Segurança - Breaking into the OS X keychain

[Antr4cite]

Um programador finlandês de nome Juuso Salonen verificou e provou que os dados existentes na keychain podem ficar comprometidos devido à própria arquitectura da aplicação, no contexto de tornar o seu uso mais conveniente.

O perigo maior reside no facto de não se tratar de um bug mas antes uma arquitectura intencional podendo, portanto, ser alvo de exploração.

Em traços gerais o problema gerado pela arquitectura do programa consiste em permitir a um utilizador com direitos administrativos ler toda a informação contida nas keychains de utilizadores que tenham sessão aberta no computador.

Todos os pormenores são explicados com detalhe no seu site: http://juusosalonen.com/post/30923743427/breaking-into-the-os-x-keychain

 

[oscarolim]

'Um utilizador com direitos administrativos...'
Ok.

 

[Antr4cite]

'Um utilizador com direitos administrativos...'

Ok.

E por onde é que são feitos geralmente os ataques senão pela via administrativa?

Mas o problema maior nem está aí. Está sim no facto dos direitos administrativos permitirem o acesso a dados encriptados de outros utilizadores. Isso nunca pode acontecer. Os direitos administrativos devem dar poderes plenos para a gestão do sistema mas nunca para a leitura não consentida de dados encriptados/privados.

Um sistema informático, seja ele qual for, mais tarde ou mais cedo acaba por ser furado pela via administrativa e quando isso acontece, por maior que seja o acesso aos dados pelo invasor, este nunca deve poder ler sem qualquer tipo de barreira informações que deveriam estar encriptadas. É como entrar num banco, chegar ao cofre forte e encontrar a porta aberta. Trata-se de uma falha extremamente grave num sistema de segurança.

 

[oscarolim]

Nesse caso, como indicam, usas uma pass diferente para o keychan. Vais ao keychan, preferences, first aid, e ai alteras as opcoes para nao desbloquear com o login.

E quando um 'virus', 'malware' ou afins necessitam que seja introduzida manualmente a password de administrador, desculpa, mas o problema passa a estar entre o teclado e a cadeira.

 

[Antr4cite]

Nesse caso, como indicam, usas uma pass diferente para o keychan. Vais ao keychan, preferences, first aid, e ai alteras as opcoes para nao desbloquear com o login.

Isso terá que servir enquanto não solucionarem o problema. Até lá quem não quiser corer riscos terá que dizer adeus à conveniência de utilização da keychain ou então usar outras alternativas mais seguras (Browser Keychains, LasPass, 1Password, Keypass, etc).

E quando um 'virus', 'malware' ou afins necessitam que seja introduzida manualmente a password de administrador, desculpa, mas o problema passa a estar entre o teclado e a cadeira.

Geralmente os ataques ou o malware não requer que introduzas essa informação. No primeiro caso arranjam forma de a contornar procurando algum tipo de falha no sistema e no segundo basta que o utilizador seja descuidado e instale ou copie alguma coisa que não deve ou ignore.

 

[oscarolim]

E o problema é?
O sistema funciona da forma como foi feito para funcionar. Nao tem nenhum erro. Se usarem a mesma senha que o login, e autorizarem o desbloqueio com o login, ele desbloqueia, caso contrario pede que seja introduzida a password da keychain.

 

[Antr4cite]

E o problema é?
O sistema funciona da forma como foi feito para funcionar. Nao tem nenhum erro. Se usarem a mesma senha que o login, e autorizarem o desbloqueio com o login, ele desbloqueia, caso contrario pede que seja introduzida a password da keychain.

O problema é que, apesar da aplicação funcionar da forma como foi feita para funcionar e não ter nenhum erro, não deixa de ter uma arquitectura de conveniência defeituosa que permite a sua exploração por agentes mal intencionados.
Este problema, que se saiba, não acontece noutros keychains, portanto, o facto de o utilizador ter que ficar alheado do uso conveniente da aplicação por um erro de engenharia está mal e deve ser corrigido.

 

[oscarolim]

A keychain do ubuntu funciona da mesma forma por exemplo...

 

[Antr4cite]

A keychain do ubuntu funciona da mesma forma por exemplo...

O funcionamento é partilhado por outros sistemas/keychains. A questão é se a arquitectura que mantém os dados privados também é defeituosa nesses sistemas/keychains.

 

[oscarolim]

Mas defeituosa porque? Porque da a opcao de desbloquear automaticamente com o login? Se nao querem essa opcao, desactivam.
Eu prefiro este modo de funcionamento, do que estar com passwords diferentes, mas quem nao prefere, tem alternativa de ir as opcoes e mudar o comportamento em menos de um minuto.

 

[Antr4cite]

Mas defeituosa porque? Porque da a opcao de desbloquear automaticamente com o login? Se nao querem essa opcao, desactivam.
Eu prefiro este modo de funcionamento, do que estar com passwords diferentes, mas quem nao prefere, tem alternativa de ir as opcoes e mudar o comportamento em menos de um minuto.

Defeituoso porquê? Ainda perguntas. O que é que trata o tópico?

Então o gajo à conta da arquitectura do keychain desenvolve uma aplicação que, desde que tenha acesso administrativo, obtém todos os dados privados contidos nas keychain de todos os utilizadores e ainda perguntas porquê?

Na minha opinião é grave e se este problema abrange outros sistemas que funcionam de igual forma deve ser solucionado.

A titulo de exemplo, ainda à dias veio a publico a existência de uma vulnerabilidade grave em OS X, Windows e Linux, causada pelo Java, que permitia a instalação remota de malware com direitos administrativos. E vulnerabilidades como esta mais tarde ou mais cedo aparecem sempre.

 

[oscarolim]

Ai esta, desde que tenha acesso administrativo. A partir do momento que tens acesso administrativo em qualquer SO, fazes o que queres, pois e esse o papel da conta de administrador, poder fazer o que quiser!
Se fosse o unico modo de funcionar, ainda percebia, mas depende das opcoes dos utilizadores. Como disse, quem nao quer esse comportamento, pode desactivar nas opcoes.