Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Dětičky pod dozorem táty zkoušely hacknout tátův uzamčený počítač se Cinnamonem. Povedlo se jim to pouhým náhodným klikáním na virtuální klávesnici na obrazovce. Táta chybu nahlásil a je již opravena. Kliknutím na písmeno "ē" na virtuální klávesnici bylo možné shodit screensaver a tím obejít přihlašování.

Komentáře

To za celá ta desetiletí nevzniklo API X serveru pro zamykání obrazovky? Vždyť X server se průběžně vyvíjí a těch rozšíření má spoustu. Spořič by pak byl jen zdroj obrazového signálu a pokud by spadl, ničemu by to nevadilo. Stejně tak formulář pro zadávání hesla – ten by byl řízen buď X serverem nebo by musel vrátit nějakou specifickou zprávu, nemělo by stačit, aby jako proces skončil. Do té doby by X server blokoval komunikaci se všemi ostatními X klienty.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

17.1.2021 23:27 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Má to nějak vyřešené Wayland? Na první pohled mi přijde, že třeba swaylock funguje na podobném principu jako ty klasické screenlockery pro Xka (osobně používám i3lock a tohle je nejspíš jeho klon).

18.1.2021 01:07 marbu | skóre: 31 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Řešilo by se to tím, že kompozitor implementující Wayland protokol zároveň spravuje stav funkce zamykání obrazovky. Měl jsem dojem, že wayland pro tohle definuje i nějaké api, ale nemůžu to teď dohledat. Viz. např. blog z roku 2015 když se to řešilo v KDE.

There is no point in being so cool in a cold world.

18.1.2021 20:12 marbu | skóre: 31 | blog: hromada | Brno
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Tohle by mě taky zajímalo, ale po chvíli hledání jsem zjistil, že:

Původně byl screen saver opravu integrovaný v X serveru, viz. např. man stránka XSERVER z Irixu (ale pokud to čtu dobře, zobrazovalo to jen hardcodované X logo a pomocí přepínače X serveru šlo akorát nastavit timeout, konfigurovat to nijak, natož pak z klienta, nešlo).
Pak se přišlo s X11 Screen Saver Extension (z roku 1992?), které se dodnes používá, ale řeší jak vyhodit screen saver funkcionalitu celou do klienta, ale nějaké zamykání neřeší.

Taže hádám, že v době, kdy začalo být důležité bezpečné zamykání obrazovky, buď bylo na výběr snažit se pečlivě dohackovat zamykání v screen saver klientovi, nebo zahodit existující screen saver rozšíření, vymyslet a nechat standardizovat jiné rozšíření a počkat, až většina X serverů bude tohle implementovat. A hádám, že na to už bylo tou dobou nějakých min. 10 let pozdě.

There is no point in being so cool in a cold world.

To jako screensaveru na Linuxu jeste nekdo veri? Vetsina se da snadno obejit treba tim, ze pripojite a odpojite nekolik novych monitoru. Nektery screensaver spadne, jiny se "nenatahne" a muzete fungovat na zbytku plochy.

17.1.2021 21:17 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Ono je poměrně děsivé i to, když člověk připojí třeba USB flashku a ta vyskakovací nabídka z KDE problikne přes zamykací obrazovku…

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

17.1.2021 21:44 AsciiWolf | skóre: 40 | blog: Blog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Já zase pamatuji bug, při němž po probuzení zamknuté obrazovky na chvíli problikla pracovní plocha s otevřenými okny. :-D

Tuším, že to bylo na GNOME 2...

17.1.2021 22:15 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

njn, to asi někdo zamykal obrazovku po probuzení a ne před uspáním (ono v GUI se to dodnes jmenuje zamknout po probuzení, ale doufám, že to není myšleno doslovně)

Dobrý šok je taky když ti po restartu problikne původní plocha… ale to je jen tím, že to zůstalo ve videopaměti a hned se to přemaže.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

17.1.2021 22:28 AsciiWolf | skóre: 40 | blog: Blog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Dobrý šok je taky když ti po restartu problikne původní plocha… ale to je jen tím, že to zůstalo ve videopaměti a hned se to přemaže.

To mi připomíná jeden "vtipný" bug na Fedoře, kdy v okně Totemu namísto videa občas problikla část několik minut staré obrazovky. Stávalo se mi to pravidelně cca rok na stroji s NVIDIA GPU, nicméně na AMD se mi to neděje, tak snad to již opravili.

17.1.2021 22:44 Haxík
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Neopravili, mám AMD a na Fedore když si kouknu hocijake video ve fullscreen tak mi problikne pri restartu/vypinani. Uz se mi to i vypomstilo kdyz jsem koukal na... ehm... to je jedno.

17.1.2021 23:36 AsciiWolf | skóre: 40 | blog: Blog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

To vypadá na jiný (opačný) bug.

17.1.2021 22:49 Gréta
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Takže říkáš neklikat myškou na plochu kde je Totem když dopokoje nečekaně vtrhne mamka? Budu sito pamatovat :-D

17.1.2021 22:27 pushkin | skóre: 43 | blog: FluxBlog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Pamatuji jistý OS, který připojení USB tiskárny srazilo do kolen. Pravda, je to třiadvacet let, ale lidi se tím baví dodnes ;-)

🇺🇦 Pomoc pro obranu Ukrajiny | SOS Ukrajina | Web4Ukrajina | Web4Ukraine 🇺🇦

18.1.2021 16:36 sid
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Este vacsia zabava bola ked ta ista firma prezentovala db server a pri prezentacii to klaklo. Vraj si to odniesol team ktory bol nasledne vyhodeny.

17.1.2021 23:17 biolog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Linux je operační systém vynikající bezpečností a víceuživatelským přístupem, zejména ve srovnání s Windows. Tady vám to potvrdí každý. Ta bezpečnostní chyba je určitě způsobena tím, že si to uživatel špatně nastavil. Nebo že důvěřoval ve správnost výchozího nastavení. Odpusťte mi ten sarkazmus.

17.1.2021 23:26 já já já jenom já
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Každý ví, že bugy v Linuxu neexistují, to jsou featury. WONTFIX CLOSED LOCKED NOTABUG. A těch 1000 chyb na Githubu je očerňovací taktika Microsoftu.

17.1.2021 23:39 k3dAR | skóre: 62
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

kdyz si teda chtel naznacit, ze jsou na tom Windows v pohode, tak za par vterin na me vyzkocilo ;-)

Windows pri probuzeni ukazou na vterinu obsah nezamcene obrazovky nez se uzamkne
Windows obejiti lock screenu lokalni
Windows obejiti lock screenu pres RDP

porad nemam telo, ale uz mam hlavu... nobody

18.1.2021 01:41 biolog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

První odkaz: nevíme proč se mu to děje, jenom že na tom počítači má Windows. Možná je to chyba ovladače grafické karty nebo něčeho, protože jiným lidem se to neděje. (V tom příspěvku nikdo další nehlasoval, že se jim to děje taky, nebo že by některá odpověď byla užitečná.) Kdybyste poslal aspoň novinový článek o tom, že se to děje mnoha lidem na čistém PC, nebo že jinak vyloučili cizí zavinění, ale takhle je to situace: "nevím jak to vzniklo, ale vidím Microsoft, takže za to může Microsoft".

Druhý odkaz: Zkonvertovali soubor pro Adobe Flash Player (tj .SWF) a z něj vytvořili screensawer, u kterého lze klikáním spustit libovolný nainstalovaný EXE. Gratuluji. To ukazuje akorát, že je možno napsat zranitelný screensawer -- možná že je dokonce těžké napsat bezpečný screensawer. Ale není to chyba Windows, protože žádný flashový screensawer se s Windows nedodává. V případě Cinnamonu se nebezpečný zamykací program v systému dodává. (A asi je ve výchozím stavu zapnutý?)

Třetí odkaz: uživatel se musí přihlásit přes Remote Desktop. Pak když vzdálený PC zamkne a zřejmě nechá RDP klienta běžet a k tomu klientovi přijde útočník, tak to zamčení může překonat. Dovedu si představit smysluplnou situaci, kdy to může vadit, tedy je to bezpečnostní chyba a MS by ji měl opravit, ale ty okolnosti jsou tak neobvyklé, že to většinu lidí nepostihne.

Shrnutí: jen třetí odkaz je bezpečnostní chyba a jen omezenou aplikovatelností, kvůli zvláštnosti v protokolu. Zato v Cinnamonu napsali tisíckrát profláknuté přetečení bufferu a věčný problém odemčení desktopu po pádu zamykacího programu, které se dá snadno vyřešit restartem programu, ale to stále není implementované. Oběma chybám se dalo předejít.

18.1.2021 02:10 k3dAR | skóre: 62
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

a ze tvuj sarkazmus pises o (GNU/)Linuxu kdyz chyba je v Cinnamonu, ti nevadi? ;-)

porad nemam telo, ale uz mam hlavu... nobody

18.1.2021 11:52 AsciiWolf | skóre: 40 | blog: Blog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Jenže ostatní linuxové DE na tom bohužel nejsou o moc lépe, viz například diskuse výše. Windows jsou v mnoha ohledech z bezpečnostního hlediska katastrofa a pro Windows 10 to platí dvojnásob, ale zrovna lock screen mají skutečně vyřešen lépe.

19.1.2021 07:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

To je všechno staré, a jak píše biolog výše, tak příliš nesouvisející, ale před pár dny vyšlo tohle. Ale to že je někde jinde situace podobně špatná nebo třeba i horší opravdu tyhle chyby neomlouvá. Obzvláště když se to v minulosti stalo už tisíckrát: 1, 2, 3…

Já to s tou denacifikací Slovenska myslel vážně.

18.1.2021 02:06 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Nah, tohle je celkem slabý trolling. S Windows to tu nikdo nesrovnával a ani nerozporoval, že je to chyba softwaru a nikoliv uživatele. Tyhle argumenty byly populární mezi patnáctiletými dětmi tak před deseti lety. Když čtu podobnou zprávičku, srovnání s Windows je úplně to poslední, co mě napadne. Mě Windows prostě nezajímají.

kdo si přečetl ten nahlášený bug, zjistil, že chyba nebyla v cinnamonu, ale byla v caribou (gnome). Caribou ale gnome přestalo používat -> proto je chyba jen v cinnamonu.

18.1.2021 11:18 koroptev
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

kdo si precetl asi pate vyjadreni jwz k tomu, tak vi, ze chyba, je v mentalite vyvojaru, kteri nejsou dostatecne kompetentni, aby za okolnosti, kdy x server architektura je tak zastarala, jak je, konstruovat ten locker tak, aby failoval safe.. ten konkretni bug se vyresil, ale jakmile se narazi na dalsi podobny, bude to delat totez, spravne reseni je predpokladat, ze ten proces muze chcipnout

18.1.2021 13:47 Jindřich Makovička | skóre: 17
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Vtipné je, že tohle bezpečnostní chybu způsobila oprava jiné bezpečnostní chyby v X.

18.1.2021 15:49 Pavel 'TIGER' Růžička | skóre: 53
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Jestli ono to nebude tím, jakým stylem se dnes programuje. Nebo snad víte o moderním operačním systému, který není rozvrtán a dá se považovat za stabilní? A pojďme ještě dál a bavme se o koncovém uživateli na desktopu. V tomto kontextu linux na tom není zas tak zle. Ale připouštím, byly časy, kdy na tom byl i lépe.

18.1.2021 14:29 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Třeba KDE s tím počítá. Když locker chcípne, tak zůstane černá obrazovka a nápis, že se máš přepnout na textovou konzoli a použít loginctl k odemčení. A tu černou obrazovku dělá přímo správce session, takže pokud chcípne i ten, tak to uživatele odhlásí (session skončí spolu se správcem).

Hello world ! Segmentation fault (core dumped)

19.1.2021 07:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

Opravdu?

Já to s tou denacifikací Slovenska myslel vážně.

19.1.2021 14:32 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Bezpečnostní chyba v zamykání obrazovky v Cinnamonu

To ale není o tom, že by zámek chcípnul, on se regulérně ukončil a odemknul. Opravný patch jen přidává app.setQuitOnLastWindowClosed(false). Lepší řešení by bylo, kdyby odemykající proces musel explicitně prohlásit "odemkni" a nestačilo jen slušně skončit. Je to přesně ta chyba z frameworku, o kterých píše autor XScreenSaveru.

Pád zámku opravdu ošetřený je. Při upgradu, kdy běžel starý desktop a spustil se upgradnutý zámek, se mi to nedávno stalo. Dříve taková situace odhlašovala (pokud si pamatuju dobře), teď ukazuje hezkou hlášku. KDE je jeden z mála desktopů, kde to je udělané dobře.

Hello world ! Segmentation fault (core dumped)