Ubuntu i hasła w czystym tekście?
Hitem ostatnich dni było odkrycie luki w bezpieczeństwie Ubuntu, która polega na tym, że nasze hasła do sieci bezprzewodowych są przechowywane w niezaszyfrowanym pliku tekstowym. Jak to bywa w sensacjach taniego typu, to nie Ubuntu przechowuje te hasła w takiej formie, a NetworkManager i to w każdej dystrybucji która go używa. Plik z hasłami znajduje się poza katalogiem użytkownika, dostępny jest tylko dla roota, jak również można ‘naprawić’ to zachowanie wyłączając przy danym połączeniu opcję ‘dostępne dla każdego użytkownika’. Jednak nadal należy oddać sprawiedliwość jakiejkolwiek dystrybucji oskarżonej o zaniechanie bezpieczeństwa – to przewidziane i typowe zachowanie NetworkManagera, a nie konkretnego systemu.
Z dostępnych rozwiązań, szyfrowanie naszych haseł przewiduje chyba tylko netctl tożsamy dla dystrybucji opartych o Arch Linux (w Manjaro). Domyślnie jednak i tak (Manjaro) używany jest wygodny NetworkManager. Bo w jakim stopniu przetrzymywanie haseł w /etc/NetworkManager/system-connections stanowi zagrożenie dla nas i naszego systemu oraz sieci bezprzewodowej? Plik przechowywany poza katalogiem domowym i z prawami dostępu tylko dla roota oznacza, że aby wyłuskać to hasło należy uzyskać jedno z poniższych:
- przez sieć – dostęp do konta root (lub konta użytkownika z którego można przejść na roota),
- dostęp fizyczny – uruchomienie komputera z LiveCD bądź zalogowanie się przez ‘sudo su’ jako root,
Obydwa przypadki są od wieków niezmienne – pierwszy to typowe braki i niefrasobliwość w udostępnianiu usług swojego komputera (np. uruchomiony serwer ssh z użytkownikiem o haśle 123), drugi to przypadek, gdy zezwalamy (dobrowolnie lub nie – np. kradzież) na fizyczne machinacje z naszą maszyną. Chyba nie ma nikogo, kto świadomie zezwala na taki stan rzeczy, a zabezpieczenie się przed tego rodzaju wypadkami też są kanonem rozsądnego użytkownika – nie uruchamiać usług nad którymi nie potrafimy zapanować oraz stosować hasła o jakimkolwiek stopniu skomplikowania.
Z dużej chmury mały deszcz, niemniej – przypuszczalnie i tak pojawią się jakieś łatki na NetworkManagera, które mogą zabezpieczyć przechowywanie haseł, a może się to odbyć niestety kosztem komfortu pracy użytkownika.