Czasem narzędzia, które mają zapewnić nam bezpieczeństwo i prywatność, zawodzą. Czasem po prostu nie działają, czasem działają, ale niezgodnie z oczekiwaniami a czasem powodują wprost komiczne sytuacje – takie jak opisana poniżej.
Współpraca między różnymi programami jest skomplikowanym obszarem, podatnym na problemy gdy działanie jednego z nich się zmienia. Tak własnie stało się w przypadku narzędzia Cryptkeeper do szyfrowania folderów oraz systemu plików EncFS. Poprawienie błędów w jednym spowodowało spektakularną wpadkę drugiego.
A Twoje hasło to „p”
Kirill Tkhai zauważył bardzo dziwne zjawisko. Gdy na swoim Debianie 9 próbował zaszyfrować testowy folder za pomocą Cryptkeepera, ten folder zaszyfrował, lecz próba odszyfrowania w oparciu o znane hasło się nie powiodła. Kirill był pewien, że podał dobre hasło, zatem zaczął analizować kod Cryptkeepera i wkrótce odkrył, że jego folder został zaszyfrowany jednoliterowym hasłem „p”. Jak to możliwe?
Cryptkeeper wywołuje encfs z parametrem -S, czyli prosi o odczytani hasła z stdin:
execlp ("encfs", "encfs", "-S", crypt_dir, mount_dir, NULL);
exit (0);
Hasło przekazywane jest w następującym ciągu poleceń:
// paranoid default setup mode //write (fd[1], "y\n", 2); //write (fd[1], "y\n", 2); write (fd[1], "p\n", 2); write (fd[1], password, strlen (password)); write (fd[1], "\n", 1);
Wysłanie „p” ma za zadanie włączyć w encfs tryb „paranoid” i faktycznie, wcześniej to robiło. Dlaczego? Otóż encfs miał błąd, który sprawiał, że ignorował parametr – S. Cryptkeeper uwzględnił ten błąd w swojej komunikacji, jednak nie usunął parametru z wywołania. Gdy błąd został poprawiony w encfs, Cryptkeeper nie poprawił swojego kodu (prawdopodobnie narzędzie zostało porzucone przez twórcę), powodując, że hasłem zostało „p”, a prawdziwe hasło użytkownika jest pomijane. Ot i cała śmieszna historia.
Jak widać Cryptkeeper nie jest szczególnie popularnym narzędziem skoro problem dopiero teraz wyszedł na jaw – jest to jednak wskazówka, by raczej korzystać ze sprawdzonych i dobrze przetestowanych rozwiązań, by nie zrobić sobie samemu cryptolockera na cennych danych.
Komentarze
Tak to jest, jak się używa jakichś nakładek-zabawek, a nie bezpośrednio narzędzi konsolowych, które do danego celu służą…
ooo… to Pan Tomasz jednak żyje! :)
A co się stało że fajne.it od długiego czasu już nie żyje?
Czytałem niedawno ponownie trochę starych tekstów dla odświeżenia wiedzy i parę włosów stanęło mi dęba; już myślałem że autora zamknęli za ujawnianie takich informacji czy cUś ;-)
Żyje żyje, tylko skupia się na zarabianiu kasy :)
Wiesz, nie każdy jest geck’iem i nie potrafi otworzyć puszki z tuńczykiem używając tylko ciosu wibrującej ręki z kung-fu. Większość ludzi bierze otwieracz do konserw.
ja tam tuńczyka otwieram tak
https://www.youtube.com/watch?v=oH2NahLjx-Y
Porzucilem Cryptkeepera na rzecz Cryptomatora kilka miesiecy temu. Wydaje sie byc bezpieczniejszy, jest Open Source i cross-platform.
Cóż, Cryptkeeper tez jest open source, a nie ochroniło go to przed krytycznym błędem.
>> tez jest open source, a nie ochroniło go to przed krytycznym błędem
nie uchroniło, bo pewnie nie ma pewnej ochrony przed błędami, ale za to ułatwiło znalezienie błędu
Warto nadmienić, iż encfs sam nie jest idealny – patrz gocryptfs.
A to nie jest jakiś stary soft z ostatnią aktualizacją 2011? https://sourceforge.net/projects/cryptthekeeper/files/
:-) OK !
A tak z innej beczki. Jak to możliwe, że posiadam 2 konta pocztowe na serwerze [poczta.pl]. Do każdego z nich mam inne hasło. Każde hasło posiada inne pytanie [odzyskujące] w razie zapomnienia. I tu któregoś dnia, nie mogę się dostać do konta używanego codziennie. Wpisuję hasło [na 100%] poprawne i nic. Skorzystałem z pytania do odzyskiwania hasła – a tu niespodzianka! Wyświetla się pytanie z tego drugiego konta, którego prawie nie używam [sporadycznie]! Nie trudno się domyślić, że problem dokładnie lustrzany dotknął mojego drugiego konta. Reasumując wygląda na to, że zostały zamienione rekordy w bazie danych. Oczywiście na moje zapytanie obsługa [poczta.pl] nigdy mi nie udzieliła wyjaśnień. Ogólnie nie polecam tego serwera pocztowego, bo spam mimo pozornego antyspamowego filtra zalewa moje konta z kretesem. Z obsługom zero kontaktu, a ostatnio straciłem 5 GB danych [trzymałem je u nich na serwerze] – przy próbie pobrania wyskakiwał błąd. Pisałem do obsługi – zero reakcji.
kto zakłada skrzynki komercyjne w polskich domenach są jeszcze tacy ludzie?
skrzynkę to się zakłada na gmailu albo protonie i spamu nie będzie chyba, że będziesz szastał mailem na lewo i prawo to spam zawsze się znajdzie
Już od dawna ten system nazywam Debilian. Kiedyś była podobna wpadka z SSH.