Ver Feed RSS

Notícias Sobre TI e Linux

Pidgin Não Criptografa as Senhas Armazenadas

Avalie este Post de Blog
11 Comentários
por
tuxdahora
em 30-09-2009 às 10:00 (6440 Visualizações)
Este é um alerta para todos os usuários do Pidgin, este famoso programa de mensagens instantâneas para Linux. O Pidgin não armazena as senhas do usuário de forma criptografada. Diferente disso, as mesmas são armazenadas livremente em formato texto em seu arquivo accounts.xml. O que é mais inacreditável nisso tudo é que, de acordo com os desenvolvedores do Pidgin, essa 'característica' não irá sumir tão cedo. Nem mesmo nas próximas versões do programa. E seus usuários que se contentem com isso.


Essa 'característica' do Pidgin abre um novo e potencial problema de segurança para os usuários deste programa de mensagens instantâneas que tem se tornado muito popular. Se o login e senha de todas as suas contas estão armazenados em formato texto aberto dentro do arquivo accounts.xml, qualquer invasor que saiba o caminho do arquivo, representa um grande perigo para o usuário. E isso, principalmente para os invasores que tem acesso local as máquinas, pois sabemos que, mesmo no mundo Linux, muitos usuários teimam em largar seus logins ativos sem nenhuma defesa de tela por senha, mesmo quando vão 'pegar um cafezinho'.

Para ver como o Pidgin armazena as senhas, vá até o diretório $HOME/.purple (onde home é o caminho natural até sua conta de usuário, como no exemplo /home/fulano) de sua conta no Linux, e então abra o arquivo accounts.xml com seu editor de textos favorito.

Procure pelo seu e-mail de cadastrado no pidgin e verá algo como o descrito abaixo (apenas um recorte ilustrativo):


Código :
<accountversion=\"1.0'>
    <account>
        <protocol>prpl msn</protocol>
        <name>[email protected]</name>
        <password>minhasenha</password>


E como garantir a segurança de seu Pidgin, com a presença desse perigo em potencial? Uma das maneiras é não deixar que o pidgin armazene suas senhas ao efetuar login no mesmo. Pode parecer simples, mas para pessoas que, como eu, possuem dezenas de contas ativas simultaneamente no sistema, é um enorme problema. Pense no drama! Toda vez que você for logar no pidgin, terá de fornecer manualmente TODAS as senhas dos seus usuários. Sempre! Bastante desconfortável, não acham?

Outra opção interessante é instalar um patch chamado Master password. Você encontra as instruções neste fórum do Ubuntu. Caso seu sistema não seja baseado no Debian, tente adaptar o tutorial (que é bastante simples) para a sua própria distribuição Linux. Eu não testei esse patch e não sei a real proteção que o mesmo proporciona. Então, lembrem-se: é por sua conta e risco!


Saiba Mais:

Unixmen: http://www.unixmen.com/linux-tutoria...-secure-it-now
Pidgin: http://developer.pidgin.im/wiki/PlainTextPasswords
Patch Master Password: http://ubuntuforums.org/showthread.php?t=505788

Atualizado 30-09-2009 em 11:58 por tuxdahora (Algumas correções gramaticais e ortográficas.)

Categorias
Noticias

Comentários

Página 1 de 2 12 ÚltimoÚltimo
  1. Avatar de Não Registrado
    Encriptar sem uma senha não iria resolver nada, apenas daria uma falsa sensação de segurança ao usuário (o que é até pior). Isso acontece porque o Pidgin tem o código aberto e qualquer hacker que queira recuperar a senha da pessoa, poderia descriptografá-la facilmente. Mesmo se fosse com código-fonte fechado, existem descompiladores que possibilitariam a mesma facilidade.

    Por mais que isso restringiria o universo de pessoas que poderiam fazer isso aos programadores, nada impediria de alguém criar programinhas para "ajudar" o usuário a recuperar sua senha. Ou seja, é a mesmo coisa que salvar a senha em texto puro, só que teria um passo a mais para recuperar a senha.

    Então a senha mestra resolve o problema por completo e o plugin poderia ser inserido no programa já "de fábrica". Só achei que o artigo foi um pouco dramático demais ao apresentar a questão, e não um problema como foi dito.
  2. Avatar de Não Registrado
    No meu comentário anterior me enganei ao dizer que o "Master password" é um plugin quando, na verdade, é um patch. Então desconsidere o comentário, pois, se eles estão se recusando a aplicar o patch em curto prazo, eles estão bastante errados.
  3. Avatar de tuxdahora
    Citação Postado originalmente por Não Registrado
    No meu comentário anterior me enganei ao dizer que o "Master password" é um plugin quando, na verdade, é um patch. Então desconsidere o comentário, pois, se eles estão se recusando a aplicar o patch em curto prazo, eles estão bastante errados.
    Sim! Importante ter notado isso. Afinal, segurança demais, nunca é demais :-D E só por você implementar um pouco de segurança no Pidgin (a simples criptografia das senhas e o armazenamento das mesmas fora do arquivo XML) já seria um grande avanço. Pense que, do jeito que está agora, qualquer um, com o menor nível possível de conhecimento em informática, poderia roubar o arquivo accounts.xml e utilizar todas as informações úteis nele (principalmente logins e senhas).

    E do jeito que está a minha notícia (e as notícias-fonte para esse mesmo artigo), acaba sendo de forma indireta, uma receita de bolo para qualquer um com más intenções. Mas esse é sempre o revés de qualquer anúncio sobre brechas de segurança - você alerta quem precisa corrigir, e colateralmente acaba alertando quem tem más intenções. E a situação acaba sendo, inevitavelmente, uma corrida contra o tempo.

    E quando os problemas de segurança são tão 'escrachados' como esse do Pidgin, vale a pena sim, fazer um certo alarde. Não era minha intenção fazer dessa notícia sobre segurança, que a mesma fosse apenas mais uma, dentre as várias notícias que são publicadas todos os dias sobre esse tema. Minha real intenção era acordar os leitores sobre o que está acontecendo com o Pidgin, e o real perigo existente. Fazendo uma analogia bem hilária, essa 'brecha de segurança', é a mesma coisa que você ter um um grande e importante Banco com um tapete vermelho na sua porta, e uma placa no alto dizendo: "Sejam bem vindos todos os ladrões! Roubem o quanto quiserem! Sintam-se em casa!" :-D

    Não sei se esse foi o caso, apenas a gota-d'água (ou nenhuma das circunstancias) das consequências para informação a seguir, mas saiba que a partir do Ubuntu 9.10, o Pidgin deixa de existir como padrão de instalação de programa de mensagens instantâneas dessa distribuição. O mesmo será substituído pelo Empathy.

    E olha que estamos falando de Linux, que, querendo ou não, é realmente um sistema multi-tarefa e multi-usuário, com políticas bem definidas de permissões de acesso aos seus arquivos e diretórios (que também são uma espécie de arquivo). No Windows (principalmente em versões antigas como o 98) o problema é ainda maior. E o usuário pode até mesmo, ser vítma de roubo de informações pessoais do Pidgin pela rede, com a mesma facilidade que um invasor teria, ao ter acesso local a máquina-alvo.
    Atualizado 30-09-2009 em 14:15 por tuxdahora (Correções gramaticais e ortográficas básicas.)
  4. Avatar de rcsdnj
    Considero esse comportamento do pidgin bem mais honesto e coerente do que o de clientes de mensagem instantânea como o MSN, que passam ao usuário falsa impressão de segurança.

    O ideal seria uma solução integrada com o chaveiro do sistema (como o Gnome Keyring), mas, nesse ponto, aí concordo que os desenvolvedores do Pidgin vez por outra possuem prioridades desalinhadas com as do usuário, pois ainda não disponibilizaram tal solução.

    Aos que realmente precisarem de segurança, sugeriria utilizar áreas de trabalho separadas e encriptar (com as ferramentas que o próprio sistema dá) seu diretório de trabalho ("home"). Assim, pouco importa se os arquivos contêm senha em texto claro, pois o princípio de segurança básico (não deixar que outros tenham acesso ao seus arquivos) fica melhor assegurado.
  5. Avatar de jweyrich
    Tópico discutido dezenas ou centenas de vezes. Security by obscurity is evil.
    O sistema é quem deve se encarregar de proteger as informações presentes no homedir do usuário, e isto, acredito eu, é de senso comum há um certo tempo.
    Mas bacana que alguém procurou saber.
  6. Avatar de Não Registrado
    O tal arquivo fica no seu home. Se alguém está no seu home, é porque você lhe concedeu acesso, em vez de criar uma conta de guest, por exemplo. Se a pessoa já tem acesso a todos seus arquivos, às senhas armazenadas no navegador etc, por quê a preocupação com o arquivo de senhas do Pidgin? Incompreensível. Alguém que se preocupe minimamente com segurança não daria acesso a seu home a terceiros.
  7. Avatar de tuxdahora
    Citação Postado originalmente por Não Registrado
    O tal arquivo fica no seu home. Se alguém está no seu home, é porque você lhe concedeu acesso, em vez de criar uma conta de guest, por exemplo. Se a pessoa já tem acesso a todos seus arquivos, às senhas armazenadas no navegador etc, por quê a preocupação com o arquivo de senhas do Pidgin? Incompreensível. Alguém que se preocupe minimamente com segurança não daria acesso a seu home a terceiros.
    Armazenar senhas em texto puro e no $HOME do usuário, é uma brecha de segurança. É algo a mais para o usuário se preocupar, não somente de alguém bisbilhotar seu ambiente de trabalho, mas sim, numa possível invasão.

    Pense nisso de forma similar a um arquivo contendo todas as contas de usuário de um banco, com todos os dados que os ladrões precisam, estando soltos em texto puro, dentro de um computador numa rede. Você acha que isso não é nada demais? Não estamos querendo alertar somente para uma senha não criptografada armazenada no $HOME do usuário, mas sim, questionar o procedimento de (des)segurança dos desenvolvedores do Pidgin, que acabaram de arrumar mais uma dor de cabeça para qualquer usuário, além do que ele já tem de se preocupar constantemente, referente a SEGURANÇA ;-)

    E não estou falando de 'dar acesso a terceiros' ao seu $HOME. Imagine uma possibilidade (além da invasão por vias externas) em um ambiente de trabalho, onde muitos vão 'tomar cafezinho' e largam seus $HOMES abertos. Triste, não? Mais uma coisa para o usuário se preocupar.

    E o Pidgin não roda só em Linux. Imagine essa brecha de segurança em um Windows!
    Atualizado 02-10-2009 em 21:34 por tuxdahora (Erros de digitação e complementos.)
  8. Avatar de tuxdahora
    Citação Postado originalmente por rcsdnj
    Considero esse comportamento do pidgin bem mais honesto e coerente do que o de clientes de mensagem instantânea como o MSN, que passam ao usuário falsa impressão de segurança.
    Interessante essa comparação. Só quero lembrar duas coisas: (1) o MSN não é software livre e sabemos das terríveis brechas de segurança que o mesmo possui e; (2) os desenvolvedores do Pidgin são conhecidos pela sua 'imensa surdez' quando o assunto é 'ouvir' o que seus usuários querem no programa. Vide a novela para que eles embarcassem suporte a Webcam no Pidgin...

    Citação Postado originalmente por rcsdnj
    O ideal seria uma solução integrada com o chaveiro do sistema (como o Gnome Keyring), mas, nesse ponto, aí concordo que os desenvolvedores do Pidgin vez por outra possuem prioridades desalinhadas com as do usuário, pois ainda não disponibilizaram tal solução.
    Acredito que não precisaríamos ir tão longe. Não para um programa dessa categoria de importância (numa escala onde o mais importante num Linux seria o kernel), isolado no meio de tantos concorrentes. Se eles simplesmente criptografassem as senhas e as armazenassem na raíz onde o programa está instalado, ja estaria de bom tamanho. Agora, largar a senha em texto aberto, dentro de uma conta com privilégios fracos como a de um usuário do sistema, é algo perigoso.

    Concordo com um sistema de criptografia global, mas não preso ao GNOME. Se fosse algo nativo do kernel, tudo bem. Seria até mais estável, seguro, e global de se aplicar e manter.

    Citação Postado originalmente por rcsdnj
    Aos que realmente precisarem de segurança, sugeriria utilizar áreas de trabalho separadas e encriptar (com as ferramentas que o próprio sistema dá) seu diretório de trabalho ("home"). Assim, pouco importa se os arquivos contêm senha em texto claro, pois o princípio de segurança básico (não deixar que outros tenham acesso ao seus arquivos) fica melhor assegurado.
    Isso, na minha opinião (e quero deixar bem claro isso) é querer jogar o trabalho para o usuário. Ainda mais quando o quesito envolve segurança. Isso não é política de desenvolvimento de software livre sério. Seria considerado uma brutalidade por parte do pessoal do Pidgin se eles recomendassem isso para o usuário. Além do que, o processo de criptografia de um $HOME, consumiria desnecessariamente o processamento para uso do mesmo.

    Não concordo com você nesse ponto. Veja bem: criptografar o $HOME só porque o pessoal do Pidgin deixou essa brecha de segurança escancarada, seria muito desaforo... Imagine só, criptografar um $HOME inteiro só por causa do Pidgin?!? Não estamos falando de um sistema conjunto e complexo operando sobre segredo militar. Estamos falando de um programa de mensagens instantâneas dentro de um ambiente de trabalho de um usuário, normalmente, doméstico. E esse programa é apenas um dentre as dezenas de concorrentes em SL/CA existentes. Por que criptografar toda uma áres de trabalho só por causa dele?
  9. Avatar de tuxdahora
    Citação Postado originalmente por jweyrich
    Tópico discutido dezenas ou centenas de vezes. Security by obscurity is evil.
    O sistema é quem deve se encarregar de proteger as informações presentes no homedir do usuário, e isto, acredito eu, é de senso comum há um certo tempo.
    Mas bacana que alguém procurou saber.
    Interessante seu ponto de vista. Mas acho que, certas coisas são consideradas básicas, e os programas tem de fazer as mesmas para garantir a segurança dele e de sua integração em harmonia com o sistema operacional. Deixar a segurança básica do uso de um programa para o sistema operacional, quando temos bilhões de bilhões (desculpe Carl Sagan, mas tive que te plagiar :-) de softwares livres e de código aberto sendo desenvolvidos para Linux, seria condenar esse sistema operacional a um Caos maior que o próprio Windows.

    Os SL/CA, sejam eles desenvolvidos pela comunidade ou por empresas, devem respeitar políticas de segurança básicas. Além do óbvio: respeitar o way of life do sistema operacional. Definitivamente, não queremos mais um Windows em instabilidade só porque os desenvolvedores de SL/CA querem tornar a vida do kernel mais instável e insegura.
  10. Avatar de Jovane
    Alguém dia isso foi diferente? Uso o pidgin desde quando ainda era conhecido como gaim e sempre foi assim.
    Abs,
Página 1 de 2 12 ÚltimoÚltimo

+ Enviar Comentário