Previous Entry Share Next Entry
2016-01

разнообразные способы проебать файлы посредством EFS

Это не то чтобы rocket science, но вдруг кто еще не знает.

Они все лечатся своевременным бэкапом ключей (его надо делать после каждого события, описанного ниже)

1. Сбросить юзеру пароль, не будучи залогиненным (про это винда честно предупреждает). Менять пароль, предоставляя предыдущий, или делая это из юзерской сессии - можно.

2. Упаковать/скопировать файлы, не расшифровывая, переустановить винду/сменить машину/удалить юзера, удивиться
(у NTFS можно попросить нерасшифрованный файл for backup puproses, что вполне логично, не давать же бэкапилке доступ ко всем данным, но вот ключи надо бэкапить отдельно - про это винда тоже предупреждает)

3. "сегодня я узнал" - *Создать* юзеру пароль (!!!) если ранее до этого пароля не было. В принципе, определенная логика есть в том, что
а) предыдущий мастерключ юзера лежал в открытом виде, следовательно его стоит похерить
б) через GUI вроде бы не зашифруешь файл если пароля нету

но блин, перешифровывали бы, что ли.

Привязка KeePass базы данных к "Windows User Account" вроде бы* работает ровно по тем же правилам, да.

Вот, hope this helps somebody.

*надо перечитать сорцы, по наблюдениям похоже

This entry was originally posted at http://wizzard.dreamwidth.org/322326.html. It has comment count unavailable comments. Please comment there using OpenID.
Tags: ,

  • 1
sporaw November 6th, 2013
Нехрен юзать EFS

wizzard0 November 6th, 2013
аргументы бы какие-нибудь сюда, что ли.

ну или альтернативы позволяющие, например, удалять файлы с (не-загрузочного раздела) SSD без вайпания оного целиком

sporaw November 6th, 2013
Полное шифрование диска, а не какая-то херня

wizzard0 November 6th, 2013
> Полное шифрование диска
=== на весь диск один ключ.

Для системного у меня вопросов нет.

А вот для несистемного сьемного диска, на котором
а) преимущественно лежит музыка, фильмы и прочий подобный мусор
б) который умеет, будучи вынутым из компа, быть медиасервером

это fucking непрактично.

И, да, второй большой use case, уже не про SSD - это подготовка virtual machine appliance, которые конфигурятся админским аккаунтом, который потом херится (или даже не херится, если надо сохранять возможность саппорта), и хочется иметь дополнительный defense in depth на предмет случайно проебанных там куков итд.

Потому что в виртуалках которые отдавали МНЕ я уже много забавного находил =)

sporaw November 6th, 2013
> А вот для несистемного сьемного диска, на котором
> а) преимущественно лежит музыка, фильмы и прочий подобный мусор
> б) который умеет, будучи вынутым из компа, быть медиасервером

Если там мусор - зачем шифровать?
Если хоть что-то не мусор - почему не шифровать?

> И, да, второй большой use case, уже не про SSD - это подготовка virtual machine appliance, которые конфигурятся админским аккаунтом, который потом херится (или даже не херится, если надо сохранять возможность саппорта), и хочется иметь дополнительный defense in depth на предмет случайно проебанных там куков итд.

Ты слишком много английских слов употребил, мне незнакомых. Не люблю, когда так. Не делай так больше, please. Ничего, что я по-английски тебе?

> Потому что в виртуалках которые отдавали МНЕ я уже много забавного находил =)

Да, есть правило: никогда виртуалки, кроме дефолтного снапшота конфигурации после установки, не отдавать. И чужие не брать.

wizzard0 November 6th, 2013
> Ты слишком много английских слов употребил
http://en.wikipedia.org/wiki/Virtual_appliance
Лень читать - см. абзац ниже.

> никогда виртуалки, кроме дефолтного снапшота конфигурации после установки, не отдавать

Это хорошее правило.

Вопрос в том, что сейчас сотни компаний раздают либо демо, либо полные версии своего софта предустановленными в виртуалку, потому что ткнуть "импорт OVF" типично во много раз проще, чем настраивать окружение, равно как и удалить виртуалку, если вдруг не понравилось.

См. например рынок на https://solutionexchange.vmware.com/store/category_groups/19

Соответственно, вопрос в том, как поучаствовать в этом празднике жизни, не проебав чего-нибудь важного при настройке тех вещей, для которых еще нет автоматического конфигуратора.

sporaw November 7th, 2013
ХЗ, я может что-то упускаю, конечно, в жизни, но не понимаю, кому это может понадобиться кроме двух категорий граждан: лентяев или безруких.

Edited at 2013-11-07 12:26 am (UTC)

wizzard0 November 7th, 2013
мгм... чем плохо упрощать жизнь тем, кто хочет посмотреть на твой продукт?

а полномасштабно разворачивать можно и руками уже, с учетом местных политик, конфигурации сети, то-се.

Edited at 2013-11-07 12:34 am (UTC)

sporaw November 7th, 2013
Если сам готовишь, то способ я описал.
У меня всегда на куче ОС есть дефолтные снапшоты после первичной установки, когда еще ничего не делалось.

wizzard0 November 6th, 2013
> Если там мусор - зачем шифровать?
Потому что по умолчанию шифруем всё, например, downloads или аттачи прилетевшие по почте. Мало ли что в них.

Потом из них расшифровываются те, которые мне не западло держать на медиасервере и возить с собой через границу, например.

> Если хоть что-то не мусор - почему не шифровать?
Потому что ни один из 3 вариантов меня не устраивает:

1. нарезать медиасервер на разделы, часть пошифровать, и каждый раз ебаться когда очередной торент чуть-чуть не поместился
2. вкрячивать трукрипт в прошивку медиасервера и его 32 емнип мегабайта оперативки, а потом ходить с ключами в кармане (хотя, в целом, хорошая идея, но эквивалентна п.1)
3. отказаться от медиасервера и мучаться с вендорскими или OSS синкалками музыки, фильмов и/или тыкать телефон через USB куда попало

Edited at 2013-11-06 11:20 pm (UTC)

wizzard0 November 6th, 2013
ну то есть есть четвертый вариант, купить *еще_один* ssd и засунуть на него отдельно виртуалку с браузером и торент-клиентом, а на медиасервере оставить только, кхм, медиа, но сцуко и без того дохуя дорого выходит, поэтому там downloads в EFS.

Edited at 2013-11-06 11:34 pm (UTC)

sporaw November 6th, 2013
Я не использую меди-серверы, поэтому мне особо нечего возразить.
Я вижу некое противоречие в шифровании музыки, использовании медиа-серверов и т.п.
Да, хочу обратить внимание, что в ряде стран тебя могут попросить "расшифровать" диск. При отказе это сделать - уголовный дело и срок. (Например, в UK).
Как ты будешь доказывать что там рандом (и зачем ты хранишь рандом на диске, какие цели, может это одноразовый шифро-блокнот?) - даже не знаю.

wizzard0 November 7th, 2013
> Я вижу некое противоречие в шифровании музыки, использовании медиа-серверов и т.п.

Я исхожу из того, что
а) лучше забыть данные зашифрованными, чем незашифрованными.
б) хранить музыку зашифрованной тупо

Поэтому я качаю в папку с включенной EFS, и расшифровываю то, что останется на откуп самому медиасерверу, а остальное перемещаю на диск, который зашифрован целиком, либо вообще удаляю после того как посмотрел, проинсталил и т.д.

Контейнеры это, в принципе, решат, если сделать динамический контейнер и периодически его удалять. Попробую.

Про UK не знаю, куплю еще один диск перед поездкой и перелью туда музыку отдельно, наверное =)

P.S. Все еще жду комментария про раздачу софта, упакованного в виртуалки.

Edited at 2013-11-07 12:10 am (UTC)

wizzard0 November 6th, 2013
А, ну и last but not least - defense in depth *поверх* полного шифрования диска.

Поскольку далеко не вся малварь догадываются, что кейген, браузер, whatever может быть запущен от другого юзера и ключей к EFS тупо не иметь (а энумерировать их тоже надо озаботиться специально, и уже носить с собой сплойт для local privilege escalation до SYSTEM хотя бы)


Edited at 2013-11-06 11:29 pm (UTC)

sporaw November 6th, 2013
Ты шпион что ли американский? Или что у тебя с речевым аппаратом? :)

wizzard0 November 6th, 2013
Хорош прикалываться, я же знаю, что ты в курсе, как это все переводится =)

sporaw November 6th, 2013
Меня very annoy, говорить на так language

P.S. Если ты думаешь, что это придает какой-то особый вид твоей речи - я хз. В моих глазах, наоборот, только раздражает. Ну, т.е. это либо показывает скудность широты-объема языкового владения оратора, либо попытки хз чего. (Когда вклинивают какие-то словечки, целые фразы и почти в каждом предложении).

Я могу понять, когда какой-нибудь одессит 30 лет прожил на брайтон бич и поэтому теперь с трудом говорит по-русски, просто вынужден использовать язык, на котором он общается ежедневно. Но ты, вроде, не такой случай :)

Edited at 2013-11-06 11:53 pm (UTC)

wizzard0 November 6th, 2013
Я могу потроллить на тему того, что вообще сам хохол и русский для меня не родной язык :D но не буду. В целом, с аргументом согласен. Просто действительно читаю каждый день кучу английского текста, из русского одна френдлента, ну и вот.

Начинается с терминологии, дальше идут идиомы, ну и так далее.

sporaw November 6th, 2013
В общем, ИМХО - стремная тема. Я думаю, я не один, кого это напрягает.
Потому что выглядит как какое-то позерство.
Ну знаешь, как фразу неожиданно на латыни ввернуть. Только этот вариант - light level.

(Видишь как по-гейски это смотрится)

P.S. Хохол - не хохол мне все равно. Про одессита - это такой некий собирательный образ. Типа свалили в 70-80-х, поэтому не стоит удивляться, что к 2013 русского не знают :)

Edited at 2013-11-06 11:56 pm (UTC)

wizzard0 November 7th, 2013
> (Видишь, как по-гейски это смотрится)

Смотрится, да. Правда, для меня не из-за смеси русских и английских слов, а из-за того, что литературным переводом на английский "слегка" будет не "light", а скорее "slightly [showing off]" ("слегка позер"), "somewhat [foolish]" "местами тупо" и т.д.

А к русско-английскому суржику я, увы, привык.

edit: Впрочем, попробую что-то сделать, спасибо что пнул.

Edited at 2013-11-07 12:11 am (UTC)

sporaw November 7th, 2013
Не, я именно про light, который в американском становится lite

wizzard0 November 7th, 2013
Только вот нет словосочетания "light level" ни в британском, ни в американском английском. И "lite level" тоже :)

А "light level" переводится как "уровень освещенности".

sporaw November 7th, 2013
Вероятно, да.

Я не знаю почему я тогда в 4 утра написал level, а не version. Потому что смысл именно в version :)

wizzard0 November 7th, 2013
Ага :) Правила (или просто устоявшиеся формы) спряжения в разных языках существенно разные.

Edited at 2013-11-07 04:19 pm (UTC)

wizzard0 November 7th, 2013
> P.S. Хохол - не хохол мне все равно. Про одессита - это такой некий собирательный образ. Типа свалили в 70-80-х, поэтому не стоит удивляться, что к 2013 русского не знают :)

Да я понимаю :)

109 November 7th, 2013
меня гораздо больше напрягает мудак, который приходит в чужой журнал и имеет наглость кидать предъявы "не делай так больше". а употребленный к месту оригинальный термин вместо кривого перевода меня не напрягает, нет.

3jia5l_ca6aka November 7th, 2013
про мудака не в курсе, под остальным подпишусь

sporaw November 7th, 2013
Ниже ответил.

sporaw November 7th, 2013
Конечно нормальный, но для человека, который живет и работает в США; и язык, на котором он общается 90% своего времени - английский, а не русский.

Обычно такое засорение языка еще актуально для людей, работающих в компаниях, занимающихся "оффшорной разработкой". Потому что там все заказчики англоязычные и весь процесс совмещается с ними. Постепенно их язык общения перетекает в процесс разработки, т.к. переключаться то туда, то обратно для большинства людей проблематично. Вот и начинается, что из русских слов остаются только предлоги, союзы, да еще несколько прилагательных.

P.S. Свою же личную неприязнь ко мне можешь выражать в любых формах.
P.P.S. С этической стороны критика, кстати, вполне уместна. Если бы это не касалось личной беседы двух вполне знакомых людей.

Edited at 2013-11-07 10:59 am (UTC)

3jia5l_ca6aka November 7th, 2013
На мой взгляд вставлять термины на другом языке вполне справедливо, если тут еще нет устоявшихся переводов для этого, иначе потом все-равно придется ссылаться на англо-язычный источник. А такое в любом случае рано или поздно любой ИТ-специалист встречает, т.к. русскоязычный сегмент Сети все же отстает.

wizzard0 November 7th, 2013
Ну надо отметить, что у меня действительно много англицизмов в речи, при этом я предпочитаю писать их оригинальные варианты, нежели терять смысл при переводе.

Так что рациональное зерно у Спорава есть.

wizzard0 November 7th, 2013
> в компаниях, занимающихся "оффшорной разработкой"

Нет, я таким не занимаюсь, ибо это достаточно неблагодарное занятие.

Тем не менее, процесс наблюдается в любых компаниях, которые не ограничиваются продажами на территории СНГ. Я бы даже сказал что *именно из США* сейчас заказчиков нет. Но русскоговорящего народа в мире, увы, всего 4.2% (цифра на 2005 год).

> личной беседы

...проходящей на публичной площадке :)



Edited at 2013-11-07 03:10 pm (UTC)

sporaw November 7th, 2013
>> в компаниях, занимающихся "оффшорной разработкой"
> Нет, я таким не занимаюсь, ибо это достаточно неблагодарное занятие.

А я и не о тебе, а в целом.

> Тем не менее, процесс наблюдается в любых компаниях, которые не ограничиваются продажами на территории СНГ.

Дело не [только?] в продажах, а в разработке или внедрении :)

>> личной беседы
> ...проходящей на публичной площадке :)

Одно другому не мешает. Если мы бы стояли с тобой в общественном коридоре и общались так, а кто-то мимо проходил? :)

sporaw November 6th, 2013
Настрой права на диске нормально, и находясь на абсолютно незашифрованном диске у тебя так же малварь никакого доступа к нужным данным иметь не будет из-под другого пользователя.

wizzard0 November 6th, 2013
Резонно, впрочем, с известными ограничениями в случае если сьемный диск/флешка перетыкивается в другую машину. Ключам в нее при этом попасть тяжело, а будет ли она уважать наши ACLи - большой вопрос.

sporaw November 6th, 2013
Ты знаешь, в твоем случае могут помочь контейнеры шифрования.
Или совмещение: шифрование всего диска + контейнеры

  • 1
?

Log in

No account? Create an account