Skype načítá /etc/passwd

27. 8. 2007

Uživatelé Skype zjistili, že novější verze tohoto populárního nástroje pro telefonování přes internet načítá /etc/passwd a profil Firefoxu. Tuto činnost objevil bezpečnostní nástroj AppArmor, ale byla potvrzena i programem strace, konkrétně u Skype verzí 1.4.0.94 a 1.4.0.99. Slashdot o tomto zjištění informoval a dodává: „Tento problém ukazuje, jak důležité je využívat AppArmor na všechny uzavřené aplikace v Linuxu.”

Zřejmě jde ale o příliš nafouknutou bublinu, protože v souboru /etc/passwd není obvykle nic, co by si nemohla jakákoliv aplikace přečíst. Podle komentářů na Slashdotu zřejmě Skype jen „zjišťuje pravé jméno uživatele”, které je také součástí informací uložených v tomto souboru. Žádné bezpečnostní riziko nehrozí, protože dnes všechny rozumné systémy ukládají hesla šifrovaná do běžně nepřístupného souboru /etc/shadow. V profilu Firefoxu pak Skype podle všeho hledá svůj vlastní plugin.

Našli jste v článku chybu?

Zasílat nově přidané názory e-mailem

Aktualita je stará, nové názory již nelze přidávat.

27. 8. 2007 13:52

ruza (neregistrovaný)

/etc/passwd kontroluji pod Linuxem ruzne programy uplne bezne.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:01

bez přezdívky

me to prijde jak kdybych mel rvat "nejaka aplikace mi ve windows leze do registru - to je DES!!!"

to je fakt uchylny - jako fakt by me zajimalo co si v /etc/passwd precte zajimavyho
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:24

anonymní

Na druhou stranu, pokud mam LDAP uzivatele, tak je skypu seznam z /etc/passwd nahouby. On by spravne nemel do /etc/passwd pristupovat primo, ale mel by pouzivat obecne funkce na zjistovani seznamu uzivatelu. Jinak je otazka, co pak se seznamem z /etc/passwd dela a take co presne hleda ve Firefox profilu (ja tam mam napriklad ulozeny hesla pro web pristupy, samozrejme zaheslovana, rekl bych, dostatecne silnym heslem). Ale i tak mam skype v chrootu, kde krome nejnutnejsich knihoven a pribindovanyho /tmp/.X11-unix nic jineho neni.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:40

pht (neregistrovaný)

A zjistil nekdo, ze na LDAP stanici se nehrabe na LDAP? Podle mne pouziva normalniho volani glibc pro pristup k passwd databazi a ta pouzije cokoliv je nakonfigurovano v nsswitch.conf. Obvykle je tam i "files", coz pak v strace vygeneruje pristup do /etc/passwd. Schvalne, jestli po smazani "files" z nsswitch.conf prestane skype a dalsi utility "hackovat system"... :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:03

repulsive (neregistrovaný)

dobrá práce ..
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:16

ABC (neregistrovaný)

Jenom zvedavost: ten /tmp/.X11-unix je tam kvuli tomu, aby mohl normalne bezet ve stejnych XWindows jako ostatni programy? Jestli ano, tak jak se to dela? Jak jsem si ted overil, tak je to socket... Diky
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:43

Bilbo (neregistrovaný)

Ja to resim tak, ze mam extra uzivatele a skype poustim pod nim. Ten extra uzivatel pak samozrejme nema pristup vicemene nikde (krome X serveru, nebot to poustim pres xsu)

Asi to neni tak bezpecny jako chroot (do /etc/passwd furt muze) ale zase nehrozi ze by zaposoval nebo byt i jenom cetl data z ostatnich uctu ("chmod 700 $HOME" to jisti :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 8. 2007 12:53

christos (neregistrovaný)

presne.

$ ll /etc/passwd
-rw-r--r-- 1 root root 117332 Aug 28 05:56 /etc/passwd

ak dakto chape tie r-ka tak potom je to hadam jasne (hadam to posledne). a to je takto na kazdom systeme.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:10

McBig (neregistrovaný)

Pravdou je.. ze v passwd je jen seznam uzivatelu a max cisla skupin... a taky shell a domovsky adresar ostatnich uzivatelu... pro bezny desktop nic duleziteho... ale sem zvedavej.. jak by se na otevreni tohoto souboru koukali takovi admini serveru... kdyz jednim z nejcastejcich utoku, spociva v uhadnuti hesla ruznych uzivatelu... a pokud mate seznam uzivatelu... jde jen o to uhadnout hesla jiz znamych "pouzitelnych" (maji shell) uzivatelu.

To ze skype kouka kam muze a nedela nic nekaleho je jena vec... ovsem to jestli toho zneuziva nebo ne... uz je vec druha. Fakt je ze duverovat progamatorovi / adminovi v mnoha pripadech proste musite..., ale to na bezpecnostim riziku nic nemeni.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:13

Dave (neregistrovaný)

no, mozna se najde i uzivatel, ktery ma stejne heslo do systemu i do skype, tak proc to nezkusit ;-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
28. 8. 2007 14:06

wire (neregistrovaný)

ak ma niekto v sebe malicku davku paranoie, tak nepouziva rovnake hesla do systemu a do IM ktore si hesla uchovavaju v boh vie akom formate u seba v db.

Rovnako ako ked niektore weby vyzaduju miesto loginu prihlasovanie pomocou emailovej adresy je blbost pouzit pre pristup k tekemuto webu rovnake heslo ako je heslo k danemu emailovemu uctu ktory sluzi ako login.

co sa tyka uchadnutia hesiel to uz predpokladam nikto normalny so zdravym rozumom nerobi. Snad mimo automatickych botov.
Nehovorim o tom ze spravca OS si sam urcuje hesla pripadne min. zlozitost hesla jeho pouzivatelov.

Za dalsie k comu bude skypu login/pass na ucet na nejaky linuxovy desktop ktory je este k tomu z 90% bud s dynamickou IP alebo za natom.

ja by som osobne spal kludne ;)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:14

repulsive (neregistrovaný)

pomóc, psi, gajim i pidgin mi ho čtou taky..
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:17

repulsive (neregistrovaný)

říkal jsem si, že je to jen otázka hodin, kdy bude tenhle slashdotí článek zrootován :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:34

David

Hm, a vis, co ty programy pak s temi udaji provadi? Mozna ne, ale mas moznost si to zjistit (teda aspon predpokladam, ze uvedene programy maji pristupne zdrojove kody ;-) ). A mas tuto moznost u Skypu? Jsem si jisty, ze ne.

Ale z druheho soudku: zatim se tu vsichni "zhrozili" nad tim, ze cte /etc/passwd, kdyz z neho "nic" nevycte (McBig ma pravdu). Jenze on cte taky profil FireFoxu a ten prece ma ulozena hesla, ktera musi umet rozsifrovat, aby je mohl vlozit do prihlasovacich formularu. Kde jsou ta hesla ulozena? Nejsou prave v tom profilu? Nebo to cele funguje jinak? Opravdu nevim, proto se ptam.

David
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:38

pht (neregistrovaný)

Hesla tam asi budou, ale obvykle jsou zasifrovana minimalne master heslem.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:47

Bilbo (neregistrovaný)

Nemuseji byt. Pokud je cely $HOME na sifrovanem disku, tak pak lze master heslo vypustit (za predpokladu ze nepouzivam programy ktere delaji neco co nemam pod kontrolou)
a k heslum se stejne nikdo nedostane pokud pocitac zrovna nebezi.

(Nebo pokud je uzivatel BFU, ale to je pak o necem jinem :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:53

repulsive (neregistrovaný)

myslím, že málokdo bude spouštět skype s odpojeným /home
a dále si myslím, že používání zkratky BFU něco trochu svědčí o pisateli
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 17:28

martin (neregistrovaný)

Jojo... není nad to mít v Epiphany naimportovaný ssh certifikát... To jsou pak hesla šifrovaná celkem bezpečně... ;-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:47

repulsive (neregistrovaný)

máš pravdu, já jsem narážel hlavně na zmínku o /etc/passwd v titulku. hesla ve firefoxu sice neukládám, ale taky by se mi nelíbilo šťourání v bookmarcích a historii mého webového prohlížeče.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:51

dwbmb

Hesla nejdou jen tak rozsifrovat. Jedna se o jednosmerne kodovani, kdy se heslo prevede podle jisteho algoritmu podobnemu hashovaci funkci, kdy ma jakekoli heslo ve vyslednem prekodovanem tvaru vzdy stejnou velikost. Vlastnosti algoritmu je, ze nelze postupovat opacne ze zakodovaneho stavu k puvodnimu. Pokud to zkusis, tak zjistis, ze dostanes nekonecne mnoho moznych vysledku :) Funguje to tak, ze se heslo zakoduje do takovehoto hashe, ten se ulozi a pri kazdem zadavani hesla se ono pokazde opet koduje a porovnava s ulozenym.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:55

repulsive (neregistrovaný)

ve skutečnosti se nejedná o kódování, ale o šifrování
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:05

dwbmb

ze je to sifrovani si prave nemyslim, nebot to nelze rozsifrovat ani se specialni znalosti. avsak je pravda, ze slovo kodovani taky neni nejvic trefne, ale nic abstraktnejsiho me nenapada :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:44

repulsive (neregistrovaný)

měl jsem nutkání slovíčkařit, nevšiml jsem si, že "šifrovat" jsi tam aspoň jednou použil. asi máš pravdu, je to solené hashování. nakoukl jsem do manuálové stánky cryptu a trochu se podivuju nad tím, že linux crypt ještě používá md5 algoritmus, ale snad se pletu..
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:06

David

O tomhle systemu sifrovani (ano, sifrovani, spatne jsem se vyjadril) vim, ale kdyz si otevru Spravce hesel, umi mi hesla zobrazit. A do formularu mi heslo dosadi, takze ho nemusim zadavat rucne.

Takze to asi tak uplne jednosmerne nebude. Teda, to sifrovani samozrejme ano, ale asi pro lokalni ukladani hesel neni pouzito. Nebo je to jinak?

David
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:46

repulsive (neregistrovaný)

jeden o koze a druhý o voze :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:56

David

Proc myslis? :-)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 16:10

repulsive (neregistrovaný)

no, titulek vlákna napoví :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 22:06

dwbmb

jj, prehlidl jsme, ze mluvis o firefoxu, promin :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
2. 9. 2007 9:51

Jirka (neregistrovaný)

Slovnikovym utokem celkem v pohode :(.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:34

Jerry (neregistrovaný)

Ad passwd no comment, ale za zmienku vsak stoji Firefox profile... tam by sa nasli zaujimave info.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 14:58

ingdragon (neregistrovaný)

pouzivam voip volam zdarma po svete viz http://ingdragon.wz.cz
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 17:02

Jouda (neregistrovaný)

tak si to uzij a neprud. ten web je fakt tragicky.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:11

anonymní

a co na to uzivatele Opery ? :)
a asi je cas prejit na Gizmo ;)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 15:34

repulsive (neregistrovaný)

neříkám, že to znamená, že je gizmo horší, ale na naší síti oproti skype není úspěšný v hledání cestiček skrz firewall.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 16:20

glx (neregistrovaný)

Buhvico Skype jeste dela - jen obcas, aby to nebylo napadne :-))
Pokud data z /etc/passwd nekam posle, mohla by pro nekoho byt zajimava minimalne cela jmena, ktera tam jsou uvedena a co ja vim - treba i to, jaky je k nim v radce prirazen shell. Problem neni v tom, ze se tam diva, problem je v tom, ze nelze nijak uhlidat, zda ta data nekam neposila. Uz to samo o sobe je v mem pripade urcujici: Skype na mem PC v zadnem pripade.
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 16:38

pht (neregistrovaný)

Stejne tak to neuhlidas u flash player pluginu. Ten na PC mas? :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 21:42

jirib (neregistrovaný)

nemam :) protoze to neni opensource a na openbsd to nejede :) stejne, flash je pro zebraky, co neumi udelat normalni web :)
- Zobrazit celé vlákno
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
27. 8. 2007 21:45

anonymní

nie, nemam, na flash a skype mam Windows XP nejaku edition vo virtual boxe

ten svina fles mi nechodi na AMD64 :) a tak je to spravne ...
- Zobrazit celé vlákno

Zasílat nově přidané názory e-mailem

Líbí

Nelíbí

Petr Krčmář

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.

Témata:

Skype

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář

Témata:

Skype načítá /etc/passwd

Sdílet

Byl pro vás článek přínosný?

Autor zprávičky

Petr Krčmář

Témata:

Dále u nás najdete

Labioplastika neslouží jen vyššímu sebevědomí

Příčina obřího IT výpadku? Chyba aktualizace

Více než polovina žen v porodnici dostává klystýr

Proč vystavujeme zápočtový list a proč ho vyžadujeme?

Motání hlavy může být způsobeno problémy s krčními tepnami

Výrobce koupelnového vybavení Laufen čeká oživení poptávky

Allegro v ČR spouští výdejní boxy, WE|DO se mění na One by Allegro

CrowdStrike: slabá představivost a problém lidského faktoru

Jejich čaje mají poctivé složení i originální názvy

Separační úzkost je normální součástí vývoje dítěte

Albert testuje umělou inteligenci, ušetří čas pokladním i zákazníkům

Kolik a čeho mají vypít při sportu v horkém létě

Chráníme totožnost podatele podnětu, tvrdil úřad

Tesco na jedné straně plasty šetří, na druhé jimi ale plýtvá

Výrobci nemusí udávat přesné složení parfémů

Nevyléčitelně nemocní získají příspěvek automaticky

Změny v českém maloobchodu, Electro World se mění na Datart

Zmatek u důchodové reformy, stejný termín pro dvě opatření

Jak se daří novým televizním stanicím?

Google už nechce rušit cookies třetích stran v Chromu