hacking-avanzado.blogspot.com/2009/09/y-otra-mas-pidgin-g... por txalin el 22-09-2009 10:19 UTC
Leo en hacking avanzado que pidgin, popular cliente de mensajeria electronica, guarda, en su version de linux al menos, las contraseñas de nuestras cuentas de mensajeria en texto claro. Increible en estos tiempos.
#1 ¿Texto claro? ¡Cojonudo, blanco sobre blanco, así no se ven! <humor mode off>
#0 Mejor "texto plano", que aunque es una traducción a lo bruto de "plain text", se entiende mejor que "texto claro". Tal vez incluso mejor "texto sin formato" o "texto sin codificar"
#3 Estaría bien que no fueran texto plano como medida adicional, pero si tienes en cuenta la estricta seguridad de directorios de la familia NIX* sabrás que solo tu y los procesos lanzados por ti pueden leer ese fichero..
#11 De todos modos, esa cagada lleva ahi años!! Por lo menos desde el 2007 no permito que pidgin guarde mis contraseñas porque ya por entonces se conocía este dato.
#13 Es un problema en windows, en linux no, pq en linux ese xml esta en una carpeta a la que no se puede acceder facilmente... en cambio en windows si...
Pero bueno de todos modos tiron de orejas para los desarolladores de Pidgin... señores esa encriptación!!!
#15#5 Depende que algoritmo de hash.. MD5, SHA-1 llevan rotos desde hace bastante tiempo.. en.wikipedia.org/wiki/MD5
Lo mas seguro seria encriptarlos usando algun parámetro de usuario. Ademas, siempre tienes la opción de decirle que NO guarde tus contraseñas.. Es lo mas seguro, de toda la vida
#16#14 No tengo ni idea de como gestiona windows esos directorios, pero imagino que la gente de pidgine igual que el .purple en linux es privado hará lo mismo en windows si se puede.
#18#15 Si haces un hash y eres capaz de romperlo, es lo mismo igual de inseguro tenerlo en hash que en texto. Si no eres capaz de romperlo, no te sirve de nada pues el propio programa no es capaz de recuperar la clave.
Por eso, como dices, es mejor encriptarlo.
Y en ordenadores a los qeu puede tener acceso más personas, no permitir que se guarden claves, historiales, etc etc.
#19 Sería interesante ver en que versión ocurre esto ya que en la mia (2.4.3-4lenny4) no pasa.
Ummm ... seguramente al configurar la cuenta se ha marcado la opción Guardar contraseña ... ( jeje ), yo es que eso no lo hago nunca.
#22 Las contraseñas mediante hash no funcionan así, cuando el usuario introduce la contraseña se comprueba su hash, si es igual al almacenado en la máquina, la contraseña se da por buena. En ese caso, es el usuario el que tiene que introducir la contraseña manualmente para que el sistema sea seguro. Esta seguridad se basa en que es prácticamente imposible descubrir a partir del hash la cadena que lo generó, siempre y cuando la contraseña tenga una longitud adecuada, que debería ser de unos 20 caracteres para el caso del SHA-1.
En este caso, de lo que se habla es de algo distinto, es la comodidad frente a la seguridad, es la contraseña lo que se almacena para evitar que la tenga que teclear el usuario cada vez, por lo que lo único que de puede hacer sería cifrarlas de forma segura, lo que podría hacerse mediante un cifrado de bloques, que use una clave única para cada cliente.
Pero también es cierto, que la mayoría de las contraseñas y los nombres de usuario necesarios para acceder a servicios viajan sin cifrar a través de Internet, por lo que estamos en las mismas.
#24 Vamos a ver... Y ahora se dan cuenta? Que genios!
En RedHat 9 (Sino mal recuerdo) y cuando traia GAIM (porque Pidgin todavia no exixtia, todavia era Gaim) ya guardaba las contraseñas en texto plano. Y estoy hablando del año 2003!!!
Para ser exactos noviembre de 2003 que es cuando comence a utilizar Linux y era Red Hat 9.
El problema es que ya se que solo vos tenes acceso a la cuenta home... Pero... Si arrancas la pc con un LiveCD o un Pendrive... Tienes accceso total a las cuentas home del disco.
Es decir que para los que dijeron que Linux es full seguro y mas que Windows y bla bla bla naranja de la china. (Lo dice alguien que solo uso Linux y no tiene otro OOSS en su PC... Asique ahorrarce los negativos).
El proximo Ubuntu (por lo que he leido por ahi) tendra una opcion que es encliptar la carpeta home... De esa manera no hablra problema que las contraseñas esten en texto plano.
#27#25"Es decir que para los que dijeron que Linux es full seguro y mas que Windows y bla bla bla naranja de la china" Estamos hablando de un programa de mensajería, es un grave error de ese programa pero no es algo vital desde luego. Qué tiene eso que ver con la seguridad de linux o windows ?
Además, y siempre se obvia esto en muchas discusiones, si alguien obtiene acceso físico a tu ordenador olvídate de la seguridad, ya no existe, ya ha sido rota. Regla nº1 de la seguridad, nunca dejes tu ordenador (ni movil, pda, etc) a nadie y menos si tu no estás presente.
Por eso lo verdaderamente importante es la seguridad remota, que nadie sin acceso físico pueda obtener información de tu ordenador.
#30#26 y #27 Muchos han dicho que no importa que este en texto plano porque estan en la carpeta home.
Hasta ahi todo bien. Pero si mas de una persona usa la pc logicamente es que mas de una persona tiene acceso fisico a esa pc.
Y si tiene acceso fisico, puede arrancar la pc con un LiveCD o un Pendrive adios a la seguridad y a todo... Vuelvo a repetir que de esa manera tenes acceso a TODOS los archivos del directorio home, sean del usuario que sean. Y si las contraseñazs estan en un texto plano... HO HO.. Tienes un problema!
Por lo tanto por mas seguro que sea Linux, es un error que las contraseñas se guarden en un texto plano.
#31#30 Con un live cd puedes entrar y ver cualquier password tanto de Windows cómo de Linux sin mayor problema a no ser que tengas encriptada la partición, te da igual que estén en texto plano o no.
#32 Por cierto, la única solución segura sería guardar las contraseñas en un anillo de claves cómo gnome-keyring o kwallet, hay un proyecto sobre eso en el Google Summer of Code y parece que el trabajo que se hizo se usará para la versión 3 de Pidgin.
#33#31 Bueno no... Mira las contraseñas de los usuarios a ver si podes. Lo vas a tener difisil. Las podes borrar. Ahora averiguarlas es un poco mas complejo.
Si las tenes en texto plano lo tenes chupado. Por eso es un error de seguridad, pero eso viene desde muchos años atras. No se porque ahora se dan cuenta.
Siempre es mejor sifrarlas, por lo menos ponerlo un poco mas difisil!
#34#33 Las passwords de los usuarios es dificil pero no imposible pero aquí estamos hablando de las passwords de un cliente de mensajería y si puedes arrancar con un live cd puedes conseguir de forma muy sencilla la password tanto del MSN Messenger cómo del Pidgin.
#35 Esto me recuerda a hace unos días, que me preguntó un amigo recién pasado a linux cómo podía poner contraseña a un directorio dentro de su ~... Y eso en un ordenador que usa él solo.
#25 (y otros), se puede poner contraseña a grub y a la bios y ponerlo para que arranque desde el disco duro primero, con lo que un livecd no servirá de nada. La única opción que tendrán es sacar el disco duro y ponerlo en otro ordenador, aunque siempre se pueden cifrar los datos.
#36 Sacado de la explicación, oficial. (Gracias #29). Otras aplicaciones que aunque las contraseñas no las guarden en texto plano no ofrecen ninguna protección. Lista de otras aplicaciones de mensajeria de las cuales es fácil extraer las contraseñas (solo hay que buscar en google como).
====================================================================
"But other programs don't store my password in plain text!" ¶
That's true. But few of them store it in a way that's any safer. A Google search for im passwords shows a bunch of hits for getting the passwords out of other IM clients just as easily as Pidgin.
The very first link is a clear indication that none of these IM applications provide any sort of real password security:
* ICQ and ICQLite
* AOL Instant Messenger and AIM Triton
* AIM Pro
* Yahoo! Messenger
* Excite Messenger
* MSN Messenger and Windows Live Messenger
* Microsoft Office Communicator 2005
* Google Talk
* Odigo
* Trillian
* AT&T IM Anywhere
* T-Online Messenger
* Match Messenger
* Praize IM
* ...etc...etc..
#37#9 ¿Ein? No hace falta deshacer el hash porque no te interesa saber la contraseña del usuario en ningún caso (salvo que se la quieras mandar en texto plano por mail )... Simplemente debes aplicar el mismo hash a la contraseña que te acaba de escribir y si es igual que el hash que tu tienes... ¡bingo!
#38#25: ¿La próxima? La última ya lo permite (la 9.04), y me parece que la 8.10 también, pero no estoy seguro.
De todas maneras, yo me lo hice manualmente y mi /home está cifrada, más /tmp y swap, que en cada arranque se cifran con una nueva contraseña aleatoria
Si arrancas un ordenador con una distribución LIVE, o simplemente desenchufas el disco y lo montas en otro PC como disco de datos, tienes acceso completo al sistema de ficheros. En Windows, en Linux, en Mac, en *BSD, y en cualquier sistema operativo que esté instalado en una partición no cifrada. Eso no dice nada de la seguridad del SO en sí.
Por otro lado. Ubuntu ya tiene opción de cifrar la carpeta home. Bueno, la home con el gestor, y si lo haces manualmente puedes cifrar el disco completo.
Y para terminar... ¿para qué narices quiero la contraseña de usuario, si tengo acceso físico al ordenador? La contraseña de usuario no me sirve para nada en ese caso. Puedo saltarla, que es lo único que me aporta utilidad y con eso me es más que suficiente. En cualquier caso, las contraseñas de usuario sí se pueden conseguir: tablas Rainbow suficientemente grandes y asunto zanjado.
#41 En muchísimos programas se pueden sacar las contraseñas guardadas fácilmente. Si estás en un lugar en el que no confías directamente no deberías guardar ninguna contraseña.
En tu casa, estando en un entorno de confianza y con el PC al día no tendría que ser ninguna preocupación que las contraseñas se guardaran en texto plano.
Si aún así es necesario tener un sistema adicional de seguridad, lo ideal es utilizar un keyring, donde todas las claves están almacenadas a partir de una clave maestra (claro que esto también implica que con una sola clave puedas ver todas las demás
#43 Por cierto, el Yahoo Messenger guarda las contraseñas cifradas en el registro de Windows... y no es en absoluto más seguro: Se exporta la clave del registro de Windows y se importa en otro equipo y ya puedes entrar en la cuenta de Yahoo sin haber necesitado descifrar la contraseña.
(No es broma: Una vez tuve que realizar este 'milagro' para un usuario que había cambiado de ordenador y no recordaba la contraseña de la cuenta de Yahoo que usaba para comunicarse con sus proveedores...)
#45 ¿Qué tiene de noticia? Muchísimos programas guardan las contraseñas en texto claro. Demasiados. Tanto de Linux como de Windows.
Es más, os voy a contar un secreto... muchísimas webs o protocolos envían las contraseñas en texto claro por la red y cualquiera que esté conectado a tu LAN puede interceptar dichas contraseñas con un sniffer.
El problema del almacenamiento de passwords en Linux se resolverá definitivamente cuando haya un acuerdo (de Gnome y KDE, principalmente) para crear un protocolo de almacenamiento de passwords común, que utilicen gnome-keyring, kwallet o cualquier otro gestor de passwords.
Por cierto, eso de "hacking avanzado" es una broma, ¿no?
#47#30 Todas las versiones modernas de Linux te permiten utilizar un /home cifrado desde el momento de la instalación. Es tu decisión si la cifras o no. Y evidentemente a un /home cifrado no se puede acceder de ninguna forma ya sea con un live cd o conectando el disco a otro ordenador.
#0 Mejor "texto plano", que aunque es una traducción a lo bruto de "plain text", se entiende mejor que "texto claro". Tal vez incluso mejor "texto sin formato" o "texto sin codificar"
C:/Documents and Settings/nombre_usuario/Datos de programa/.purple/accounts.xml
Ahi teneis vuestra contraseña. Ale, a borrar el pidgin rapidamente hasta que lo arreglen.
¿Porque no sale la barra invertida?
Pero bueno de todos modos tiron de orejas para los desarolladores de Pidgin... señores esa encriptación!!!
en.wikipedia.org/wiki/MD5
Lo mas seguro seria encriptarlos usando algun parámetro de usuario. Ademas, siempre tienes la opción de decirle que NO guarde tus contraseñas.. Es lo mas seguro, de toda la vida
Por eso, como dices, es mejor encriptarlo.
Y en ordenadores a los qeu puede tener acceso más personas, no permitir que se guarden claves, historiales, etc etc.
Ummm ... seguramente al configurar la cuenta se ha marcado la opción Guardar contraseña ... ( jeje ), yo es que eso no lo hago nunca.
En este caso, de lo que se habla es de algo distinto, es la comodidad frente a la seguridad, es la contraseña lo que se almacena para evitar que la tenga que teclear el usuario cada vez, por lo que lo único que de puede hacer sería cifrarlas de forma segura, lo que podría hacerse mediante un cifrado de bloques, que use una clave única para cada cliente.
Pero también es cierto, que la mayoría de las contraseñas y los nombres de usuario necesarios para acceder a servicios viajan sin cifrar a través de Internet, por lo que estamos en las mismas.
En RedHat 9 (Sino mal recuerdo) y cuando traia GAIM (porque Pidgin todavia no exixtia, todavia era Gaim) ya guardaba las contraseñas en texto plano. Y estoy hablando del año 2003!!!
Para ser exactos noviembre de 2003 que es cuando comence a utilizar Linux y era Red Hat 9.
El problema es que ya se que solo vos tenes acceso a la cuenta home... Pero... Si arrancas la pc con un LiveCD o un Pendrive... Tienes accceso total a las cuentas home del disco.
Es decir que para los que dijeron que Linux es full seguro y mas que Windows y bla bla bla naranja de la china. (Lo dice alguien que solo uso Linux y no tiene otro OOSS en su PC... Asique ahorrarce los negativos).
El proximo Ubuntu (por lo que he leido por ahi) tendra una opcion que es encliptar la carpeta home... De esa manera no hablra problema que las contraseñas esten en texto plano.
Además, y siempre se obvia esto en muchas discusiones, si alguien obtiene acceso físico a tu ordenador olvídate de la seguridad, ya no existe, ya ha sido rota. Regla nº1 de la seguridad, nunca dejes tu ordenador (ni movil, pda, etc) a nadie y menos si tu no estás presente.
Por eso lo verdaderamente importante es la seguridad remota, que nadie sin acceso físico pueda obtener información de tu ordenador.
Hasta ahi todo bien. Pero si mas de una persona usa la pc logicamente es que mas de una persona tiene acceso fisico a esa pc.
Y si tiene acceso fisico, puede arrancar la pc con un LiveCD o un Pendrive adios a la seguridad y a todo... Vuelvo a repetir que de esa manera tenes acceso a TODOS los archivos del directorio home, sean del usuario que sean. Y si las contraseñazs estan en un texto plano... HO HO.. Tienes un problema!
Por lo tanto por mas seguro que sea Linux, es un error que las contraseñas se guarden en un texto plano.
¿Ahora si se entendio?
Si las tenes en texto plano lo tenes chupado. Por eso es un error de seguridad, pero eso viene desde muchos años atras. No se porque ahora se dan cuenta.
Siempre es mejor sifrarlas, por lo menos ponerlo un poco mas difisil!
#25 (y otros), se puede poner contraseña a grub y a la bios y ponerlo para que arranque desde el disco duro primero, con lo que un livecd no servirá de nada. La única opción que tendrán es sacar el disco duro y ponerlo en otro ordenador, aunque siempre se pueden cifrar los datos.
Otras aplicaciones que aunque las contraseñas no las guarden en texto plano no ofrecen ninguna protección.
Lista de otras aplicaciones de mensajeria de las cuales es fácil extraer las contraseñas (solo hay que buscar en google como).
====================================================================
"But other programs don't store my password in plain text!" ¶
That's true. But few of them store it in a way that's any safer. A Google search for im passwords shows a bunch of hits for getting the passwords out of other IM clients just as easily as Pidgin.
The very first link is a clear indication that none of these IM applications provide any sort of real password security:
* ICQ and ICQLite
* AOL Instant Messenger and AIM Triton
* AIM Pro
* Yahoo! Messenger
* Excite Messenger
* MSN Messenger and Windows Live Messenger
* Microsoft Office Communicator 2005
* Google Talk
* Odigo
* Trillian
* AT&T IM Anywhere
* T-Online Messenger
* Match Messenger
* Praize IM
* ...etc...etc..
en.wikipedia.org/wiki/One-way_function
De todas maneras, yo me lo hice manualmente y mi /home está cifrada, más /tmp y swap, que en cada arranque se cifran con una nueva contraseña aleatoria
Paranoia powa'
Si arrancas un ordenador con una distribución LIVE, o simplemente desenchufas el disco y lo montas en otro PC como disco de datos, tienes acceso completo al sistema de ficheros. En Windows, en Linux, en Mac, en *BSD, y en cualquier sistema operativo que esté instalado en una partición no cifrada. Eso no dice nada de la seguridad del SO en sí.
Por otro lado. Ubuntu ya tiene opción de cifrar la carpeta home. Bueno, la home con el gestor, y si lo haces manualmente puedes cifrar el disco completo.
Y para terminar... ¿para qué narices quiero la contraseña de usuario, si tengo acceso físico al ordenador? La contraseña de usuario no me sirve para nada en ese caso. Puedo saltarla, que es lo único que me aporta utilidad y con eso me es más que suficiente. En cualquier caso, las contraseñas de usuario sí se pueden conseguir: tablas Rainbow suficientemente grandes y asunto zanjado.
project-rainbowcrack.com/
ophcrack.sourceforge.net/tables.php
rainbowtables.shmoo.com/
"Cleartext". O sea, no cifrado.
Plaintext no viene de plano, sino de sencillo (plain)
En tu casa, estando en un entorno de confianza y con el PC al día no tendría que ser ninguna preocupación que las contraseñas se guardaran en texto plano.
Si aún así es necesario tener un sistema adicional de seguridad, lo ideal es utilizar un keyring, donde todas las claves están almacenadas a partir de una clave maestra (claro que esto también implica que con una sola clave puedas ver todas las demás
Por motivos ya dichos arriba, me parece bastante amarillista el artículo. Además de que la explicación de los desarrolladores es más que convincente.
(No es broma: Una vez tuve que realizar este 'milagro' para un usuario que había cambiado de ordenador y no recordaba la contraseña de la cuenta de Yahoo que usaba para comunicarse con sus proveedores...)
Es más, os voy a contar un secreto... muchísimas webs o protocolos envían las contraseñas en texto claro por la red y cualquiera que esté conectado a tu LAN puede interceptar dichas contraseñas con un sniffer.
El problema del almacenamiento de passwords en Linux se resolverá definitivamente cuando haya un acuerdo (de Gnome y KDE, principalmente) para crear un protocolo de almacenamiento de passwords común, que utilicen gnome-keyring, kwallet o cualquier otro gestor de passwords.
Por cierto, eso de "hacking avanzado" es una broma, ¿no?