Cuidado com o programa Mail-Notification

Darcamo · 22 de Novembro de 2007, 14:11

Notei que o programa mail-notification guarda a senha de meus E-Mails em seu arquivo de configuração (~/.gnome2/mail-notification/mailboxes.xml) como texto puro. Embora esse arquivo esteja na minha pasta Home, com permissão de leitura e escrita apenas para mim, ainda sim não acho seguro que as senhas estejam lá como texto e isso faz com que me pergunte quais outros programas que uso estão na mesma situação.

No caso do meu computador que é usado apenas por mim não é problema, mas em uma empresa em que você não é o dono do computador? O administrador da rede, que certamente tem poderes de root, pode facilmente ler esses arquivos e ver essas senhas. Outra possibilidade é que algum programa fechado que você esteja usando poderia estar lendo esse arquivo sem que você saiba.

Será que não deveríamos "pegar no pé" dos desenvolvedores de programas que necessitem guardar senhas de alguma forma para que o façam de uma maneira mais segura?

Intrigado com isso tentei acessar o arquivo se configuração do gerenciador de senhas do gnome e fiquei feliz ao ver que esse sim (que é de extrema importância, na verdade o mais importante de todos) é criptografado.

livio · 22 de Novembro de 2007, 14:41

Muito boa a sua observação, é de se aplaudir usuários como você!

Agora só resta notificar essa falha aos desenvolvedores do programa para que sejam tomadas as devidas providências para sua correção.

koianiskatsi · 22 de Novembro de 2007, 17:20

e quanto as senhas que ficam em /etc/gshadow e em /etc/passwd devo me preocupar com elas?

Felix · 22 de Novembro de 2007, 21:07

outra velha:

Usuários do Firefox que gravam senhas nos navegadores, vão em "Edit - Preferences" depois "Security" e cliquem em "Show Passwords...", na próxima tela novamente há um botão "Show Passwords" e segurem-se nas cadeiras

Ps.: Coloquei em inglês porque nesse momento estou usando o Gran Paradiso, mas isso já era desde antes o 2.0.0.8 (que é outra versão que tenho aqui...

Para contornar um pouco isso é possível configurar uma senha mestra para ter acesso às outras senhas...

clcampos · 22 de Novembro de 2007, 21:15

Citação de: koianiskatsi online 22 de Novembro de 2007, 17:20
e quanto as senhas que ficam em /etc/gshadow e em /etc/passwd devo me preocupar com elas?

Bem, corrijam-me se estiver errado porque ai acerto meus conhecimentos, mas até onde eu entendi (ou li) é gravado apenas um código gerado usando a senha de base (tipo o md5) de forma que não tem como fazer o caminho contrário (ou seja, gerar a senha a partir da informação do arquivo /etc/shadow), então quando você digita sua senha o sistema gera o código e compara, se estiver igual esta tudo correto, caso contrário é senha inválida.

Se for mesmo assim não existe preocupações... ainda bem que coloquei um "se" no início da frase.

[]'s

Cristiano

koianiskatsi · 22 de Novembro de 2007, 21:18

Espero que sim.

Valeu pela explicação!

Felix · 22 de Novembro de 2007, 21:21

Posso ter entendido mal Cristiano, mas acho que para um "paranóico por segurança" (como eu) se preocuparia sim.
http://wiki.sintectus.com/bin/view/GrupoLinux/ArtigoCrackerSenha (só para citar um exemplo)

clcampos · 22 de Novembro de 2007, 21:49

Citação de: Felix online 22 de Novembro de 2007, 21:21
Posso ter entendido mal Cristiano, mas acho que para um "paranóico por segurança" (como eu) se preocuparia sim.
http://wiki.sintectus.com/bin/view/GrupoLinux/ArtigoCrackerSenha (só para citar um exemplo)

Felix vou te deixar mais preocupado ainda.

Quem tem a impressão de viver em segurança (digital) hoje em dia é alguém totalmente iludido (eu não posso dizer que não faço parte deste time). Nada é 100% perfeito, nada é 100% seguro, nada! Absolutamente nada! E se você esta ligado à internet é ainda pior!

hehehe... tá mais preocupado agora?

Mas o que mais define seu nível de segurança é você mesmo, o máximo que o sistema pode fazer é ser o mais correto possível, mas o que adiantaria o sistema ser assim se sua senha for seu nome? Ou Deus? Ou sua data de nascimento?

Portanto volto a dizer que o esquema de senhas do Linux é ótimo, e seu texto só comprovou o que eu falei. Você não consegue pegar o arquivo /etc/shadow e simplesmente achar as senhas dos usuários pegando as informações que estão lá, mas é evidente que você pode ficar tentando fazer o mesmo caminho do sistema, ou seja, testar possíveis senhas uma a uma.

Parte do texto acessado através do link passado pelo Felix

Citar....
Nota: qualquer senha pode ser quebrada. Entretanto, uma senha forte poderá levar um tempo inviável – tempo em que provavelmente o responsável pela senha já alterou a senha ou até mesmo faleceu.
....

Portanto Felix crie uma senha de um bom tamanho, misturando letras e números (e letras de novo), letras maiúsculas e minúsculas, e ai a pessoa já terá que acessar seu sistema, copiar seu arquivo /etc/shadow, e ainda ter que gastar um tempo enorme (talvez inviável) para tentar descobrir sua senha.

Portanto se você não for o Bill Gates (e o invasor estiver querendo pegar os fontes do Windows no seu PC com Linux), ou alguém bem rico que valha a pena roubar as senhas do banco, ou algo importante será muito difícil que alguém tenha o trabalho de conseguir sua senha de login.

Mas se sua senha for Deus (não vale correr e mudar, por favor!... hehehe) reze muito, porque a fé remove montanhas.

[]'s

Cristiano

obs.: a sim, obrigado pelo texto, afinal ao menos vi que meus conhecimentos sobre senha estavam corretos.

Darcamo · 22 de Novembro de 2007, 23:29

Já tinha ouvido falar do caso das senhas do firefox, mas nesse caso é necessário que a pessoa saiba sua senha do linux para logar na sua conta (eu sempre travo quando saio da frente do computador), abrir o firefox e então visializar as senhas. Mas acretido que essas senhas sejam criptografadas quando gravadas e mesmo que alguém saiba em que arquivo elas ficam e esse alguém tenha a senha de root para poder ler esse arquivo, ele não conseguiria pegar a senha.

Mas no caso do mail-notification não precisa conhecer a sua senha, só a de root, já que apenas você e o root podem ver o conteúdo desse arquivo. E como ele está em texto puro, a pessoa com senha de root poderia ver facilmente sua senha. Mesmo que não precise se preocupar com a senha de root (se você é o administrador e o único que sabe a senha) ainda tem o caso de um programa que você esteja usando e que seja fechado (digamos, por exemplo, o skype) possa ler esse arquivo tranquilamente.

Ahh, lembrei de outro detalhe. Na verdade qualquer usuário que possa usar o sudo teria o mesmo efeito que ter a senha de root. Logo, muita gente pode ver esse arquivo.

Chucknoris · 22 de Novembro de 2007, 23:56

Isso é preocupante no sentido de um outro programa do repositorio não oficial por exemplo ler esse arquivo e enviar para fora do computador pela internet, seria como um virus do windows... ou será que isso é impossivel???

koianiskatsi · 22 de Novembro de 2007, 23:57

EU também SEMPRE METO UM CRTL + ALT + L. QUERO VER ALGUÉM DESCOBRIR MINHA SENHA SÓ MINHA MULHER. MESMO ASSIM ELA PERGUNTA SEMPRE.... PQ? PQ NÃO CONSEGUE DECORAR.

koianiskatsi · 23 de Novembro de 2007, 00:00

ACHO QUE ISSO AINDA NÃO SE PROCEDE EM NOSSO SISTEMA. PELO MENOS EU ACHO. DIZEM QUE NÃO EXISTE VÍRUS PARA LINUX. ISSO É MENTIRA. É FÁCIL CRIAR UM VÍRUS PARA LINUX. O PROBLEMA É INSTALAR ESSE VÍRUS NA MÁQUINA. A NÃO SER QUE ACONTEÇA COMO NOSSO A IGO ACIMA DISSE. E se um programa do repositório não oficial enviasse essas informações?

Chucknoris · 23 de Novembro de 2007, 00:10

Pelo menos no linux o codigo fonte é aberto, assim outros programadores podem ver como ele funciona, mas ainda fico meio encabulado com os programas de repositórios não oficiais.

koianiskatsi · 23 de Novembro de 2007, 00:41

tenho alguns programas de repositórios não aficiais instalado aqui E nunca perdi uma conta de e-mail nem de nada. ja quando usava Window$, perdi um gmail e um hotmail. se bem que um hotmail num faz muita falta. eu nunca fui de usa-lo a não ser no menssageiro. ja o gmail, eu uso pra tudo. hotmail..... eu nem entro no site.

AquaMan · 23 de Novembro de 2007, 11:06

Citação de: clcampos online 22 de Novembro de 2007, 21:49
...
Portanto Felix crie uma senha de um bom tamanho, misturando letras e números (e letras de novo), letras maiúsculas e minúsculas, e ai a pessoa já terá que acessar seu sistema, copiar seu arquivo /etc/shadow, e ainda ter que gastar um tempo enorme (talvez inviável) para tentar descobrir sua senha.

Portanto se você não for o Bill Gates (e o invasor estiver querendo pegar os fontes do Windows no seu PC com Linux), ou alguém bem rico que valha a pena roubar as senhas do banco, ou algo importante será muito difícil que alguém tenha o trabalho de conseguir sua senha de login.

Mas se sua senha for Deus (não vale correr e mudar, por favor!... hehehe) reze muito, porque a fé remove montanhas.

[]'s

Cristiano

obs.: a sim, obrigado pelo texto, afinal ao menos vi que meus conhecimentos sobre senha estavam corretos.

Cristiano,
outro dia eu estava lutando para fazer meu note conectar com a Internet, em casa, e segui vários tutoriais, fuxiquei vários arquivos de configuração, e tal, e para minha surpresa, em dado momento, me deparei com um arquivo de configuração do pppoeconf onde a minha senha de conexão com meu provedor estava lá, clara e limpa, pra quem quisesse ver.

O arquivo dedo-duro é o /etc/ppp/chap-secrets. Dá uma conferida lá e veja se não é isso mesmo. Tem que abrir como root, ok, mas a senha não está criptografada.

Eu estranhei muito isso, e vem um pouco de encontro ao que está no artigo passado como link pelo colega Felix.

Abraços!

Cuidado com o programa Mail-Notification

Darcamo

Darcamo