Опубликован релиз дистрибутива Parrot 6.4, основанный на пакетной базе Debian 12 и включающий подборку инструментов для проверки защищённости систем, проведения криминалистического анализа и обратного инжиниринга. Для загрузки предложены Live-сборки с окружением MATE, образы для виртуальных машин, образы контейнеров в формате Docker и сборки для плат Raspberry Pi. Сборки разделены на варианты для повседневного использования и тестирования безопасности. Дополнительно предлагается скрипт, позволяющий сформировать окружение Parrot поверх уже установленного дистрибутива Debian...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63578
Шекарный дистр, ломал с ним один проект с заводом!
Почему бы просто не оформить метапакеты для разных дистров, которые бы содержали подборку пакетов, подобранную подбиральщиком наиболее подобранным образом? Зачем отдельный дистр?
плюс нужен подбиратель метапакетов для помощи подбиральщику в подборке
Чтобы донаты засылать можно было
Потому что это никому не нужно.Дистрибутивы вроде сабжа и Kali это разовые уже готовые инструменты. Запустился, сделал что нужно, выключил, никаких следов, никакого мусора. Нередко это делается с публичного или чужого компа. Куда ты там со своими метапакетами приткнуться хочешь? XD
Обои!
Не очень скучные.
Мне птичка понравилась в виде конечноэлементной схемы. Сразу курсовая в курсе МКЭ по расчету панели крыла ЛА вспомнилась.
> Добавлена поддержка запуска в контейнерах ... John The Ripperимеется ввиду ворованного john the ripper pro?
Непонятно, зачем. Пароли в Windows легко ломаются штатными средствами, а в Linux - вообще тривиальная процедура.
> а в Linux - вообще тривиальная процедура.bcrypt-подобный хеш с огромным числом итераций и sha2 подобрать - тривиальная процедура?
Подобрать - проблемка, поменять примерно так: GRUB -> Recovery mode -> Root -> mount -no remount,rw / -> passwd. Как в Windows, рассказать?
> Подобрать - проблемка, поменять примерно так: GRUB -> Recovery mode ->
> Root -> mount -no remount,rw / -> passwd.А, так ты про сброс. Удачи в таком случае, кому нужна защита от такого - у тех давно есть secureboot+tpm+luks/heads/подобное
LUKS (для раздела с корнем) достаточно, чтобы хэш пароля нельзя было прочитать/сбросить/сменить без знания пароля шифрования диска. SB+TPM тут лишние. Их функция защитить от подмены загрузчик (если есть) и ранний загрузочный образ ядра (initrd/initramfs/efi-stub) на нешифрованном boot/EFI разделе. Такая подмена сама по себе не раскроет данных на шифрованном диске, но может помочь злоумышленнику увести пароль шифрования во время ввода.
> Их функция защитить от подмены загрузчикНу и кроме этого всё же многие не хотят вводить ещё и пароль шифрования диска при загрузке.
Но да, полное шифрование со вводом пароля также защищают от сброса)
> многие не хотят вводить ещё и пароль шифрования диска при загрузке.Тогда загрузочный пароль UEFI обязателен. Иначе появляется риск подмены параметров ядра для получения рут-консоли (init=/bin/bash или systemd.unit=multi-user.target) из-за ошибочного использования Secure Boot. Например, когда подписанный загрузчик разрешает редактировать параметры ядра или даже загружать любые другие, в т.ч. неподписанные, программы. Из-за уязвимости или даже по умолчанию.
Ну и ключи и сертификаты (PK, KEK, db, dbx) должны быть персональные, потому что "родные" ( платформенные) от производителей регулярно сбегают, а по сертификатам от M$ уже открываются любые двери.
> Тогда загрузочный пароль UEFI обязателен. Иначе появляется риск подмены параметров ядра
> для получения рут-консоли (init=/bin/bash или systemd.unit=multi-user.target) из-за
> ошибочного использования Secure Boot. Например, когда подписанный загрузчик разрешает
> редактировать параметры ядраВ системе должно быть без разницы на дырявость загрузчика, systemd-stub/lanzaboote-stub включают в себя параметры и подписываются вместе с ними, от загрузчика в этом случае ничего не зависит.
> Ну и ключи и сертификаты (PK, KEK, db, dbx) должны быть персональные,
> потому что "родные" ( платформенные) от производителей регулярно сбегают, а по
> сертификатам от M$ уже открываются любые двери.Всё время забываю что на linux свои ключи не подразумеваются, потому что всякие fedora подписаны в репозиториях.
Однако использование ключей microsoft ни на что не влияет в данном случае, система может быть безопасной даже с ними.
Если злоумышленний попытается загрузить у тебя на машине свой, уязвимый загрузчик, подписанный ключами microsoft, то его замерит в TPM PCR#4, и соответственно диск уже не сможет разблокировать. Для реальной эксплуатации какой-либо уязвимости надо чтобы твой основной загрузчик имел уязвимость, а на это microsoft не влияют, обновляй систему регулярно.
Однако если ты чейнишь загрузчики зачем-то, и перед твоим загрузчиком стоит уязвимый, то действительно ты не защищён.
> В системе должно быть без разницы на дырявость загрузчика, systemd-stub/lanzaboote-stub
> включают в себя параметры и подписываются вместе с ними, от загрузчика
> в этом случае ничего не зависит.Это если инит собран как UKI и грузится напрямую. А если используется загрузчик, то появляются риски.
> Всё время забываю что на linux свои ключи не подразумеваются, потому что
> всякие fedora подписаны в репозиториях.Не знаю, что в Fedora, в обычном Линуксе (здорового человека) просто заменяют ключи (например, с помощью sbctl) и подписывают генерируемые иниты/UKI (например, с помощью Dracut - автоматически) после обновлений системы.
> Если злоумышленний попытается загрузить у тебя на машине свой, уязвимый загрузчик, подписанный
> ключами microsoft, то его замерит в TPM PCR#4, и соответственно диск
> уже не сможет разблокировать.Зависит от того, какие регистры пользователь попросил проверять для разблокировки диска. Вот тут-то и прячется дьявол.
> твой основной загрузчик имел уязвимость, а на это microsoft не влияют,
> обновляй систему регулярно.Не влияют. Скорее всего. Наверняка они влияют только на уязвимости в своём.
Ещё и подписывают каждого второго. Что сильно всё упрощает.
Описание метода эксплуатации подписанных загрузчиков: https://habr.com/en/articles/446072/> Однако если ты чейнишь загрузчики зачем-то, и перед твоим загрузчиком стоит уязвимый,
> то действительно ты не защищён.Так shim и PreLoader используются чаще, чем хотелось бы.
В итоге, единственный более-менее надежный вариант - пароль на UEFI. Ещё лучше - PIN для TPM, если тот используется. Потому что безопасность остальных методов слишком сильно зависит от нетривиальной настройки процесса загрузки.
>легко
>тривиальнаяСрочный репортаж с дивана.
Открывается, надо же. В прошлом году заблокирован был (похоже, с этой стороны).
Через torrent скачивается битый Parrot-security-6.4_amd64.ova.
По https отдаётся корректный файл
Виртуальные диски для скачивания предлагают только в проприетарном формате. Ничего неизвестно о биографии, убеждениях, репутации разработчиков и их родственников, друзей, колег... Кто спонсирует этот спецдистрибутив для проведения криминалистического анализа и почему он в открытом доступе для всех, а не для соответствующих ведомств? Скептически всегда относился к подобным дистрибутивам. Больше похоже на средство для подсвечивания мамкиных хакеров. При всем при этом не отрицаю, что возможно внутри интересный инструментарий для специалистов. Чем-то заманивать надо же...
Parrot это виртуальная машина для perl6.