Portada
Hace 10 años | Por --110030-- a redeszone.net
Publicado hace 10 años por --110030-- a redeszone.net

Ubuntu está almacenando las claves del WiFi en texto plano por defecto

 redeszone.net

'Ubuntu es uno de los sistemas operativos Linux más utilizados. Con la fama que está ganando en los últimos meses, los usuarios y los desarrolladores comienzan a buscar fallos en este sistema y, poco a poco, comienzan a aparecer enel sistema operativo libre pequeñas vulnerabilidades que pueden llegar a ser molestas para la mayor parte de estos y que, en ocasiones, llegan a vulnerar la seguridad o la privacidad de estos como es el caso de las contraseñas.'

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 194 30

Comentarios

pkreuzt

Pero esto es una chorrada, las contraseñas de la wifi van por defecto sin cifrar en cualquier linux. Sólo que es el usuario root el único que puede leerlas, al estar bajo su propiedad los perfiles de red. Por otro lado el artículo se queja de que "habiendo cifrado el home del usuario" las contraseñas siguen siendo accesibles Pues claro, pero es que los perfiles de red no se guardan en el home.

V 12
K 125
Sheldon_Cooper

#15, si se guardan en el home por defecto, al menos en el network-manager de gnome que imagino que seguirán usando. Solo se guardan para root si marcas la casilla de "Disponible para todos los usuarios". Pero aún en ese caso, todos los usuarios pueden verlo, aunque no editarlo sin la pass de root.

De todas formas, aunque no puedo hablar de las versiones actuales de Ubuntu porque dejé de usarlo hace tiempo, en Ubuntu 10.04 y Linux Mint desde entonces la primera vez que almacenas una password te pide ponerle una pass para el KeyRing, aunque yo por pereza lo dejo en blanco en el sobremesa siempre pongo pass en el portatil.

V 0
K 10
pkreuzt

#22 En mi distro (Mageia 3) el NetworkManager guarda los perfiles de red en /etc. Pensaba que ese era el comportamiento por defecto.

V 0
K 10
D

#15 Uso Ubuntu en mi ordenador, pero no es aceptable guardar ninguna contraseña en texto plano en los tiempos que corren. Por cierto, Ubuntu viene sin usuario root.

V 4
K -27
D
editado

#26 Es imposible guardar la contraseña de la red wifi cifrada y al mismo tiempo habilitarla sin introducir una contraseña. Si quieres que tu clave de la wifi esté cifrada, configurala como una red de usuario, tal y como dice el artículo. Si quieres que sea una conexión de sistema que se conecte automáticamente, la clave tiene que estar en claro. Pero las dos cosas a la vez no pueden ser.
En Ubuntu si hay usuario root, pero está "capado". Si pones "sudo su -" y luego "whoami" verás que eres root. La clave en claro del wifi debería estar limitada a solo lectura por ese usuario, lde forma que solo la puedan leer los usuarios listados en sudoers.

V 1
K 19
Sheldon_Cooper
editado

#26, yo no veo tan malo guardar una clave en texto plano. Es decir, en un pc doméstico y no un servidor, en el momento en que montas un servidor accesible desde internet pues ya si que es una cagada. A lo que me refiero es que una pass en texto plano en tu pc o el de tu madre el único problema de seguridad que dará es alguien que se siente delante de ese pc. Pero es que habiendo acceso físico a la máquina ya no hay seguridad alguna posible.

Si no tienes el /home encriptado da igual la cantidad de pass que quieras meterle, siempre podrás acceder a esa partición desde otra distro live. Y aunque tengas /home encriptado... si tienes auto-login, esa encriptación no vale una mierda.

El tema es ese, si es algo que va a ser accesible remótamente cualquier protección es poca, pero si es algo que solo va a ser usado localmente con acceso físico a la máquina, por más encriptación que pongas siempre va a haber formas de saltársela salvo que tengas todo el fs encriptado, pongas tu pass en cada arranque, y el posible atacante no se encuentre el pc ya encendido.

Y como decían los autores de Pidgin, sobre que Pidgin almacene las pass en texto plano:

Purple does not now and is not likely to encrypt the passwords in the accounts.xml file, nor is it likely to be encrypted in a future release. This is somewhat controversial in Windows, where file permissions have traditionally been more open, but that's the way things are. (...) Instant messaging is not very secure, and it's kind of pointless to spend a lot of time adding protections onto the fairly strong file protections of UNIX (our native platform) when the protocols themselves aren't all that secure. (...) Secondly, you shouldn't be using your instant messaging password for anything else. While some protocols have decent password security, others are insufficient and some (like IRC) don't have any at all. (...) Personally, I feel that on any decent operating system, if someone can get to your files you should either be able to trust the person to not touch them, or you shouldn't be storing sensitive information there at all.

When a Pidgin user looks at her accounts.xml file, she can tell immediately that it's a sensitive file and should be treated as such. When an application attempts to 'trick' the user into thinking its passwords are secure by obfuscating it in some way, the user assumes it's safe. (...) Having our passwords in plaintext is more secure than obfuscating them precisely because, when a user is not misled by a false sense of security, he is likely to use the software in a more secure manner.

When people propose inefficient security, it's because they prefer a false sense of security to a false sense of insecurity. File systems, in general, do a very good job of keeping your information private. For most people, there is no insecurity inherent in plain-text passwords. There's only the perception that, because they can read their passwords with ease, that perhaps others can too. Obfuscated passwords are no more secure than plain text; they can be read, about just as easily with the aid of certain programs. It provides a false perception of security.
https://developer.pidgin.im/wiki/PlainTextPasswords

Se refieren más que nada a la idea de que cada programa encripte sus passwords. Al final cada programa usa su propio método, y una búsqueda rápida en google demuestra que ya están casi todos desencriptados con utils de menos de 10 kb. Si están abiertos a integrarlo con los KeyRings propios de cada SO, aunque es complicado hacerlo de forma limpia cuando cada SO lo hace de una forma distinta.


editado:
por lo que veo ya han hecho un apaño intermedio los de Pidgin, que saldrá con el Pidgin 3.0 (si es que sale):

Internal keyring
Status: implemented
It works in two modes: cleartext (passwords are stored unencrypted, as before) and using encryption with a master key. User needs to provide a master password once per every Pidgin startup. It uses AES-256 for encryption and PBKDF2-SHA256 for key derivation.

Imagino que porque aún no está terminado el soporte para el keyring de mac os x, solo los de windows y gnome/kde.

V 0
K 10
dreierfahrer
editado

#11 De verdad me van a tener cogido de las pelotas en casa por tener la contraseña de la wifi??¿?¿?¿ No lo veo...

Pueden entrar a tu ordenador desde una wifi pública (cosa bastante fácil)

Tirao... Solo tienen que entrar por algun servidor... superfacil, vamos... Es tan facil como reventar la clave de la wifi de mi casa y luego entrar a mi ordenador (miento, esto ultimo es mas facil: no tendrian ni que hacerme seguimientos ni subir al descansillo del 7º para tener cobertura con mi wifi...)

Pero vamos, que sigo diciendo, que si se han podido meter en tu ordenador lo de la wifi es lo menos importante...

V 6
K 76
kahun

Menuda chorrada de noticia.

1. Lo de encriptar la home, sólo sirve si no accedes con tu usuario, si accedes con tu usuario vas a ver todos los ficheros desencriptados.

2. Si compartes la conexión con todos los usuarios, pues es obvio que todos los usuarios podrán tener acceso a esa conexión.

3. Si no comportes la conexión la clave se guarda encriptada en el keyring.

V 3
K 36
filosofo
editado

Para compartir las claves con todo el mundo que de una vuelta por el disco duro. Es quie Mark es todo generosidad

V 3
K 35
D
autor

#1 Pues que sea generoso con las suyas

V 1
K 7
D
autor

#4 Goto #1 y acuérdate del dicho 'Piensa mal y acertarás'

V 0
K 16
dreierfahrer
editado

#4 #1 Hombre, si estan dando una vuelta por tu disco duro lo que menos te importa son las claves de la wifi de la cafeteria de enfrente...

V 2
K 27
filosofo
editado

#7 La información es poder. Pueden entrar a tu ordenador desde una wifi pública (cosa bastante fácil) y, desde ahí, pillar la wifi de tu casa. Con lo que te van a tener más cogido por las pelotas.

V 1
K 10
dreierfahrer
editado

Por cierto, #11 como lego de seguridad pero no de programacion:

Si yo tuviera algun minimo interes en ello, despues de conectarme a un ordenador que no fuera mio haria un programa (yo programo, pero seguro que ya esta hecho) que me permitiera conectarme a ese ordenador en cuante se conecte a internet en cualquier sitio... Eso SI que es facil: lo puedo hacer hasta yo...

V 0
K 10
D

#19 nc o netcat: la navaja suiza de las conexiones TCP/IP:
http://nc110.sourceforge.net/
Te haces un scriptillo que configuras con cron, o como demonio, y listo.

V 1
K 19
D

La solución que proponen puede acarrear algún problema si el ordenador tiene instalado algún servidor o demonio. Por ejemplo si se instala transmission en modo demonio, este dejará de funcionar en cuanto el usuario se desloguee. Lo mismo pasaría si se instala un servidor ssh o http; en cuanto el usuario no estubiese logeado no se admitirían nuevas conexiones.

Por otra parte, para la mayoría de usuarios esto no supone ningún problema. Si alguien es capaz de leer la clave (no sé como es en Ubuntu, pero en Debian se guarda en claro, pero con permisos de lectura solo para root), tienes un problema mayor, ya que alguien tiene acceso no solo a tu red, si no que también a tu ordenador y a tu contraseña (de root en caso de Debian). (PS: veo que #7 ya ha señalado esto).

V 1
K 19
e
editado

#7 te roban el ordenador y además re roban el wi-fi… buff

#29 no te fuiste al sofá. fdo., Android.

V 1
K 15
Stash

Ubuntu.... Y android

V 1
K 30
kampanita

No viene con KeyRing por defecto ¿?

V 1
K 22
filosofo
editado

Imagino que en Canonical ya estarán preparando una actualizaciónn para corregir esto.

Hace dos días rajando de lo insegura que es mint y, ahora se ve , que ellos mismos también aumentan las inseguridades.

V 2
K 20
D
autor

https://lists.ubuntu.com/archives/ubuntu-devel-discuss/2013-December/014804.html

V 0
K 16
D

¿Noticia negativa de Ubunto en Menéame? ¿¿¿¡¡¡ES QUE NOS HEMOS VUELTO LOCOS O QUÉ!!!!!? Aquí o hay noticias filomarxistas y anarcocomunistas o nada.

V 5
K 16
D
autor

#6 lol

V 2
K 54
Candidatas
33
meneos
actualidad Cinco detenidos por agresiones e insultos racistas a un hombre en el aeropuerto de Málaga
30
meneos
actualidad Desahucian al inquilino de una de las infraviviendas del policía sancionado tras una denuncia por impago
82
meneos
politica Rueda sigue los pasos de Feijóo y reparte dos millones de euros de la Xunta entre los medios afines al PP
50
meneos
actualidad Vicente del Bosque, el elegido por el Gobierno para presidir la RFEF
30
meneos
actualidad "Los 283 cadáveres de palestinos encontrados en una fosa común el Hospital Nasser eran todos terroristas probablemente"
49
meneos
actualidad Francia decreta toques de queda para los menores de 13 años por el aumento de la inseguridad en las calles
48
meneos
actualidad Golpe del TJUE a la banca: el plazo para reclamar los gastos hipotecarios se inicia cuando se declara nula la cláusula
41
meneos
politica Diputados portugueses cantan 'Grândola', himno de la Revolución, y la extrema derecha se marcha del Parlamento
51
meneos
actualidad Una profesora estuvo seis años impartiendo asignaturas en la Universidad Carlos III sin contrato
pkreuzt
editado

Por cierto, mirad lo que acabo de encontrar: http://ubuntuforums.org/showthread.php?t=1919254
Vamos, que es un fallo de la política de usuarios de Ubuntu, el uso de sudo y todo eso. No constituye en absoluto un "fallo de software".

V 0
K 10
dreierfahrer

Como tio lego en seguridad informatica:

Como de importante es esto?

V 0
K 10
t3rr0rz0n3

Google sabe mucho más que unas simples claves Wi-fi... En fin...me voy al sofá con mi Android...

V 0
K 7
laruecarockanrol

Aún me acuerdo cuando en estaba estudiando informática que el profesor nos decía que usásemos Ubuntu, ya que no tenia ningún error porque estaba programado a la perfección... supongo que no hay nada que se pueda hacer a la perfección

V 2
K -10
D
autor

#9 'Errare humanum est'

V 0
K 16
D

#9 ¿Y nadie le dijo nada? Menudo lerdo de profesor.

V 1
K 4
delawen

#9 Argumento erróneo. La principal diferencia es que los agujeros de seguridad en un sistema libre pueden ser solucionados inmediatamente y sin dar tiempo a que se elaboren virus o ataques asociados.

En un sistema cerrado no sólo no sabes si las claves están en claro o encriptadas, sino que además, si se consigue saber, no hay forma de arreglarlo de forma sencilla y genérica (puedes modificar tu instalación, pero será a título individual, tienes que esperar a que el mantenedor de ese sistema cerrado decida aplicar un parche de seguridad, si quiere).

En cualquier caso, ¿Ubuntu pudiendo elegir Debian? Criaturitas...

V 8
K 47