Обнаружена возможность обхода пароля в GRUB 1.97

Люблю GRUB. :) Где еще можно встретить такой баг?

*ptr1 == (ptr2 ? *ptr2 : ptr1[1])

Это ты только часть жести увидел. :)

*ptr1 == (ptr2 ? *ptr2 : ptr1[1]) && ptr2 != NULL

Вот это - точно жесть! :)))

Можно пояснение для непрограммистов, где смеяться?

> Очень надежно. И своевременно так... если перегружать сервер стоящий где-то там (в сервер-центре, скажем), когда ты где-то здесь.

ну и зачем в таком случае ставить пароли на загрузку вообще?

Решето!

>return strcmp(s1,s2);

эээ, libc в GRUB? ну-ну...

У загрузчика винды даже названия нет, но справляется он со своими обязанностями на порядок лучше, чем это тормозное поделие.

> У загрузчика винды даже названия нет, но справляется он со своими обязанностями на порядок лучше, чем это тормозное поделие.

а как там загрузить линух? как отредактировать параметры запуска системы из самого загрузщика?

Это в обязанности загрузчика винды не входит. Да и кстати, grub не умеет грузить винду, хотя не спорю, он умеет запускать, и только запускать, загрузчик винды.

А я обнаружил что в GRUB есть пароль....

А я подозревал, что он есть, но не пользовался никогда

>> *ptr1 == (ptr2 ? *ptr2 : ptr1[1]) && ptr2 != NULL

> Можно пояснение для непрограммистов, где смеяться?

Тут действительно жесть из двух частей. :)) Во-первых, если ptr2 будет пустым, то текущий символ из ptr1 сравнивается с первым символом из ptr1. :) А во вторых, всё это завязывание на проверку ptr2 не имеет смысла, т.к. условие сразу становится ложным, если ptr2 пустой. :) Вкратце, как я понял: ptr2 ? (*ptr1 == *ptr2) : FALSE

Спасибо, поржал

>У загрузчика винды даже названия нет, но справляется он со своими обязанностями на порядок лучше, чем это тормозное поделие.

bootloader, не? :D загрузчику можно передавать параметры, правда только через boot.ini, что уже костыль и не имеет смысла практически. о последних загрузчиках не в курсе. прозреваю в них потроха loader из рипнутой системы (FreeBSD) и отдельный /boot (есть при установке автоматическое создание раздела метров в 100 не пойми зачем...)

> загрузчику можно передавать параметры, правда только через boot.ini, что уже костыль и не имеет смысла практически.

GRUB можно передавать параметры, правда через menu.lst, что уже костыль и не имеет смысла практически.

> В GRUB можно передавать параметры, правда через menu.lst, что уже костыль и не имеет смысла практически.

В грубе у меня есть возможность передать параметры из командной строки, а не только из файла.

А в винде с кривым boot.ini без системы, где можно поправить его, ты ммм... сосёшь (:

> эээ, libc в GRUB? ну-ну...

А что оно даже с libc не слинковано? И вообще не с чем не слинковано? Все сами написали?

Ваш пароль содержит строку onicm, я прав?

> Пароль в бивисе сбрасывается, а в грубе нет.

А надо в бивисе на винт пароль ставить, если паранойя. Сбрасывается только вместе с винтом. На угадывание не больше 10 попыток. Потом винт можно форматировать заново :) .

> В грубе у меня есть возможность передать параметры из командной строки, а не только из файла.

Вы не поняли, суть была в том, что задавать параметры в каком-то файле - это костыль и не имеет смысла практически. ;)

Вообще, когда доярки и кухарки начинают пароли прикручивать, полезно сразу по рукам давать, чтобы не вводили людей в заблуждение.

>Например, если у вас пароль "linuxorgru", то обойти можно было просто введя например "l" или "org"

А если ввести opensourceru - прокатит?

>Ваш пароль содержит строку onicm, я прав?

Тонко, но - нет. :)

Ссылку на твой код не заметил за запахом метана.

> Если к компу есть физический доступ, вскрыть его несложно, пароль на загрузчике не помеха. Если же его нет - то и на загрузчик пароль не нужен.

Если физического доступа нет, то удобнее один раз поставить пароль, чем ставить его несколько раз в каждой отдельной системе на данном компьютере.

> Не, а что, кто-то реально использует пароль в загрузчике? Зачем? Чтоб на логин не ставить?

чтоб юзер не мог дописать свои параметры к запуску ядра, не вписал init=/bin/bash и не поменял рутовый пароль :) Ну и в купе надо пароль на биос (на изменение устройства загрузки) ставить, иначе малоэффективно.

>>автодополнение по Tab не ожидается? Жжошь сцуко!

>Чтобы в отсутсвии тебя твое ведро не загрузили с init=/bin/sh

сдром, сеть и юсб разъемы ты тоже с собой уносишь?

А то ведь эти суки со своим грубом придут...

>Ну и в купе надо пароль на биос (на изменение устройства загрузки) ставить, иначе малоэффективно.

F12 отменили?

BSD RIP?

>> В грубе у меня есть возможность передать параметры из командной строки, а не только из файла.

>Вы не поняли, суть была в том, что задавать параметры в каком-то файле - это костыль и не имеет смысла практически. ;)

похудей уже!

речь была о том, что передавать ПАРАМЕТРЫ __ЗАГРУЗЧИКУ__ ЧЕРЕЗ ФАЙЛ - это МАРАЗМ! передача параметров через файлы аппликухам другого рода - это норма, но не загрузчику же?! и таки да "задавать параметры загрузки в файле - это костыль и не имеет смысла практически." понадобиться они могу единожды, а файло ковырять придется как минимум дважды.

спасибо за внимание!

>F12 отменили?

Да. Его пароль на биос отменяет вообще-то.

ВНЕЗАПНО: следующую версию GRUB планируется писать целиком в виде однострочника на Perl.

Биос может защитить комп от загрузки. Причем если батарейка встроена в биос (а на ноутах это не редкость) то спасет только замена материнской платы

Поменяли один говеный код на другой. Сравнивать и хранить нужно не сами пароли, а их хэши.

>Сравнивать и хранить нужно не сами пароли, а их хэши.

Ну, это загрузчик. Тут вон на strcmp пытаются байты кода экономить, а криптостойкий хеш может быть вообще некуда всунуть. Но в принципе ты прав, даже тут хеш имел бы смысл.

Open sores разработчики молодцы в очередной раз, повеселили, да.

> Тут вон на strcmp пытаются байты кода экономить

Если в загрузчике есть поддержка совершенно ненужных вещей вроде фоновых рисунков, то уж для реализации SHA-512 место должно найтись.

>Если в загрузчике есть поддержка совершенно ненужных вещей вроде фоновых рисунков, то уж для реализации SHA-512 место должно найтись.

В принципе, соглашусь. Тогда другой аргумент: хеш вписывать в конфиг не удобно

>Open sores разработчики молодцы в очередной раз, повеселили, да.

Острячок, у проприетарщиков такая тупизна после релиза и дюжины патчей остаётся. А тут - баг в бете уже нашли и секурно исправили.

> Тогда другой аргумент: хеш вписывать в конфиг не удобно А в /etc/shadow -- удобно?

> Сравнивать и хранить нужно не сами пароли, а их хэши.

legacy grub так умеет

[code]

int grub_auth_strcmp (const char *s1, const char *s2) {

int ret; grub_uint64_t end;

end = grub_get_time_ms () + 100; ret = grub_strcmp (s1, s2);

/* This prevents an attacker from deriving information about the password from the time it took to execute this function. */

while (grub_get_time_ms () < end);

return ret;

} <<<

чтото не нравитсья мне эта реализация :-\ .. а вдруг end попадёт на грань между концом времени и его началом (непомню там какой год) , а while() его перескочит.

тогда получитсяь что тупо зависло.

а если ret перепрыгнет грань конца-начало времён , а while() тогда при первойже итерации ни задержитсья не на секунду (и злоумышненник получит в этот миг нужные ему наносекундо-сведения)

а ведь в биосе можно поставить время любое. ну или если не поставить то просто малоли в какое время работает компьютер :-) [может будущее и смена времён уже наступила! :DDD . только не вызывайте опять людей в белых халатах :-) ]

вобщем ИМХО лучше уж такая реализация:

int grub_auth_strcmp (const char *s1, const char *s2) { 

const grub_uint64_t delay = 100;

int ret; 
grub_uint64_t begin;
grub_uint64_t curr_time;

begin = grub_get_time_ms (); 
ret = grub_strcmp (s1, s2);

/* This prevents an attacker from deriving information about the
 password from the time it took to execute this function. */ 


do {
    curr_time = grub_get_time_ms();
}
while(
    begin / delay + 0 == curr_time / delay ||
    begin / delay + 1 == curr_time / delay 
)

return ret;

}

ну вобщем както так :-)

// p.s. «+ 0» — для понятности алгоритма