31.01.2017 | 10:32

Adam Haertle

Aplikacja do szyfrowania folderów w Debianie ustawiała stałe hasło „p”

Czasem narzędzia, które mają zapewnić nam bezpieczeństwo i prywatność, zawodzą. Czasem po prostu nie działają, czasem działają, ale niezgodnie z oczekiwaniami a czasem powodują wprost komiczne sytuacje – takie jak opisana poniżej.

Współpraca między różnymi programami jest skomplikowanym obszarem, podatnym na problemy gdy działanie jednego z nich się zmienia. Tak własnie stało się w przypadku narzędzia Cryptkeeper do szyfrowania folderów oraz systemu plików EncFS. Poprawienie błędów w jednym spowodowało spektakularną wpadkę drugiego.

A Twoje hasło to „p”

Kirill Tkhai zauważył bardzo dziwne zjawisko. Gdy na swoim Debianie 9 próbował zaszyfrować testowy folder za pomocą Cryptkeepera, ten folder zaszyfrował, lecz próba odszyfrowania w oparciu o znane hasło się nie powiodła. Kirill był pewien, że podał dobre hasło, zatem zaczął analizować kod Cryptkeepera i wkrótce odkrył, że jego folder został zaszyfrowany jednoliterowym hasłem „p”. Jak to możliwe?

Cryptkeeper wywołuje encfs z parametrem -S, czyli prosi o odczytani hasła z stdin:

execlp ("encfs", "encfs", "-S", crypt_dir, mount_dir, NULL);
                exit (0);

Hasło przekazywane jest w następującym ciągu poleceń:

// paranoid default setup mode
//write (fd[1], "y\n", 2);
//write (fd[1], "y\n", 2);
write (fd[1], "p\n", 2);
write (fd[1], password, strlen (password));
write (fd[1], "\n", 1);

Wysłanie „p” ma za zadanie włączyć w encfs tryb „paranoid” i faktycznie, wcześniej to robiło. Dlaczego? Otóż encfs miał błąd, który sprawiał, że ignorował parametr – S. Cryptkeeper uwzględnił ten błąd w swojej komunikacji, jednak nie usunął parametru z wywołania. Gdy błąd został poprawiony w encfs, Cryptkeeper nie poprawił swojego kodu (prawdopodobnie narzędzie zostało porzucone przez twórcę), powodując, że hasłem zostało „p”, a prawdziwe hasło użytkownika jest pomijane. Ot i cała śmieszna historia.

Jak widać Cryptkeeper nie jest szczególnie popularnym narzędziem skoro problem dopiero teraz wyszedł na jaw – jest to jednak wskazówka, by raczej korzystać ze sprawdzonych i dobrze przetestowanych rozwiązań, by nie zrobić sobie samemu cryptolockera na cennych danych.

Powrót

Komentarze

  • 2017.01.31 10:48 Tomasz Klim

    Tak to jest, jak się używa jakichś nakładek-zabawek, a nie bezpośrednio narzędzi konsolowych, które do danego celu służą…

    Odpowiedz
    • 2017.01.31 18:40 jasc

      ooo… to Pan Tomasz jednak żyje! :)
      A co się stało że fajne.it od długiego czasu już nie żyje?
      Czytałem niedawno ponownie trochę starych tekstów dla odświeżenia wiedzy i parę włosów stanęło mi dęba; już myślałem że autora zamknęli za ujawnianie takich informacji czy cUś ;-)

      Odpowiedz
      • 2017.01.31 21:34 Tomasz Klim

        Żyje żyje, tylko skupia się na zarabianiu kasy :)

        Odpowiedz
    • 2017.02.04 17:39 Franek

      Wiesz, nie każdy jest geck’iem i nie potrafi otworzyć puszki z tuńczykiem używając tylko ciosu wibrującej ręki z kung-fu. Większość ludzi bierze otwieracz do konserw.

      Odpowiedz
  • 2017.01.31 12:16 Arek

    Porzucilem Cryptkeepera na rzecz Cryptomatora kilka miesiecy temu. Wydaje sie byc bezpieczniejszy, jest Open Source i cross-platform.

    Odpowiedz
    • 2017.01.31 13:53 msm

      Cóż, Cryptkeeper tez jest open source, a nie ochroniło go to przed krytycznym błędem.

      Odpowiedz
      • 2017.02.03 17:12 JdG

        >> tez jest open source, a nie ochroniło go to przed krytycznym błędem

        nie uchroniło, bo pewnie nie ma pewnej ochrony przed błędami, ale za to ułatwiło znalezienie błędu

        Odpowiedz
  • 2017.01.31 15:09 gotar

    Warto nadmienić, iż encfs sam nie jest idealny – patrz gocryptfs.

    Odpowiedz
  • 2017.01.31 21:05 Michal

    A to nie jest jakiś stary soft z ostatnią aktualizacją 2011? https://sourceforge.net/projects/cryptthekeeper/files/

    Odpowiedz
  • 2017.02.01 01:57 MSVCP140

    :-) OK !

    Odpowiedz
  • 2017.02.04 17:35 Franek

    A tak z innej beczki. Jak to możliwe, że posiadam 2 konta pocztowe na serwerze [poczta.pl]. Do każdego z nich mam inne hasło. Każde hasło posiada inne pytanie [odzyskujące] w razie zapomnienia. I tu któregoś dnia, nie mogę się dostać do konta używanego codziennie. Wpisuję hasło [na 100%] poprawne i nic. Skorzystałem z pytania do odzyskiwania hasła – a tu niespodzianka! Wyświetla się pytanie z tego drugiego konta, którego prawie nie używam [sporadycznie]! Nie trudno się domyślić, że problem dokładnie lustrzany dotknął mojego drugiego konta. Reasumując wygląda na to, że zostały zamienione rekordy w bazie danych. Oczywiście na moje zapytanie obsługa [poczta.pl] nigdy mi nie udzieliła wyjaśnień. Ogólnie nie polecam tego serwera pocztowego, bo spam mimo pozornego antyspamowego filtra zalewa moje konta z kretesem. Z obsługom zero kontaktu, a ostatnio straciłem 5 GB danych [trzymałem je u nich na serwerze] – przy próbie pobrania wyskakiwał błąd. Pisałem do obsługi – zero reakcji.

    Odpowiedz
    • 2017.02.07 11:02 santos

      kto zakłada skrzynki komercyjne w polskich domenach są jeszcze tacy ludzie?
      skrzynkę to się zakłada na gmailu albo protonie i spamu nie będzie chyba, że będziesz szastał mailem na lewo i prawo to spam zawsze się znajdzie

      Odpowiedz
  • 2017.02.18 19:17 Xn

    Już od dawna ten system nazywam Debilian. Kiedyś była podobna wpadka z SSH.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Aplikacja do szyfrowania folderów w Debianie ustawiała stałe hasło „p”

Komentarze