r   e   k   l   a   m   a
r   e   k   l   a   m   a

Program do szyfrowania folderów miał w Debianie jedno stałe hasło – i to jednoliterowe

Strona główna AktualnościOPROGRAMOWANIE

Używanie mniej popularnego oprogramowania do szyfrowania może się źle skończyć – niedostrzeżone w porę błędy mogą sprawić, że bezpieczeństwo danych będzie pozorne. Przekonać się o tym mogą użytkownicy prostego linuksowego narzędzia Cryptkeeper, wykorzystywanego do szyfrowania folderów. Okazało się ono, że owszem szyfruje foldery, ale wykorzystuje do tego zawsze jedno i to samo hasło, w dodatku jednoliterowe. Po prostu – „p”.

Jeden z użytkowników tego programu zauważył osobliwe zachowanie Cryptkeepera już po pierwszym jego uruchomieniu. Stworzył nowy szyfrowany folder za pomocą kreatora, skopiował do niego pliki menedżerem plików, następnie folder odmontował – i zajął się czymś innym. Gdy jednak później wrócił do folderu, chcąc uzyskać dostęp do swoich zaszyfrowanych plików, okazało się, że nic z tego. Hasło się nie zgadza.

Analiza kodu źródłowego ujawniła coś dziwnego. Program wywoływał szyfrowany system plików encfs przez powłokę systemową, próbując przełączyć go w tryb paranoiczny – symulując naciśnięcie klawisza „p”. Działało to do momentu wydania łatki do encfs, która naprawiała zachowanie programu na zgodne z dokumentacją. Chodzi o flagę -S, która sprawia, że encfs ma odczytywać hasło przekazane na wejściu bez pytania – tyle że nie robił tego. Autor Cryptkeepera napisał więc własne obejście, które przekazywać miało hasło do encfs. Gdy jednak encfs został naprawiony, obejście sprawiło, że jako hasło przekazywane było właśnie „p”.

r   e   k   l   a   m   a

Deweloper Debiana Simon McVittie w swoim raporcie pisze, że Cryptkeeper przyjmuje już nieważne założenia co do zachowania encfs, w dodatku nie sprawdza poprawności interakcji z szyfrowanym systemem plików, w konsekwencji dając jedynie fałszywe poczucie bezpieczeństwa – więc lepiej, żeby problematyczną aplikację całkowicie usunąć z dystrybucji. To być może jednak nie jest wcale dobre rozwiązanie, sądząc po dyskusji na githubie. Okazuje się, że są też inne programy korzystające od lat z encfs, które przyjęły podobne założenia, teraz zaś, gdy interfejs nagle się zmienił, to czemu ich autorzy mają wysłuchiwać zarzutów?

Niektórzy powiedzą, że to tylko śmieszna historia, jednak ujawnia ona poważniejszy problem, wychodzący poza samo oprogramowanie kryptograficzne. Mnóstwo opensource’owych projektów jest od siebie współzależnych, oczekując określonego działania od innych komponentów. Czasem, gdy zachowanie jednego z komponentów zostanie zmienione aktualizacją, prowadzić to może do zupełnie nieprzewidzianych błędów na styku między programami, których naprawienie może być możliwe tylko w kontekście określonej dystrybucji – gdy wiemy, z jakimi to wersjami komponentów będziemy mieli do czynienia. Przypomina to, jak trudna jest praca twórców kluczowych systemów linuksowych, takich jak Debian – to ich zadaniem jest uczynienie, by te wszystkie tysiące pakietów, pisanych przez przeróżnych programistów, ze sobą poprawnie współpracowało.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.   

Trwa konkurs "Ogól naczelnego", w którym codziennie możecie wygrać najnowsze maszynki systemowe Hydro Connect 5 marki Wilkinson Sword.

Więcej informacji

Gratulacje!

znalezione maszynki:

Twój czas:

Ogól Naczelnego!
Znalazłeś(aś) 10 maszynek Wilkinson Sword
oraz ogoliłaś naszego naczelnego!
Przejdź do rankingu
Podpowiedź: Przyciśnij lewy przycisk myszki i poruszaj nią, aby ogolić brodę.