Уязвимость в Linux позволяет внедрять вредоносный код через Initramfs

А еще можно в grub добавить init 1 и загрузится в root. Или загрузиться с флешки и подмонтировать раздел в чанж рут.

Злоумышленник с физическим доступом к системе Linux может получить отладочную (debug) оболочку, просто несколько раз подряд введя неправильный пароль для расшифровки. В Ubuntu достаточно нажать Esc на экране ввода пароля, ввести несколько комбинаций клавиш для того, чтобы появилась отладочная оболочка. Именно через неё атакующий может скомпрометировать зашифрованную систему.

Дежавю? Мне кажется лет 5 назад что-то такое уже было

Риск оправдан только при атаке на важные цели — бизнес, IT-инфраструктуру, активистов или политиков.

Я конечно не безопасник, но в идеальном мире не можно init 1, если всё корректно подписано. Если же нет, то ССЗБ.

ЭЭЭ, так это же классическая атака на неподписанный загрузчик. На одном ЛОРе за многие годы (если уже не десятилетия) не мало копий сломано, на тему того, как можно бы было это вылечить.

Что дальше эти парни откроют, что для того, чтобы украсть данные из home не нужен рут пароль?

Злоумышленник с физическим доступом к системе

Это ещё цветочки. Только представьте, что может сделать злоумышленник с физическим доступом к владельцу оной!

А что, классическое init=/bin/bash с внедрением шифрования отвалилось?

Так корневой файловой системы нет без ввода пароля, как ты себе представляешь выполнение /bin/bash?

Но, конечно, шифрование должно сопровождаться отключением свободного доступа в BIOS и к загрузчику.

Ядру это-то по-прежнему можно передать, но да, если диск зашифрован, будет «тады ой». Но если есть локальный доступ, то можно взломать и шифрованную и обложенную подписями систему, хоть это и займёт время. От такого разве что wipe спасёт.

Если у тебя /boot не шифрован и груб не подписан, это шифрование на полшишечки.

Именно. Ректотермальный криптоанализ позволяет нечувствительно обойти любые защиты, шифрования и криптомодули.

если есть локальный доступ, то можно взломать и шифрованную и обложенную подписями систему, хоть это и займёт время

Поясни.

Он про криптопаяльник в очко. Убийство принцессы Дианы на себя возьмёшь.

Это не взлом.

Ну допустим, взломает уборщица в офисе мой ПК, и внедрится туда зловред с бэкдорами. Пусть даже это будет неLTS версия, хотя таких мы не держим. Но всё равно аномальную активность от хоста обнаружат зонды плюс мега-ИИ по периметру. И вот, прихожу я такой в офис, а комп в песочнице и доступа в корпоративную сетку нет. И вот, начинаю я вести переговоры с ИТ, а они мне доказательства дают, а я в это время в отпуске был, по ВПН в сеть не заходил, двери офиса не открывал.

И чего?

В /boot нечего шифровать.

Так это не для вас сделано

Чо так сложно-то? С физическим доступом к компьютеру можно и со своей флешки загрузиться. И монтируй все, что хочешь!

С физическим доступом к компьютеру можно и со своей флешки загрузиться.

И как ты это сделаешь?

Только не ректотермальный, а терморектальный.

Ну полный шифрованный диск не обязательно означает, что включен SecureBoot. Значит, можно перегрузиться и править /boot на hdd.

Еще есть дубинно-почечный и мордойвкапотный :)

Ректотермальный, это когда сначала вставляют паяльник, а потом нагревают, терморектальный, когда сначала нагревают.

Я адепт первого подхода, он, имхо, эффективнее.

Это очень грубо, камрад. 😁

Я так понимаю, мьсе мясо дома не готовит. А так бы мсье знал, что как раз и положено сначала нагревать, а потом использовать.

Злоумышленник может подключить USB-накопитель…
При следующей загрузке, когда владелец введёт правильный пароль…

Т.е. подходишь ты к своему ноуту и смотришь, какая-то подозрительная флешка в него воткнута. Думаешь, ну флешка и флешка, наверное, так и должно быть, и вводишь пароль безо всякой задней мысли?

- Это не эстетично!

- Зато дешево, надежно и практично.

Т.е. подходишь ты к своему ноуту и смотришь, какая-то подозрительная флешка в него воткнута

Зависит от форм-фактора. Привет, я блупуп-адаптер для твоей мышки.

Нельзя, у тебя нет пароля от BIOS, а загрузка настроена только с нужного диска.

Ну на этот диск вредонос и положить. Это все мелкие детали.

Диск в корпусе. При открытии корпуса срабатывает датчик, после которого BIOS отказывается загружаться без ввода пароля администратора.

Если ты этот датчик рабочим нашел, а не целенаправленно искал железо с правильной прошивкой, то можешь еще лотерейный билетик купить.

SB как-то проще и контрится сложнее одного переключателя.

Датчик я не искал, он в моём thinkpad с завода идёт. Достаточно его не отключать в BIOS, ну и пароль, конечно, поставить.

SB как-то проще и контрится сложнее одного переключателя.

Ну да, вон вся тема про это - меняем initramfs и привет secure boot. Ввёл юзер пароль при следующей загрузки, а этот пароль записался в последний блок на диске.

Ибо secure boot не про защиту userspace, а про защиту kernelspace. Но много интересного происходит именно в userspace, к примеру считывание пароля для диска, преобразование пароля в ключ для luks, и это никак не защищено secure boot-ом. Чтобы было защищено, нужно прилагать дополнительные усилия, и в целом вроде инструменты для этого есть, тот же android их успешно прилагает, но не традиционные дистрибутивы.

Идея в том, что если на биосе/ефи стоит пароль, а на грабе тоже стоит пароль, то ты думаешь, что всё безопасно. А тут вот тебе консоль.

что мешает, загрузившись с флешки, пропатчить initramfs.

Это много лет штатное поведение initramfs’а - при невозможности смонтировать корень запускать консоль.

Secureboot, шифрованный /boot, UKI от этого вот.

Датчик я не искал, он в моём thinkpad с завода идёт. Достаточно его не отключать в BIOS, ну и пароль, конечно, поставить.

В моем тоже идет. Только не работает(((

Ну да, вон вся тема про это - меняем initramfs и привет secure boot. Ввёл юзер пароль при следующей загрузки, а этот пароль записался в последний блок на диске.
Ибо secure boot не про защиту userspace, а про защиту kernelspace.

Просто бубунту - кривое уг, сделавшее себе секурбут только чтобы хомячков не пугать страшными ошибками о невалидных сигнатурах. А разные дурачки верят что для безопасности.

Arch так не делает, пока специально не включишь. И то - с паролем.

Срочно включить проверку подписи всего. И подпись должна быть заверена ключом майкрософт. А то небезопасно как-то.

а скорее «упущение» и «слепое пятно» в архитектуре некоторых дистрибутивов Linux

Именно. Без разрешения IBM пользователю рута в принципе лучше не отдавать. Да.

А батарейку вынуть?

Ну или сам хдд?

Вообще как я понимаю, чтобы добраться до их отладочной консоли нужно уже преодолеть пароль биоса и пароль груба.

Но прикол в том что взломать ты не можешь, ты можешь подготовить систему к взлому. А взломать может только сам владелец при следующем входе.

Интересно, а концептуально отказаться от инитрд можно? Так то все другие ОС умеют грузиться из некого стандартного ядра, и только линукс остался с неразрешимым противоречием: сначала модули или сначала расшифровать диск.

Может пора сделать горячую подмену ядра стандартным способом загрузки? Или там не вся память высвобождается?

Вообще то initram это потому что его может сделать просто любой чел. Но если есть знания то можно и подсунуть специально сделанное ядро. В конце концов ядро тоже мы собираем.

Тут скорее вопрос в том, почему у инитрд подписи нет.

А сам метод загрузки – хороший. Не вижу никакой проблемы в этой технологии.

UKI специально для этого придумали.

Так а кто проверять будет? Точне на что опираться при проверке?

В /boot нечего шифровать.

Твоя религиозная убежденность умиляет :)

Электрический вспоминатель

Ректотермальный - это когда паяльник вставляют холодным, а потом включают. Терморектальный - наоборот.

Если мы перешли на кухонные аналогии, то… яйца для варки кладут в холодную воду, а то они сразу лопнут.

Камрады, извините за оффтоп. 😁

Ну что делать... Брут-форс, такой брут-форс :)

Ну если так, то да, тады консоль :)