Possivel falha de segurança?

Iniciado por paulobelo, 21 de Janeiro de 2015, 19:26

tópico anterior - próximo tópico

paulobelo

Falha de segurança?
Todos sabem que para deixar uma pasta oculta basta por um ponto antes do nome da pasta.
Uma das pastas que por padrão é oculta é a pasta ".cache" que  fica no seu diretório home.
Dentro dessa pasta como era de esperar ficam arquivos que o sistema, não sei por que critério, julga que serão reutilizados frequentemente e por isso não vão para a pasta .temp onde seriam eliminados quando o computador fosse desligado.
No caso que me preocupa ocorreu que dentro dessa pasta .cache o sistema criou diversas outras pastas, .fr-9NiKur, .fr-e8A4Of, .fr-fG5w3J e assim por diante.
Em várias dessas subpastas eu encontrei um arquivo ,uma planilha que eu tinha aberto há pelo menos duas semanas.
O problema é que essa planilha, vamos chamar de A.xls estava num arquivo zipado com senha.
Eu utilizava a planilha para guardar senhas, dados de login etc. de bancos, sites de compras, do fórum do Ubuntu, de sites públicos, etc...
Para vocês terem um ideia uma das senhas que eu guardava nessa planilha era a minha senha do Tesouro Direto onde eu tenho aplicações expressivas.
Durante mais de 15 dias essa senha e várias outras ficou a disposição de qualquer pessoa que lesse o conteúdo da minha pasta .cache  pois o arquivo A.xls não foi apagado.
Portanto segundo eu entendi toda vez que você abre uma arquivo que está compactado num arquivo tipo zip, ou tar , 7z, .rar protegido por senha ele pode ficar exposto por vários dias no seu cache.
Então eu pergunto, qual a utilidade da senha se o arquivo aberto vai para o cache e não é apagado?
A coisa piora quando sabemos que muitos usuários novos nem sabem da existência dessas pastas ocultas e não são advertidos desse risco.
Há alguma maneira do sistema deletar automaticamente essas subpastas criadas?
Eu sou o pior no que eu faço melhor. E por esta dádiva eu me sinto abençoado (Nirvana)

Cleiton Nunes

Bom... não sei te dizer se isso é uma falha, mas por hora eu te aconcelho a usar isto para guardar suas senhas:
https://apps.ubuntu.com/cat/applications/keepassx/
Trisquel GNU/Linux 7.0 http://trisquel.info/ on Intel i3, 8GB RAM, HD graphics 3000 and 500GB hard disk.

paulobelo

Citação de: Cleiton Nunes online 21 de Janeiro de 2015, 19:51
Bom... não sei te dizer se isso é uma falha, mas por hora eu te aconcelho a usar isto para guardar suas senhas:
https://apps.ubuntu.com/cat/applications/keepassx/
1Obrigado pela sugestão.
Eu utilizo o Keepass mas ainda estou migrando, não inclui todas as minhas senhas.
Mas o amigo há de convir que isso não resolve o problema porque os arquivos compactados não servem só para guardar senhas.
Além de fotos e filmes xxx pode haver documentos, planilhas e outras arquivos que vc desejar manter privativos.
Eu sou o pior no que eu faço melhor. E por esta dádiva eu me sinto abençoado (Nirvana)

Cleiton Nunes

#3
Citação de: paulobelo online 21 de Janeiro de 2015, 20:07
Citação de: Cleiton Nunes online 21 de Janeiro de 2015, 19:51
Bom... não sei te dizer se isso é uma falha, mas por hora eu te aconcelho a usar isto para guardar suas senhas:
https://apps.ubuntu.com/cat/applications/keepassx/
1Obrigado pela sugestão.
Eu utilizo o Keepass mas ainda estou migrando, não inclui todas as minhas senhas.
Mas o amigo há de convir que isso não resolve o problema porque os arquivos compactados não servem só para guardar senhas.
Além de fotos e filmes xxx pode haver documentos, planilhas e outras arquivos que vc desejar manter privativos.

Pois é, eu entendo. Se você tem arquivos muito importantes no compuador o ideal mesmo é fazer uma instalação do ubuntu com pasta /home criptografada, e sempre que for deixar o computador sozinho bloquear a tela para que ele pessa a senha depois. E/ou criar um perfil de usuário padrão no seu ubuntu que tenha restrição de acesso aos arquivos da sua conta de administrador caso outras pessoas usem o mesmo pc. Também não esqueça de fazer um backup na nuvem, claro, com um zip criptografado.
Trisquel GNU/Linux 7.0 http://trisquel.info/ on Intel i3, 8GB RAM, HD graphics 3000 and 500GB hard disk.

irtigor

#4
Citação de: paulobelo online 21 de Janeiro de 2015, 19:26
Falha de segurança?
Do sistema? Não.
Citação de: paulobelo online 21 de Janeiro de 2015, 19:26
Então eu pergunto, qual a utilidade da senha se o arquivo aberto vai para o cache e não é apagado?
Dependendo de como criou esse zip, é extremamente fácil de descobrir a senha, e o conteúdo nunca esteve realmente protegido. Se uma coisa é boa o suficiente, ou não, depende do fim.
Citação de: paulobelo online 21 de Janeiro de 2015, 19:26
Há alguma maneira do sistema deletar automaticamente essas subpastas criadas?
Até dá, se você souber qual é o programa que está criando o cache talvez tenha como desabilitá-lo, no pior caso também é possível criar um cronjob que apague o diretório a cada x minutos. Pro seu uso, o melhor é algo como o já sugerido keepass.

Adriano R.N.

Salve a planilha em odt com senha e veja se ocorre o "problema".
Boa sorte e Muito AXÉ!!!

paulobelo

#6
Talvez eu tenha me expressado mal.
Ou talvez a minha duvida seja "filosófica".
Porque um arquivo compactado tem uma senha ou melhor, porque a pessoa que criou o programa de compactação incluiu uma ferramenta de senha?
Para manter sigiloso o conteúdo do arquivo na hora de armazenar ou transferir, certo?
No segundo caso acho que a ferramenta cumpre o seu objetivo mas no primeiro caso se o conteúdo é extraído 1 vez ele vai para o cache do Ubuntu e fica totalmente desprotegido a partir daí e sem que os usuários, ou pelo menos a maioria deles, sequer desconfie.
Não creio que salvar o arquivo como odt ajude neste caso .
Quanto à segurança do arquivo zip sei que nada é 100% seguro, a senha desse arquivo tem 10 caracteres, maiúsculas, minusculas, números e símbolos escolhidos aleatoriamente.  
Acho que com um pouco de sorte resistiria bem a um ataque hacker usando a tática força bruta
Dezenas de anos ou mais já que são centenas de trilhões de combinações possíveis.
Mas no cache está completamente sem proteção.
Como eu faço para usar o cronjob de tal maneira que só delete as subpastas fr-...... da pasta .cache?
Eu sou o pior no que eu faço melhor. E por esta dádiva eu me sinto abençoado (Nirvana)

garfo

Deve ser um bug do ubuntu ou do fileroller do Gnome. O melhor a fazer nesse caso é ir no Launchpad e reportar.  :-\
Garfo -  linux
"Pra quê complicar? Facilidade e simplicidade é tudo!"

irtigor

Citação de: paulobelo online 21 de Janeiro de 2015, 23:13
Quanto à segurança do arquivo zip sei que nada é 100% seguro, a senha desse arquivo tem 10 caracteres, maiúsculas, minusculas, números e símbolos escolhidos aleatoriamente.  
Acho que com um pouco de sorte resistiria bem a um ataque hacker usando a tática força bruta
Dezenas de anos ou mais já que são centenas de trilhões de combinações possíveis.

Voce não intendeu, um zip padrão usa um método de criptografia que ha anos já foi mostrado que é falho. Tanto faz o tamanho da senha, e até onde sei - no linux - pra criar um zip com um bom método de criptografia só usando o p7zip.

paulobelo

Acho que vcs não entenderam a minha preocupação.
Eu não estou preocupado com a qualidade da criptografia do arquivo zip porque o meu problema é bem pior que isso.
Que me adianta uma criptografia de 1024 ou 4096 bits nesse caso?
O meu problema não é o arquivo zipado ser vulnerável, que a criptografia seja quebrada, não é isso.
O problema é que a informação que eu queria proteger vai para o cache do Ubuntu e lá fica sem criptografia nenhuma.
Entenderam? 
Eu sou o pior no que eu faço melhor. E por esta dádiva eu me sinto abençoado (Nirvana)

irtigor

Não tem relação nenhuma com quantidade de bit, e o meu ponto é que mesmo que não fosse pro cache, o que você colocou no zip nunca esteve protegido, você só achava que estava. Dependendo do que você estiver fazendo isso pode ser o suficiente, e nesse caso o cache não deve fazer diferença, agora se não acha razoável, não salvar em cache não vai resolver nada, você tem que usar outra ferramentas.

paulobelo

Não, eu não acho razoável.
E volto a reafirmar que o meu problema não é  nem nunca foi o nível de qualidade da criptografia do arquivo zipado.
Usar o  p7zip como você sugeriu não faria a menor diferença neste caso a não ser que o arquivo descriptografado e lido não fosse para o cache.
E sobre o número de caracteres da senha, é claro que faz diferença, é uma questão de análise combinatória, matemática.
O que eu gostaria é que um arquivo protegido por senha dentro de um arquivo compactado, seja qual for,  p7zip. zip, rar, sei lá não fosse para o cache do Ubuntu.
Ou uma forma de apagar automaticamente as subpastas a que eu me referi no primeiro post e que são criadas pelo sistema para armazenar os arquivos extraídos do arquivo  compactado.
Se o que eu quero fazer  não pode ser feito, paciência, vou procurar outra alternativa para guardar documentos diversos com senha sem que seja obrigado a deletar as subpastas manualmente toda vez que eu abro um arquivo sigiloso protegido por senha.
De qualquer maneira, obrigado a todos pelas informações e sugestões.
Eu sou o pior no que eu faço melhor. E por esta dádiva eu me sinto abençoado (Nirvana)

Cleiton Nunes

Citação de: paulobelo online 22 de Janeiro de 2015, 17:52
E sobre o número de caracteres da senha, é claro que faz diferença, é uma questão de análise combinatória, matemática.

Depende do algorítimo, se o algorítimo for uma M pode ter uma senha de um caralhazilhão de caracteres que mesmo assim não servirá de nada.

Mesmo que eu anote minhas senhas em um pedaço de papel não terei problemas se ninguém mais o ver. Por isso eu sugeri uma instalão do ubuntu com /home criptografada, é só cuidar pra nenhum pentelho fuçar no seu computador e está tudo certo.
De qualquer maneira, se isso for um bug creio que o launchpad é o local mais correto para reportar.
Trisquel GNU/Linux 7.0 http://trisquel.info/ on Intel i3, 8GB RAM, HD graphics 3000 and 500GB hard disk.

irtigor

Vou explicar de outra forma pra ver se assim fica claro: você tá colocando um cadeado na porta da frente, mas tá escondendo a chave na caixinha de correio, e todo mundo sabe e tem acesso a ela; não importa se agora você viu que a porta dos fundos só está encostada, trancá-la não vai mudar nada, se alguém quiser entrar vai conseguir facilmente. Zip normal com senha ou sem senha te fornecem o mesmo nível de segurança, com o p7zip dá pra criar um com AES (e de quebra, como não vai estar usando o compactador de arquivos padrão, ele não vai gerar esse cache), mas pelo seu uso o melhor é algo como keepass pra senhas e uma partição criptografada pro resto.

paulobelo

Consegui achar mais informação sobre isso.
O bug é do programa File Roller.
E ocorre quando o programa "fecha repentinamente" ou quando o micro é "desligado repentinamente".
Nesse caso os arquivos não são delatados automaticamente.
Isso acontece porque o File Roller armazena temporariamente os arquivos abertos numa pasta criada por ele "~/.cache/.fr-******" quando deveria
armazenar os arquivos em "/tmp"


Vejam a descrição do bug (em inglês);

https://bugs.launchpad.net/file-roller/+bug/883628

https://bugzilla.gnome.org/show_bug.cgi?id=541616

https://bugs.launchpad.net/ubuntu/+source/file-roller/+bug/245716

https://bugs.launchpad.net/ubuntu/+source/file-roller/+bug/883628

Vou usar um outro programa para abrir os arquivos zipados (o Xarchiver), desligar o micro pela tomada hehe e dar um feed back.
Eu sou o pior no que eu faço melhor. E por esta dádiva eu me sinto abençoado (Nirvana)