Skype načítá /etc/passwd
27. 8. 2007 13:38
Petr Krčmář
Uživatelé Skype zjistili, že novější verze tohoto populárního nástroje pro telefonování přes internet načítá /etc/passwd a profil Firefoxu. Tuto činnost objevil bezpečnostní nástroj AppArmor, ale byla potvrzena i programem strace, konkrétně u Skype verzí 1.4.0.94 a 1.4.0.99. Slashdot o tomto zjištění informoval a dodává: „Tento problém ukazuje, jak důležité je využívat AppArmor na všechny uzavřené aplikace v Linuxu.”
Zřejmě jde ale o příliš nafouknutou bublinu, protože v souboru /etc/passwd není obvykle nic, co by si nemohla jakákoliv aplikace přečíst. Podle komentářů na Slashdotu zřejmě Skype jen „zjišťuje pravé jméno uživatele”, které je také součástí informací uložených v tomto souboru. Žádné bezpečnostní riziko nehrozí, protože dnes všechny rozumné systémy ukládají hesla šifrovaná do běžně nepřístupného souboru /etc/shadow. V profilu Firefoxu pak Skype podle všeho hledá svůj vlastní plugin.
Dále čtěte…
- IP adresy uživatelů Skype 30. 4. 2012 8:08
- Skype 5.5 zbaven GUI 28. 3. 2012 9:15
- Téměř čtvrtina mezinárodních hovorů je uskutečněna pomocí Skype 13. 1. 2012 15:02
- DUALphone 3088: pevná linka i Skype v jednom 11. 10. 2011 0:00
- EU posvětila koupi Skype společností Microsoft 10. 10. 2011 15:02
ruza (neregistrovaný)
27. 8. 2007 13:52
Nový
bublina .o(plop)
celé vlákno
/etc/passwd kontroluji pod Linuxem ruzne programy uplne bezne.
aura:51
27. 8. 2007 14:01
Nový
Re: bublina .o(plop)
celé vlákno
me to prijde jak kdybych mel rvat "nejaka aplikace mi ve windows leze do registru - to je DES!!!"
to je fakt uchylny - jako fakt by me zajimalo co si v /etc/passwd precte zajimavyho
to je fakt uchylny - jako fakt by me zajimalo co si v /etc/passwd precte zajimavyho
uživatel si přál zůstat v anonymitě
27. 8. 2007 14:24
Nový
Re: bublina .o(plop)
celé vlákno
Na druhou stranu, pokud mam LDAP uzivatele, tak je skypu seznam z /etc/passwd nahouby. On by spravne nemel do /etc/passwd pristupovat primo, ale mel by pouzivat obecne funkce na zjistovani seznamu uzivatelu. Jinak je otazka, co pak se seznamem z /etc/passwd dela a take co presne hleda ve Firefox profilu (ja tam mam napriklad ulozeny hesla pro web pristupy, samozrejme zaheslovana, rekl bych, dostatecne silnym heslem). Ale i tak mam skype v chrootu, kde krome nejnutnejsich knihoven a pribindovanyho /tmp/.X11-unix nic jineho neni.
pht (neregistrovaný)
27. 8. 2007 14:40
Nový
Re: bublina .o(plop)
celé vlákno
A zjistil nekdo, ze na LDAP stanici se nehrabe na LDAP? Podle mne pouziva normalniho volani glibc pro pristup k passwd databazi a ta pouzije cokoliv je nakonfigurovano v nsswitch.conf. Obvykle je tam i "files", coz pak v strace vygeneruje pristup do /etc/passwd. Schvalne, jestli po smazani "files" z nsswitch.conf prestane skype a dalsi utility "hackovat system"... :)
ABC (neregistrovaný)
27. 8. 2007 15:16
Nový
Re: bublina .o(plop)
celé vlákno
Jenom zvedavost: ten /tmp/.X11-unix je tam kvuli tomu, aby mohl normalne bezet ve stejnych XWindows jako ostatni programy? Jestli ano, tak jak se to dela? Jak jsem si ted overil, tak je to socket... Diky
Bilbo (neregistrovaný)
27. 8. 2007 15:43
Nový
Re: bublina .o(plop)
celé vlákno
Ja to resim tak, ze mam extra uzivatele a skype poustim pod nim. Ten extra uzivatel pak samozrejme nema pristup vicemene nikde (krome X serveru, nebot to poustim pres xsu)
Asi to neni tak bezpecny jako chroot (do /etc/passwd furt muze) ale zase nehrozi ze by zaposoval nebo byt i jenom cetl data z ostatnich uctu ("chmod 700 $HOME" to jisti :)
Asi to neni tak bezpecny jako chroot (do /etc/passwd furt muze) ale zase nehrozi ze by zaposoval nebo byt i jenom cetl data z ostatnich uctu ("chmod 700 $HOME" to jisti :)
christos (neregistrovaný)
28. 8. 2007 12:53
Nový
Re: bublina .o(plop)
celé vlákno
presne.
$ ll /etc/passwd
-rw-r--r-- 1 root root 117332 Aug 28 05:56 /etc/passwd
ak dakto chape tie r-ka tak potom je to hadam jasne (hadam to posledne). a to je takto na kazdom systeme.
$ ll /etc/passwd
-rw-r--r-- 1 root root 117332 Aug 28 05:56 /etc/passwd
ak dakto chape tie r-ka tak potom je to hadam jasne (hadam to posledne). a to je takto na kazdom systeme.
McBig (neregistrovaný)
27. 8. 2007 14:10
Nový
Joo a ne...
celé vlákno
Pravdou je.. ze v passwd je jen seznam uzivatelu a max cisla skupin... a taky shell a domovsky adresar ostatnich uzivatelu... pro bezny desktop nic duleziteho... ale sem zvedavej.. jak by se na otevreni tohoto souboru koukali takovi admini serveru... kdyz jednim z nejcastejcich utoku, spociva v uhadnuti hesla ruznych uzivatelu... a pokud mate seznam uzivatelu... jde jen o to uhadnout hesla jiz znamych "pouzitelnych" (maji shell) uzivatelu.
To ze skype kouka kam muze a nedela nic nekaleho je jena vec... ovsem to jestli toho zneuziva nebo ne... uz je vec druha. Fakt je ze duverovat progamatorovi / adminovi v mnoha pripadech proste musite..., ale to na bezpecnostim riziku nic nemeni.
To ze skype kouka kam muze a nedela nic nekaleho je jena vec... ovsem to jestli toho zneuziva nebo ne... uz je vec druha. Fakt je ze duverovat progamatorovi / adminovi v mnoha pripadech proste musite..., ale to na bezpecnostim riziku nic nemeni.
Dave (neregistrovaný)
27. 8. 2007 14:13
Nový
Re: Joo a ne...
celé vlákno
no, mozna se najde i uzivatel, ktery ma stejne heslo do systemu i do skype, tak proc to nezkusit ;-)
wire (neregistrovaný)
28. 8. 2007 14:06
Nový
Re: Joo a ne...
celé vlákno
ak ma niekto v sebe malicku davku paranoie, tak nepouziva rovnake hesla do systemu a do IM ktore si hesla uchovavaju v boh vie akom formate u seba v db.
Rovnako ako ked niektore weby vyzaduju miesto loginu prihlasovanie pomocou emailovej adresy je blbost pouzit pre pristup k tekemuto webu rovnake heslo ako je heslo k danemu emailovemu uctu ktory sluzi ako login.
co sa tyka uchadnutia hesiel to uz predpokladam nikto normalny so zdravym rozumom nerobi. Snad mimo automatickych botov.
Nehovorim o tom ze spravca OS si sam urcuje hesla pripadne min. zlozitost hesla jeho pouzivatelov.
Za dalsie k comu bude skypu login/pass na ucet na nejaky linuxovy desktop ktory je este k tomu z 90% bud s dynamickou IP alebo za natom.
ja by som osobne spal kludne ;)
Rovnako ako ked niektore weby vyzaduju miesto loginu prihlasovanie pomocou emailovej adresy je blbost pouzit pre pristup k tekemuto webu rovnake heslo ako je heslo k danemu emailovemu uctu ktory sluzi ako login.
co sa tyka uchadnutia hesiel to uz predpokladam nikto normalny so zdravym rozumom nerobi. Snad mimo automatickych botov.
Nehovorim o tom ze spravca OS si sam urcuje hesla pripadne min. zlozitost hesla jeho pouzivatelov.
Za dalsie k comu bude skypu login/pass na ucet na nejaky linuxovy desktop ktory je este k tomu z 90% bud s dynamickou IP alebo za natom.
ja by som osobne spal kludne ;)
repulsive (neregistrovaný)
27. 8. 2007 14:14
Nový
/etc/passwd
celé vlákno
pomóc, psi, gajim i pidgin mi ho čtou taky..
repulsive (neregistrovaný)
27. 8. 2007 14:17
Nový
Re: /etc/passwd
celé vlákno
říkal jsem si, že je to jen otázka hodin, kdy bude tenhle slashdotí článek zrootován :)
aura:100
27. 8. 2007 14:34
Nový
Re: /etc/passwd
celé vlákno
Hm, a vis, co ty programy pak s temi udaji provadi? Mozna ne, ale mas moznost si to zjistit (teda aspon predpokladam, ze uvedene programy maji pristupne zdrojove kody ;-) ). A mas tuto moznost u Skypu? Jsem si jisty, ze ne.
Ale z druheho soudku: zatim se tu vsichni "zhrozili" nad tim, ze cte /etc/passwd, kdyz z neho "nic" nevycte (McBig ma pravdu). Jenze on cte taky profil FireFoxu a ten prece ma ulozena hesla, ktera musi umet rozsifrovat, aby je mohl vlozit do prihlasovacich formularu. Kde jsou ta hesla ulozena? Nejsou prave v tom profilu? Nebo to cele funguje jinak? Opravdu nevim, proto se ptam.
David
Ale z druheho soudku: zatim se tu vsichni "zhrozili" nad tim, ze cte /etc/passwd, kdyz z neho "nic" nevycte (McBig ma pravdu). Jenze on cte taky profil FireFoxu a ten prece ma ulozena hesla, ktera musi umet rozsifrovat, aby je mohl vlozit do prihlasovacich formularu. Kde jsou ta hesla ulozena? Nejsou prave v tom profilu? Nebo to cele funguje jinak? Opravdu nevim, proto se ptam.
David
pht (neregistrovaný)
27. 8. 2007 14:38
Nový
Re: /etc/passwd
celé vlákno
Hesla tam asi budou, ale obvykle jsou zasifrovana minimalne master heslem.
Bilbo (neregistrovaný)
27. 8. 2007 15:47
Nový
Re: /etc/passwd
celé vlákno
Nemuseji byt. Pokud je cely $HOME na sifrovanem disku, tak pak lze master heslo vypustit (za predpokladu ze nepouzivam programy ktere delaji neco co nemam pod kontrolou)
a k heslum se stejne nikdo nedostane pokud pocitac zrovna nebezi.
(Nebo pokud je uzivatel BFU, ale to je pak o necem jinem :)
a k heslum se stejne nikdo nedostane pokud pocitac zrovna nebezi.
(Nebo pokud je uzivatel BFU, ale to je pak o necem jinem :)
repulsive (neregistrovaný)
27. 8. 2007 15:53
Nový
Re: /etc/passwd
celé vlákno
myslím, že málokdo bude spouštět skype s odpojeným /home
a dále si myslím, že používání zkratky BFU něco trochu svědčí o pisateli
a dále si myslím, že používání zkratky BFU něco trochu svědčí o pisateli
martin (neregistrovaný)
27. 8. 2007 17:28
Nový
Re: /etc/passwd
celé vlákno
Jojo... není nad to mít v Epiphany naimportovaný ssh certifikát... To jsou pak hesla šifrovaná celkem bezpečně... ;-)
repulsive (neregistrovaný)
27. 8. 2007 14:47
Nový
Re: /etc/passwd
celé vlákno
máš pravdu, já jsem narážel hlavně na zmínku o /etc/passwd v titulku. hesla ve firefoxu sice neukládám, ale taky by se mi nelíbilo šťourání v bookmarcích a historii mého webového prohlížeče.
27. 8. 2007 14:51
Nový
Re: uTorrentRe: /etc/passwd
celé vlákno
Hesla nejdou jen tak rozsifrovat. Jedna se o jednosmerne kodovani, kdy se heslo prevede podle jisteho algoritmu podobnemu hashovaci funkci, kdy ma jakekoli heslo ve vyslednem prekodovanem tvaru vzdy stejnou velikost. Vlastnosti algoritmu je, ze nelze postupovat opacne ze zakodovaneho stavu k puvodnimu. Pokud to zkusis, tak zjistis, ze dostanes nekonecne mnoho moznych vysledku :) Funguje to tak, ze se heslo zakoduje do takovehoto hashe, ten se ulozi a pri kazdem zadavani hesla se ono pokazde opet koduje a porovnava s ulozenym.
repulsive (neregistrovaný)
27. 8. 2007 14:55
Nový
Re: uTorrentRe: /etc/passwd
celé vlákno
ve skutečnosti se nejedná o kódování, ale o šifrování
27. 8. 2007 15:05
Nový
Re: uTorrentRe: /etc/passwd
celé vlákno
ze je to sifrovani si prave nemyslim, nebot to nelze rozsifrovat ani se specialni znalosti. avsak je pravda, ze slovo kodovani taky neni nejvic trefne, ale nic abstraktnejsiho me nenapada :)
repulsive (neregistrovaný)
27. 8. 2007 15:44
Nový
Re: uTorrentRe: /etc/passwd
celé vlákno
měl jsem nutkání slovíčkařit, nevšiml jsem si, že "šifrovat" jsi tam aspoň jednou použil. asi máš pravdu, je to solené hashování. nakoukl jsem do manuálové stánky cryptu a trochu se podivuju nad tím, že linux crypt ještě používá md5 algoritmus, ale snad se pletu..
aura:100
27. 8. 2007 15:06
Nový
Re: uTorrentRe: /etc/passwd
celé vlákno
O tomhle systemu sifrovani (ano, sifrovani, spatne jsem se vyjadril) vim, ale kdyz si otevru Spravce hesel, umi mi hesla zobrazit. A do formularu mi heslo dosadi, takze ho nemusim zadavat rucne.
Takze to asi tak uplne jednosmerne nebude. Teda, to sifrovani samozrejme ano, ale asi pro lokalni ukladani hesel neni pouzito. Nebo je to jinak?
David
Takze to asi tak uplne jednosmerne nebude. Teda, to sifrovani samozrejme ano, ale asi pro lokalni ukladani hesel neni pouzito. Nebo je to jinak?
David
repulsive (neregistrovaný)
27. 8. 2007 15:46
Nový
Re: uTorrentRe: /etc/passwd
celé vlákno
jeden o koze a druhý o voze :)
aura:100
repulsive (neregistrovaný)
27. 8. 2007 16:10
Nový
Re: uTorrentRe: /etc/passwd
celé vlákno
no, titulek vlákna napoví :)
27. 8. 2007 22:06
Nový
Re: uTorrentRe: uTorrentRe: /etc/passwd
celé vlákno
jj, prehlidl jsme, ze mluvis o firefoxu, promin :)
Jirka (neregistrovaný)
2. 9. 2007 9:51
Nový
Re: uTorrentRe: /etc/passwd
celé vlákno
Slovnikovym utokem celkem v pohode :(.
Jerry (neregistrovaný)
27. 8. 2007 14:34
Nový
Firefox profile?
celé vlákno
Ad passwd no comment, ale za zmienku vsak stoji Firefox profile... tam by sa nasli zaujimave info.
ingdragon (neregistrovaný)
27. 8. 2007 14:58
Nový
pouzivam voip volam zdarma
celé vlákno
pouzivam voip volam zdarma po svete viz http://ingdragon.wz.cz
Jouda (neregistrovaný)
27. 8. 2007 17:02
Nový
Re: pouzivam voip volam zdarma
celé vlákno
tak si to uzij a neprud. ten web je fakt tragicky.
uživatel si přál zůstat v anonymitě
27. 8. 2007 15:11
Nový
:)
celé vlákno
a co na to uzivatele Opery ? :)
a asi je cas prejit na Gizmo ;)
a asi je cas prejit na Gizmo ;)
repulsive (neregistrovaný)
27. 8. 2007 15:34
Nový
Re: :)
celé vlákno
neříkám, že to znamená, že je gizmo horší, ale na naší síti oproti skype není úspěšný v hledání cestiček skrz firewall.
glx (neregistrovaný)
27. 8. 2007 16:20
Nový
nebyl bych tak klidny
celé vlákno
Buhvico Skype jeste dela - jen obcas, aby to nebylo napadne :-))
Pokud data z /etc/passwd nekam posle, mohla by pro nekoho byt zajimava minimalne cela jmena, ktera tam jsou uvedena a co ja vim - treba i to, jaky je k nim v radce prirazen shell. Problem neni v tom, ze se tam diva, problem je v tom, ze nelze nijak uhlidat, zda ta data nekam neposila. Uz to samo o sobe je v mem pripade urcujici: Skype na mem PC v zadnem pripade.
Pokud data z /etc/passwd nekam posle, mohla by pro nekoho byt zajimava minimalne cela jmena, ktera tam jsou uvedena a co ja vim - treba i to, jaky je k nim v radce prirazen shell. Problem neni v tom, ze se tam diva, problem je v tom, ze nelze nijak uhlidat, zda ta data nekam neposila. Uz to samo o sobe je v mem pripade urcujici: Skype na mem PC v zadnem pripade.
pht (neregistrovaný)
27. 8. 2007 16:38
Nový
Re: nebyl bych tak klidny
celé vlákno
Stejne tak to neuhlidas u flash player pluginu. Ten na PC mas? :)
jirib (neregistrovaný)
27. 8. 2007 21:42
Nový
Re: nebyl bych tak klidny
celé vlákno
nemam :) protoze to neni opensource a na openbsd to nejede :) stejne, flash je pro zebraky, co neumi udelat normalni web :)
uživatel si přál zůstat v anonymitě
27. 8. 2007 21:45
Nový
Re: nebyl bych tak klidny
celé vlákno
nie, nemam, na flash a skype mam Windows XP nejaku edition vo virtual boxe
ten svina fles mi nechodi na AMD64 :) a tak je to spravne ...
ten svina fles mi nechodi na AMD64 :) a tak je to spravne ...
