LINUX.ORG.RU

Сообщения solardiz

 

Выпуск passwdqc 2.0.0 с поддержкой внешних фильтров

Новости — Безопасность
Группа Безопасность

Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего модуль pam_passwdqc, программы pwqcheck, pwqfilter (добавлена в этой версии) и pwqgen для использования вручную или из скриптов, а также библиотеку libpasswdqc. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM (поддерживается интерфейс passwordcheck в OpenBSD, прилагается обвязка для использования pwqcheck из PHP, существует платная версия для Windows, а программы и библиотека также могут быть использованы и на других системах).

По сравнению с прошлыми версиями, добавлена поддержка внешних файлов фильтрации паролей, в том числе двоичных, которые на данный момент являются реализацией улучшенного кукушкиного фильтра. Такой фильтр гарантированно не пропустит ни один из запрещенных паролей, но может изредка приводить к ложным срабатываниям, вероятность которых при используемых в passwdqc настройках и алгоритме пренебрежимо мала. Проверка пароля на наличие в фильтре требует не более двух доступов случайного чтения с диска, что очень быстро и, как правило, не создает чрезмерной загрузки сервера.

( читать дальше... )

>>> Анонс от Openwall на английском

 , , , ,

solardiz ()

John the Ripper 1.9.0-jumbo-1 с поддержкой FPGA

Новости — Безопасность
Группа Безопасность

Выпущена новая версия старейшей поддерживаемой программы для подбора паролей John the Ripper 1.9.0-jumbo-1 (проект развивается с 1996 года). На странице проекта доступны для скачивания исходники, а также готовые сборки под Windows.

Отмечается, что с выхода версии 1.8.0-jumbo-1 прошло 4.5 года, за которые было внесено более 6000 изменений (git commits) от более 80 разработчиков. В течение этого срока разработчики рекомендовали использовать текущую редакцию с GitHub, состояние которой поддерживалось стабильным несмотря на вносимые изменения благодаря непрерывной интеграции, включающей предварительную проверку каждого изменения (pull request) на многих платформах. Особенностью новой версии является появление поддержки FPGA (ПЛИС) в дополнение к CPU, GPU и Xeon Phi.

( читать дальше... )

>>> Подробности

 , , , ,

solardiz ()

Когда выпускать новые версии большинства программ и дистрибутивов?

Голосования — Голосования

Мультивыбора сознательно нет. Не все варианты взаимоисключающие, но цель этого опроса — узнать предпочтение при вынужденном выборе одного критерия («главного»), а не нескольких сразу. Также, речь идет о предпочтении для большинства проектов — при этом могут быть исключения, в которых тот же участник голосования сделал бы другой выбор. Не нужно из-за таких исключений как-либо корректировать свой выбор в этом опросе.

  1. Когда достигнута стабильность518 (48%)

    ********************************************************************************************************************************************************************************************************************************************************************************************************************************

  2. Никогда: только rolling release219 (20%)

    ***************************************************************************************************************************************

  3. Сразу после очередного этапа активной разработки144 (13%)

    ****************************************************************************************

  4. С регулярными интервалами87 (8%)

    *****************************************************

  5. Непосредственно перед активным продолжением разработки34 (3%)

    *********************

  6. Никогда: ещё программы и дистрибутивы "не нужны"25 (2%)

    ***************

  7. Один раз: когда разработка закончена22 (2%)

    *************

  8. Другой вариант (в комментариях)19 (2%)

    ***********

  9. Когда ожидается перерыв в дальнейшей разработке7 (1%)

    ****

Всего голосов: 1075

>>> Результаты

 , ,

solardiz ()

Приглашаем в команду john-users, конкурс Hash Runner

Форум — Talks

Уже несколько лет ежегодно проводятся два конкурса по подбору паролей к хешам, шифрованным архивам и т.п. - Crack Me If You Can с 2010 на DEFCON в Лас-Вегасе и Hash Runner с 2012 на проходящей в Москве PHDays. Сегодня в 19:00 по Москве начался очередной Hash Runner (на этот раз не пересекаясь по датам с самой PHDays, чтобы участники конкурса могли посетить конференцию уже на конкурс не отвлекаясь), и продлится он трое суток:

http://hashrunner.phdays.com
http://www.openwall.com/lists/john-users/2014/05/08/2

Наша команда john-users, произошедшая от одноименного списка рассылки (существует с 2005 года), традиционно участвует в этих конкурсах, занимая в разное время разные места с 4-го по 1-е. Да, прошлогодний Hash Runner мы выиграли, и призовую 7990 поставили в HPC Village:

http://openwall.info/wiki/HPC/Village

Если выиграем R290X в этом Hash Runner, для нее есть свободный слот в той же HPC Village, т.е. план такой, что она будет доступна для Open Source сообщества.

Четверка лидеров в этих конкурсах пока не меняется, хотя всего участвуют обычно около 20 команд. Из этой четверки, мы единственная команда, использующая только Open Source инструменты подбора паролей. В частности, мы не используем hashcat.

Для ознакомления, вот некоторые из наших writeup'ов с CMIYC:

http://contest-2012.korelogic.com/team_john-users.html
http://contest-2011.korelogic.com/team_john-users.html
http://contest-2010.korelogic.com/team_john-users.html

Я хочу пригласить LOR'овцев в нашу команду - в качестве полноценных участников (при условии использования только Open Source!) или/и в качестве доноров процессорного времени.

Для присоединения к команде, напишите e-mail Алексею Черепанову - он лидер нашей команды. См. приглашение в списке john-users выше.

Для донорства, я подготовил вот такой tarball:

http://www.openwall.com/pvt/lor/

SHA-256:
f1c9ad21cdc0b5c44ac86bc2be1ee85a90945734965c8ae1e05158206c077ede john-slave-2014-1.tar.gz

Внутри - сборки John the Ripper bleeding-jumbo под x86_64 и под 32-битный x86 (всего 6 различных бинарников с автоматическим выбором наиболее подходящего), и Perl-скрипт (dirty hack, but it works) для соединения с нашим пулом. Запускать всё это - с помощью ./safeslave.sh - и всё, оно соединится по SSH с пулом и будет ждать команд. Соединение только исходящее, так что будет работать и за NAT'ом.

Warning/disclaimer: я советую запускать slave под выделенным для этой цели псевдо-пользователем. В случае чьей-либо успешной атаки на наш пул, я не исключаю ее распространение на slave'ов, особенно учитывая что код John the Ripper писался в предположении что командная строка и т.п. - это trusted input. Разумеется, я не ожидаю, что что-то такое реально произойдет, но мой долг - предупредить о риске.

Донорство GPU пока не предусмотрено (хотя у существующих участников команды есть суммарно несколько десятков GPU, и мы конечно их используем), но в случае большого количества желающих с серьезными GPU может быть реализовано.

 ,

solardiz ()

Вышел Openwall GNU/*/Linux 3.0. Проекту 10 лет.

Новости — Безопасность
Группа Безопасность

Вышла версия 3.0 дистрибутива Openwall GNU/*/Linux (для краткости - Owl), разрабатываемого преимущественно в России.

Owl - компактный, с повышенной безопасностью и встроенной поддержкой OpenVZ-виртуализации дистрибутив Linux для серверов. Owl также хорошо подходит в качестве базовой системы для образов виртуальных машин и для встраиваемых систем, а один CD с Owl включает полную live-систему, устанавливаемые пакеты, инсталлятор, полные исходники и даже систему сборки.

Доступны для скачивания ISO-образы для i686 и x86-64 (каждый - на один CD диск).

Изменения с версии 2.0 включают добавление поддержки x86-64, переход на RHEL 5.5-подобные ядра Linux (с дополнительными изменениями), интеграцию поддержки OpenVZ (как host, так и guest), автоматическую сборку ISO-образов и шаблонов OpenVZ («make iso», «make vztemplate»), поддержку файловой системы ext4 (более того, инсталлятор по умолчанию предлагает использовать именно ее, поддерживая при этом также выбор ext3 или ext2), поддержку xz-сжатия (не только команды xz*, но и поддержку в tar, rpm, less, цветной выдаче ls), немного дополнительных пакетов (smartmontools, mdadm, cdrkit, pciutils, dmidecode, vzctl, vzquota, xz), много обновлений версий пакетов, улучшенную поддержку оборудования и более очевидный процесс установки, распознавание и запись информации об отправителе сообщений в syslogd (записываются UID и PID, если отправитель не root), «черный список» ключей в OpenSSH (по следам известной проблемы в Debian), и многое другое.

Одна из особенностей Owl 3.0 - полное отсутствие SUID программ в умалчиваемой установке. (Вместо них есть небольшое количество SGID программ, а доступ соответствующих групп не расширяется до root-доступа без дополнительной уязвимости.)

После этого релиза будет вестись поддержка ветки 3.0-stable, а дальнейшие разработки продолжатся в Owl-current.

>>> Анонс от Openwall

 , , , , ,

solardiz ()

Параллелизация John the Ripper с помощью OpenMP - поддержка bcrypt, SHA-crypt, SunMD5

Новости — Безопасность
Группа Безопасность

Вышла новая версия John the Ripper, программы для подбора/аудита Unix-паролей (и не только Unix) по их хешам, впервые с официальной поддержкой параллелизации, реализованной с помощью директив OpenMP (требуется GCC 4.2+, Sun Studio или другой компилятор с поддержкой OpenMP). На данном этапе, OpenMP поддерживается и эффективно работает для «медленных» типов хешей: OpenBSD-подобных на основе Blowfish (алгоритм bcrypt), glibc 2.7+ SHA-crypt, Solaris SunMD5. Для bcrypt используется оптимизированный код (на x86-64 вычисляет по два хеша параллельно на каждый поток). Для SHA-crypt и SunMD5 пока что используется системная функция crypt_r(3) на glibc или поддерживающая многопоточность crypt(3C) на Solaris (причем SHA-crypt там поддерживается тоже).

Эффективность этого подхода была проверена еще до релиза на 4- и 8-ядерных x86-64 и на UltraSPARC T2 (4 ядра, 32 потока). Для bcrypt, на 4-ядерных Core i7 и UltraSPARC T2 ускорение (по сравнению с одним процессом, не поддерживающим параллелизм) составило от 5.3 до 5.5 раз (оно превышает 4 раза благодаря SMT). На 8-ядерной системе (без SMT), ускорение составило 7.9 раза. Для SHA-crypt на Linux и Solaris и для SunMD5 на Solaris результаты чуть хуже - ускорение около 3.7 раз на 4-ядерных системах. Для обсуждаемых типов хешей и их типичных настроек (количество итераций, которое регулируется системным администратором) речь может идти об ускорении примерно с 200 до 700-1600 проверяемых комбинаций {пользователь, пароль} в секунду. Дальнейший параллелизм на несколько машин пока что может осуществляться по-старинке (вручную или с MPI).

Одно из основных преимуществ OpenMP-подхода: простота в сборке, установке и использовании программы. Причем использование ничем не отличается от традиционного, JtR работает как обычно (включая возможность прервать и продолжить работу с прежнего места), только быстрее. Один из основных недостатков - необходимость реализации поддержки для каждого типа хешей или интерфейса отдельно.

В будущих версиях JtR ожидается расширение поддержки параллелизма и на другие типы хешей - с использованием имеющегося в JtR оптимизированного кода.

>>> Анонс от Openwall

 , , , ,

solardiz ()

passwdqc 1.2.0 - парольные фразы по-русски

Новости — Безопасность
Группа Безопасность

Выпущена новая версия passwdqc - набора инструментов для контроля сложности паролей и парольных фраз, включающего PAM-модуль, программы и библиотеку. Поддерживаются как системы с PAM (большинство Linux, FreeBSD, DragonFly BSD, Solaris, HP-UX), так и без PAM.

Одна из новых возможностей - поддержка парольных фраз, содержащих 8-битные символы (в частности, koi8-r). Теперь такие фразы распознаются и допускаются.

Помимо этого, существенно повышена эффективность работы passwdqc в плане как распознавания слабых паролей, так и легкости выбора пароля, удовлетворяющего требованиям программы, увеличена энтропия генерируемых парольных фраз (с 42 до 47 бит по умолчанию), добавлена поддержка интерфейса passwordcheck в OpenBSD, упрощена сборка RPM-пакетов passwdqc.

Одновременно с этим релизом выложены скриншоты, а также созданы Wiki-странички и список рассылки passwdqc-users (на английском). Пакет passwdqc в Debian уже обновился до версии 1.2.0.

Взято с OpenNet, подробности на русском там: http://www.opennet.ru/opennews/art.sh...

>>> Анонс от Openwall (подробности на английском и ссылки)

 , , ,

solardiz ()

RSS подписка на новые темы