запуске?
Как только подано электропитание Пастильда берёт мастер пароль из NVRAM и начинает расшифровывать базу KeePass что лежит на SD карточке.
Ну то есть если эта штука с 1 раз введенным паролем утеряна или похищена - все ваши пароли доступны через 50 секунд после подачи питания? Кроме мастер-пароля, конечно же, он в безопасносте ;)
Ещё раз, в STM32 при прошивке есть ключи защиты физической памяти от чтения извне (JTAG/SWD).
Максимум, что может сделать вор - это стереть всю Flash память микроконтроллера.
Пастильда начинает расшифровывать базу как только подано электропитание
Прокомментируйте, плз.
Ещё раз, в STM32 при прошивке есть ключи защиты физической памяти от чтения извне (JTAG/SWD).
Ну вообще эта защита может быть обойдена, на рынке есть предложения по чтению содержимого закрытых микроконтроллером.
на рынке есть предложения по чтению содержимого закрытых микроконтроллером.
Приведите, пожалуйста, примеры, ссылки, видео.
Приведите, пожалуйста, примеры, ссылки, видео.
Вы разрабатываете под МК и не в курсе этого момента? Это очень странно. У вас есть гугл, можете поискать в нем. Есть как вполне доступные для домашнего исполнения методы чтения закрытых прошивок на некоторых моделях STM32, так и коммерческие предложения считывания с гораздо более широкого ассортимента моделей, и не только STM32. С довольно большой вероятностью вам помогут за некоторую сумму денег считать прошивку.
Вот не надо игры слов. Давайте ссылки.
Да почему я должен искать информацию за вас? Любой более-менее серьезный коммерческой разработчик под МК знает о существовании таких услуг, в основном от китайских товарищей. Если вы впервые об этом слышите - ну это явно не добавляет вам плюсов как разработчику.
Вот один из таких сервисов.
Скрытый текст
Про атаки по питанию не слышали? Оказываю услуги если что)
В stm микроконтроллерах есть функция защиты прошивки на чтение по jtag.
Но это не мешает вам требовать таймер бездействия чтобы то-то посторонний не смог в ваше отсутствие считать из оперативной памяти расшифрованный файл.
Вы уж будьте последовательны.
Ещё раз, в STM32 при прошивке есть ключи защиты физической памяти от чтения извне (JTAG/SWD).
Физическая память это и есть RAM память.
Я напоминаю вам одно из ваших "лютых нареканий":
8*--Добавить выход из пастильда-режима (вход Ctrl+~/ выход Esc) по таймауту бездействия. Если человек наберет правильный мастер пароль и войдет в пастильда-режим а затем отлучится (из комнаты ответить на звонок), то злоумышленник сможет забрать какой-то один пароль или вообще все расшифрованные пароли через отладчик ST linkV2, просто просмотрев Dump RAM памяти.
То есть в вашем нарекании не предусматривается защита от чтения, а в возражении на такой же аргумент од другого человека вы про эту защиту сразу вспомнили.
Но это не мешает вам требовать таймер бездействия
Таймер бездействия это фундаментальная вещь. Даже в Windows он есть.
То что в оригинальной версии прошивки этого не было - безусловно плохо.
На мой взгляд использование AES256 в этом применении - лютый оверхед.
KeePass шифрует файл алгоритмом AES256.
Поэтому как ни крути на стороне MCU нужен AES256 для расшифровки файла. Вопрос лишь в том аппаратный AES256 или программный AES256 .
Файл от KeePass все равно нуждается в обработке перед помещением его в пастильду, так что никто не мешает заодно перекодировать его на более легкое шифрование.
С удовольствие бы почитал про это.
перекодировать его на более легкое шифрование.
Для безопасности! (ц) ;)
Слишком много неудобств нужно превозмогать, чтобы оно хотя бы работало. Добавляет ли это что-то в плане безопасности? Скорее нет чем да. Ну, вот и ответ на вопрос, почему эта идея не получила дальнейшего развития. Десяток гиков поигрались с USB, прокачали свои компетенции, потом им это надоело.
Эта штука была бы более юзабельной если бы у нее была ответная программная часть на компьютере с более удобным и интуитивным интерфейсом.
Но опять же - вводить пароли на чужих компьютерах - это похерить полностью любые попытки в безопасность, потому что это чужой компьютер, на котором неизвестно что установлено. А на своем компьютере гораздо удобнее использовать сохранение паролей в браузере или в отдельном хранилище, в том же KeyPass. Так что я не вижу широкой ниши для такого устройства. Действительно - просто поиграться нескольким гикам.
То есть, там изобрели свой велосипед вместо argon2 (ну или просто взяли старый pbkdf2)? Ну, значит вам повезло, иначе argon2 вы бы физически не смогли бы посчитать на вашем дохлоконтроллере (не хватило бы ОЗУ).
для эмуляции клавиатуры можно найти плату попроще?
Да
Шедеврально. Только почему-то мне кажется, что сарказм тут не имелся в виду...
Но говорят же "учебно-тренировочный самолет"... Почему же тогда учебно-треннировочной не может быть электронная плата?
Сколько там оригинальных пастильд было продано?
Порядка 1000 штук.
Сами трипины пишут про менее 400 штук, но ок, пусть даже 1000. Это вообще ни о чем, учитывая размер потенциальной целевой аудитории.
Потому что рекламы не было. Мероприятия не проводились.
Биллбордов с рекламой Flipper Zero я тоже не припоминаю, однако им пользуются немного больше людей, чем этой пастильдой. Не смотря на гораздо более узкую целевую аудиторию.
Это вообще ни о чем, учитывая размер потенциальной целевой аудитории.
Это было отчасти вызвано тем что их оригинальная прошивка была очень сырая. И вызывала раздражение при использовании.
Моё beta тестирование показало 16 лютых нарекания к оригинальной прошивке. Вот отчет.Пастильда: Независимое Beta-Тестирование (16+)
https://habr.com/ru/articles/694970/
Моё beta тестирование показало 16 лютых нарекания
Из тех 16 нареканий только 4-5 заслуживают внимания, остальное - персональные хотелки, неважные для подавляющего большинства пользователей.
Из тех 16 нареканий только 4-5 заслуживают внимания
Какие именно 4, 5?
Простите, но я не хочу заново вчитываться в вашу статью. Один из существенных пунктов - что он не пропускает через себя клавиатуру при отсутствующей карточке SD, это реальный косяк, хотя и не слишком серьезный. Что-то там было еще...
Но все вот эти "а пусть он здесь мигает слева направо, а там справа на лево", "а пусть он напоминает что пора попить чаю", "а пусть будет совместим с отладочной платой олимекс", "а пусть к нему будет удобно припаивать проводочки для отладки" - это все абсолютно не нужно конечному пользователю и на продажах это сколь-нибудь заметно не скажется.
Можно за 6k купить аналог Olimex-H407 на Ali. И на ней будет всё что нужно для запуска Пастильды.
А можно вообще не тратить деньги и пользоваться тем же KeePass.
Лютый овердизайн как для клавиатурного прокси. Если уж упарываться в снижение цены, то делать на основе девборда за 10 баксов. Идеально - на Blue pill ;)
Но без качественно составленного ТЗ это просто на поиграться. А если составить ТЗ, то получится, что это либо нереализуемо за разумные деньги либо не нужно потому что чисто програмные менеждеры паролей существуют, и они по всем параметрам лучше. Без понимания контекста что там на экране листать список из 150 пунктов вручную как-то тупо, кмк.
В моей версии пастильда есть поиск по ключевому слову токена . Типа tab в консоли. Так что с листанием проблем нет.
А есть способ запомнить новый пароль для нового сайта? А два (некоторые несколько учетных записей имеют)? А поменять существующий?
Да.
Для этого надо воспользоваться keepass клиентом для PC.
И подготовить новый файл для пастильды. Для этого и заложена съемная sd карта.
Пастильда только читает keepass file.
Так.. Значит я вынимаю SD и заливаю в нее обновленный файл из keepass? Непонятно тогда, зачем копировать этот файл куда-то, если keepass уже есть и работает?
Непонятно тогда, зачем копировать этот файл куда-то, если keepass уже есть и работает?
1-Чтобы мастер пароль вообще не попадал на PC
2-Чтобы работать поочередно сразу на N компьютерах
3-Аппаратная защита информации всегда лучше программной защиты информации
1-Чтобы мастер пароль вообще не попадал на PC
Э.. Значит вы готовите keepass на PC, шифруете его мастер-паролем на PC, и при этом мастер-пароль на PC не попадает? Любопытно ;)
2-Чтобы работать поочередно сразу на N компьютерах
Не работает же ;)
Я правильно понимаю, что на каждом компе своя база keepass, и синхронизация между ними невозможна? Как только на работе вы зайдете на oracle.com, а дома на linkedin.com - базы уже разные, а в карту вы можете залить только одну?
3-Аппаратная защита информации всегда лучше программной защиты информации
Нет в ИБ слова лучше. Есть слово модель угроз. Ну так в случае потери волшебной коробочки защита отсутствует полностью.
Нет, программные менеджеры не лучше. Они смертельно уязвимы вместе с ос. Как в целом уязвима и пастильда.
Нормально сделано в мультипасс. База паролей зашифрована и хранится в устройстве. Ключ хранится в смарт карте вставленной в устройство. При подачи питания требуется набор пина на устройстве.
Для ввода пароля устройство требует подтвердить это нажатием физической клавиши на нем. Показывая на дисплее пароль для чего оно сейчас введет.
Даже будучи воткнутым в скомпрометированный компьютер, мультипасс не отдаст ему никаких паролей без нажатия на его клавишу.
Разница огромна.
Жаль мультипассы тоже не продаются и почти не выпускаются.
Этих менеджеров паролей было как желтых листьев осенью... Ни одного удобного не видел, китайцы тоже - иначе на али тут же проросли бы готовые платы. То фигня без дисплея - запоминай тыщу хоткеев к ней, то 6 паролей хватит всем, то поделка с блютусом, то дура размером больше смартфона, теперь вот болгарская плата... Как абстрактный DYI - прикольно, но для использования по назначению непригодно.
Конкретно у Пастильды очень хорошая идея клавиатурного прокси, но реализация так себе.
Конкретно у Пастильды очень хорошая идея клавиатурного прокси, но реализация так себе.
Да. Есть такое. Моё beta тестирование показало 16 лютых нарекания к оригинальной прошивке. Вот отчет.
Пастильда: Независимое Beta-Тестирование (16+)
https://habr.com/ru/articles/694970/
Конкретно у Пастильды очень хорошая идея клавиатурного прокси, но реализация так себе.
Это лишь доказывает тот факт, что в России очень слабая инженерная школа.
Настолько слабая, что даже редкие хорошие идеи и то не удается полноценно проработать и довести до удобного приятного продукта.
То, что никто эту идею не довел до ума, означает, что идея изначально не очень. Или её время ушло.
То, что никто эту идею не довел до ума, означает, что идея изначально не очень.
А какие идей тогда "очень"?
Или её время ушло.
Почему время ушло? Люди перестали пользоваться NetTop PC?
Люди перестали пользоваться USB клавиатурами?
Дорогая бабушка, пишу тебе из горящего танка мобильного телефона ;) Как к нему подключить USB клавиатуру я догадываюсь, но носить с собой клавиатуру, переходник под нее, и некую волшебную криптокоробочку.. я не уверен что оно того стоит.
Вы программы на C/С++ тоже пишете одним пальцем на мобильном телефоне?
Не то чтобы ушло, но...
Железка очень специфическая, и плясать надо от требований - а обычно самодельщики пляшут от "о, есть RPi, обломок Боинга, склет курицы и три кило философского камня - давай сделаем %фигня_нейм%". Без ТЗ результат ХЗ, что мы и видим. И мы сами не понимаем, чего хотим.
UI\UX здесь во главе - я не хочу учить 9000 хоткеев, не хочу листать тыщу паролей кнопочкой, тем более не хочу вводить эту тыщу одной кнопочкой. Изделие должно быть не крупнее коробка спичек, брелок - иначе проще взять рутованый смартфон, туда докинуть HID-драйвер и написать простейшее приложение.
При порче носителя база должна сохранятся. Упс, и синхронизировать в облако ее нельзя, ибо затея теряет смысл. Дайте локальное отказоустойчивое решение...
Должна быть хоть какая-то бытовая защита. Спецслужбы эту фигню у нас красть не будут, а вот просто карманники в трамвае вытащить могут. Но защита должна быть не ущерб удобству...
Это только три хотелки из кучки - а уже задача минимум для крупного вендора с опытом в разработке устройств. Да и то не всем по зубам - тех же МР3-плееров было миллион разных, в руках из которых приятно держать дай б-г десяток-два, остальное делалось левой задней лапой инопланетного существа... Большой конторе не интересен нишевый девайс, который нельзя продать сотнями миллионов. Самодельщик это не осилит, стартап тоже - вон часы за часами выходят от стартаперов, и все на ESP32 S3 - "я сделяль", да - думали о том, как технически сделать, а не о том, кому они это продадут и как это использовать...
Шьёрт побьерри. Когда мне была нужна админка, а админы игрались в Богов и запрещали всё и вся, я паял аппаратный кейлоггер... А тут уже почти готовое устройство... Мне б такую железку, да лет 20 назад... )))
А сейчас что? Уже не нужна что ли? Вы сколько сайтов посещаете за месяц? Сколько у вас учетных записей.
У меня вот их 150+ штук.
Даже электронная зубная щетка с BLE и то требует регистрацию на сайте производителя.
Ну, браузер неплохо научился пароли сохранять.
Ну, браузер неплохо научился пароли сохранять.
Вы в самом деле доверяете западным браузерам? Особенно сейчас-то во время санкций?...
Эта.. если вы браузеру не доверяете, зачем вы вводите в него свои пароли? О_о
Продолжу повышать градус паранойи. Встречный вопрос. Вы уверены в том что в SoC вашей платы, которую вы используете для хранилища паролей, не встроено ничего лишнего "программно аппаратного"? В южный мост? В CPU? В роутере что там у вас? У провайдера что? )))
Если эта закладка была бы массовая, "исходящая" (бот, оставленный вендором), ее бы уже сто лет назад спалили. СБ больших компаний вполне себе анализируют "протекание" трафа с пустых устройств - если найдут, будет такой срач, что жесть... Тем более сейчас, когда идет жесткая торговая война.
Если закладка не массовая, "входящая" (преднамеренно созданные сложные бекдор/уязвимость в железе) - вы должны представлять большой интерес для серьезных дядек в черном, чтобы по такой штуке к вам индивидуально кто-то полез. Но в таком случае уязвимой железки у вас не будет - вам выдадут сертифицированное железо с сертифицированным софтом, и первый отдел объяснит, как себя вести.
Остаются массовые уязвимости по типу "ой, мы забыли с роутера тестовый пароль убрать". Они наиболее опасны для гражданского, и тут менеджер паролей с неизвлекаемой базой (то есть нажми кнопочку, чтобы ввелся пароль) будет стопроцентной защитой от слива базы секретов. Бот, который массово идет по уязвимости, не обладает интеллектом, он тупо обшаривает стандартные места, ищет типовые паттерны - ничего не нашлось, пойдем дальше. Кожаный в наше время не шарит по компам жертв, ибо счет лому на миллионы. Один пароль у вас могут угнать оставшимся после взлома кейлоггером, всю базу сразу - нет.
А уязвимости в SoC - это вообще паранойя, ибо при утере нашедшему будет непонятно, от чего эти пароли, и дорогостоящий взлом случайной железки экономически нецелесообразен. При случайной краже аналогично. Если же атака таргетированная, не спасет ничего - не смогут взломать технически, придут с пяльником к хозяину.
Ок, Ладно. Но как быть если вы еженедельно работаете на 3-4 разных PC? Дома, на работа, на даче?
Тут легче носить с собой аппаратный менеджер паролей.
Ну, в моём случае.... Дома это дома. На работе это по сути почти как дома т.е. мой рабочий ноут скорее принадлежит мне чем конторе, на даче апельсинка с ssh доступом и из PC-образных туда подъезжает либо рабочий ноут, либо домашний. Есть ещё пара NASов: на работе и дома, оба прописаны в монтировании на обоих ноутах, т.к. иногда я могу рабочий оставить где-то на производстве (с заранее организованным внешним доступом) чтобы можно было осуществлять удалённую поддержку оборудования.
Но как быть если вы еженедельно работаете на 3-4 разных PC?
Браузер научился синхронизировать пароли ;) И шифровать их мастер - паролем тоже.
Он научился не отдавать их после взлома ?
Если у вас пароли к зубной щетке - это не беда. Что делать с паролями к брокерскому счету, вот в чём вопрос...
А что подразумевается под взломом браузера? Ну и ожидается что человек с брокерскими счетами достаточно обеспечен, чтобы приобрести для своих спекуляций отдельный ноутбук. Разделение полномочий потому что.
Под взломом понимается полная компрометация вашего компьютера. Вопрос лишь в том, что уведут пока вы этого не заметите, совершенно всё, или то, чем успеете воспользоваться.
Разница. Огромна.
Совершенно непонятно как вам должен помочь отдельный ноутбук. Вы еще какой-то отдельный интернет к нему подключите, отдельный софт напишите лично или лично проверите итд итп ?
Компьютер не защитить. Увы. Никак. Слишком сложная штука.
По-хорошему все "приказы" должны подписываться через стойкую криптографию на аппаратно отдельном доверенном терминале с минимумом функционала и без интерфейсов. Но увы, на практике подобные вещи нигде не интегрированы. Ну т.е. на уровне миллиардов долларов может что-то есть, но на уровне миллионов дай бог одноразовые пароли/ТОТР завезут...
А классика - это "вставьте электронный ключ и мы подпишем все, что захотим вместо платежки за клининг" :)
Не читайте на доверенном компе почту, не листайте соцсети, торренты не качайте, запускайте только то что нужно - и никто вас сквозь розетку не взломает. Security update накатывайте ещё.
Хозяина SilkRoad прихватывали лично, причем специально подгадали момент, чтобы тот ноут не успел закрыть.
А если у вас один комп и для биржевой торговли, и для соцсетей, и для пиратских игр, и для п0₽нухи - боюсь, никакое 2фа не спасет.
Доверенных компов не бывает. Бывают выделенные под критические задачи совершенно недоверенные компы. И шансов их скомпрометировать в миллионы раз больше, чем шанс взломать аппаратное устройство вообще не имеющее никакого интерфейса "в свою сторону".
Одно время кто-то из производителей антивирусов тестировал сколько времени потребуется на заражение не самого пропатченного компьютера, если его просто включить в сеть с белым адресом. Под конец мониторинга это занимало единицы минут. И это, заметьте речь о ненаправленной, случайной атаке.
Безопасность - это про шансы. А не про уверенность в том, что ты-то самый умный, и твоя система точно в порядке...
ЗЫ. Я перестал читать секьюритиалерт, психотерапевт мне запретил...
кто-то из производителей антивирусов тестировал сколько времени потребуется на заражение не самого пропатченного компьютера, если его просто включить в сеть с белым адресом
А, б£@, сказали мужыки ;) Кто бы сомневался, компьютер без антивируса внезапно сломался. Это что-то про Windows XP, емнип.
У каждого CVE есть область применения. Чем меньше функций выполняет ваш комп - тем меньше уязвимостей вам угрожают. Если комп не пытается быть сервером - главная уязвимость сидит перед монитором.
Подскажите, пожалуйста, а то лень смотреть, пастильда уже научилась честно работать в разрыв клавиатуры или так как и раньше - отдельно работаем с подключенной клавиатурой, отдельно эмулируем клавиатуру для компа?
Да. Моя прошивка это позволяет.
USB Host и USB device это две абсолютно независимые аппаратные подсистемы.
Уточните, пожалуйста, вопрос, а то работать отдельно с подключенной клавиатурой и отдельно с ее эмуляцией в сторону компа - это ведь и есть работать в разрыв клавиатуры :)
Если работать "в разрыв", то компьютер видит оригинальную клавиатуру. Если плата отдельно работает с клавиатурой и отдельно ее эмулирует, то компьютер видит эмулятор клавиатуры.
Во избежание вопросов: да это важно и разница слишком большая. Первое устройство я не задумываюсь куплю при цене до +-10к. За эмулятор и 200 рублей много.
Честно работает в разрыв клавиатуры -- USB-хаб. Если вы хотите это сделать на двух полностью независимых подсистемах (usb-host и usb-device) с программной связью между ними -- не факт, что это в принципе получится. А если получится -- это будет извратом.
Ну насколько я вижу кейлоггер делается не прям сложно.
https://wiki.amperka.ru/projects:keylogger
Да, здесь нет связи двух независимых подсистем, но вдруг платку поменяли и оно так научилось работать.
как то неприятно видеть дешевые словесные манипуляции от автора насчет цены. Если нельзя купить Olimex в оригинальном магазине по указанной цене (тогда правда это не реклама :) :) то все равно будут использованы другие варианты. в известном китайском магазине платы на таком контроллере стоят порядка 12 евро (1400 руб) с доставкой + придется припаять usb host (но и не такие громоздкие и дорогие как приведенный выше аналог). есть варианты с контроллерами STM32F7x3 вопрос в масштабе допиливания под них.
Если нельзя купить Olimex в оригинальном магазине по указанной цене
Можно попросить купить товары Olimex через знакомых в СНГ.
варианты с контроллерами STM32F7x3 вопрос в масштабе допиливания под них.
Можно еще на плате STM32F746G-DISCO Пастильду запустить
Юмор засчитан :) Цена вероятно космос тем более в чипедипе. на ali есть плата на f407 с разведенным ethernet и usb host примерно за 2000 руб но я ее даже и предлагать не стал. а вот с f723 и f743, а так же F407 есть довольно маленькие платки - развели бы на них usb host и отлично подошли бы. но нет же разведены только microsd, а usb уж 4 провода можно и допаять.
другими словами, предлагаю обратиться к знакомым в Китае ;)
Я всерьез обдумывал использование пастильды. В результате пользоваться не стал.
Все эти танцы с бубном для выбора нужного пароля - тот еще гемморой. Но беда даже не в этом.
Подобные устройства для тех, кто может думать о том, что атака может быть направлена лично на него. Т.е. для тех, кого экономически целесообразно взламывать персонально.
А теперь представим, что я воткнул это решение в взломанный компьютер и теперь хочу залогиниться в зубной щетке. И устройство исправно шлет мне названия моих учетных записей. Только вот вижу я не их, а подмененное зловредом содержимое, и вместо пароля для зубной щетки подтверждаю ввод пароля от брокерского счета(зловред мне про щетку пишет, когда я до брокерских паролей "долистал").
Мне такое не надо.
Не надо вообще никак использовать компьютер в процессе ввода - это плохая идея. Устройство должно иметь монитор и кнопку подтверждения ввода пароля. При этом выбор пароля может быть сделан как вручную, так и со стороны компьютера, но подтверждение ввода только на физическом устройстве. Так сделано у mooltipass, к примеру.
ЗЫ. Это уж не говоря о том, что рано или поздно невовремя наберешь мастерпароль и он попадет в комп.
Подобные устройства для тех, кто может думать о том, что атака может быть направлена лично на него. Т.е. для тех, кого экономически целесообразно взламывать персонально.
Хе-хе.. xckd-ключ-длиной-4096-бит-и-газовый-ключ.пнг.
Только вот вижу я не их, а подмененное зловредом содержимое
Это должен быть очень сильно хитрый зловред, который будет заменять некоторые символы в клавиатурном наборе, но чтобы санитары ничего не заподорзрили.
Не надо вообще никак использовать компьютер в процессе ввода - это плохая идея.
Плохая идея - использовать пароль. Точка. Кейлоггеру все равно, набираете вы пароль 1 пальцем с бумажки, или его набирает робот.
рано или поздно невовремя наберешь мастерпароль
Да.
Разница между сроком, который дадут за газовый ключ и за 4096 огромна. Телохранители не спасают жизнь, они делают убийство цели более дорогостоящим. В идеале настолько, что оно не по карману никому.
Кейлоггер не сможет получить те пароли, которые не будут набраны. В этом смысл подобных устройств (правильных) и бумажки, кстати тоже. Которые будут набраны - сможет. Но компрометация на постоянной основе выглядит не вполне реальной, а это значит, что при правильных подходах редкоиспользуемые пароли могут быть не скомпрометированы. Именно за это и идет борьба. И именно такие пароли, как правило наиболее ценные...
Наличие кое где 2фа совершенно не означает, что не надо защищать один из этих фа всеми возможными способами.
Пастильда не защищает всеми, защищает только слегка.
компрометация на постоянной основе выглядит не вполне реальной
С чего бы? Если есть какой-то могучий zero-day и его использовали - значит, считайте, кейлоггер уже есть. А кейлоггеру все равно, редко используемый пароль или не очень. Он подождет ;)
Чем больше он ждёт, тем больше шансов, что его найдут и прихлопнут, что будет заменена вся система целиком, что что-то еще произойдет.
Лично наблюдал, как через какие-то неприкрытые в системе дырки заболеваешь чем-то, что не детектируется ни одним антивирусом. Но через неделю все они уже про эту дрянь знают.
Шансов больше. Больше сценариев где ты не в проигрыше. Это то, за что идет борьба.
Гарантий никаких нет...
а что, пастильду до сих пор можно купить?
а что, пастильду до сих пор можно купить?
Это вопрос к CEO Третьего Пина Ивану Ларионову @Ioanlarionov
Вопрос: Можно ли взять на алиэкспресс максимально дешёвую плату (например такую https://aliexpress.ru/item/1005005933053260.html?sku_id=12000034907959810) и добавить недостающий USB и прошить данную прошивку, будет работать или нужен всё-таки болгарский вариант? p.s. Хочется собрать для себя, с самых дешёвых компонентов без разводки платы и пайки smd элементов. Так сказать "дёшево и сердито", возможно на другом микроконтроллере.
Важное замечание.
Пастильда не работает через Doc-станции. Её надо монтировать непосредственно в LapTop USB.
Пуск ПасТильды на Плате Olimex-H407