Aplikacja do szyfrowania folderów w Debianie ustawiała stałe hasło „p”

dodał 31 stycznia 2017 o 10:32 w kategorii Top  z tagami:
Aplikacja do szyfrowania folderów w Debianie ustawiała stałe hasło „p”

Czasem narzędzia, które mają zapewnić nam bezpieczeństwo i prywatność, zawodzą. Czasem po prostu nie działają, czasem działają, ale niezgodnie z oczekiwaniami a czasem powodują wprost komiczne sytuacje – takie jak opisana poniżej.

Współpraca między różnymi programami jest skomplikowanym obszarem, podatnym na problemy gdy działanie jednego z nich się zmienia. Tak własnie stało się w przypadku narzędzia Cryptkeeper do szyfrowania folderów oraz systemu plików EncFS. Poprawienie błędów w jednym spowodowało spektakularną wpadkę drugiego.

A Twoje hasło to „p”

Kirill Tkhai zauważył bardzo dziwne zjawisko. Gdy na swoim Debianie 9 próbował zaszyfrować testowy folder za pomocą Cryptkeepera, ten folder zaszyfrował, lecz próba odszyfrowania w oparciu o znane hasło się nie powiodła. Kirill był pewien, że podał dobre hasło, zatem zaczął analizować kod Cryptkeepera i wkrótce odkrył, że jego folder został zaszyfrowany jednoliterowym hasłem „p”. Jak to możliwe?

Cryptkeeper wywołuje encfs z parametrem -S, czyli prosi o odczytani hasła z stdin:

execlp ("encfs", "encfs", "-S", crypt_dir, mount_dir, NULL);
                exit (0);

Hasło przekazywane jest w następującym ciągu poleceń:

// paranoid default setup mode
//write (fd[1], "y\n", 2);
//write (fd[1], "y\n", 2);
write (fd[1], "p\n", 2);
write (fd[1], password, strlen (password));
write (fd[1], "\n", 1);

Wysłanie „p” ma za zadanie włączyć w encfs tryb „paranoid” i faktycznie, wcześniej to robiło. Dlaczego? Otóż encfs miał błąd, który sprawiał, że ignorował parametr – S. Cryptkeeper uwzględnił ten błąd w swojej komunikacji, jednak nie usunął parametru z wywołania. Gdy błąd został poprawiony w encfs, Cryptkeeper nie poprawił swojego kodu (prawdopodobnie narzędzie zostało porzucone przez twórcę), powodując, że hasłem zostało „p”, a prawdziwe hasło użytkownika jest pomijane. Ot i cała śmieszna historia.

Jak widać Cryptkeeper nie jest szczególnie popularnym narzędziem skoro problem dopiero teraz wyszedł na jaw – jest to jednak wskazówka, by raczej korzystać ze sprawdzonych i dobrze przetestowanych rozwiązań, by nie zrobić sobie samemu cryptolockera na cennych danych.