Ochrana systému před Dropboxem

Mike Cardwell píše o tom, jak zabezpečit systém před Dropboxem, resp. před klientem Dropboxu (pro případ, že by provozovatel služby měl nekalé úmysly) — zabezpečením dat se zabývají jiné texty. Smyslem článku je ukázat (některá) potenciální rizika a jejich řešení.

Toto by malo byť nahlasené ako bug X servera.

Root v linuxe : "Root povedal, linux vykona."

1.6.2012 13:11 jose17 | skóre: 44 | blog: Joseho_blog | Bratislava
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

a nie je to skor featura?

Ja vim, on vi, ty nano!

1.6.2012 15:04 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Aspoň by to mali mať v Xserveri ošetrené aby nemohol ktokoľvek spustiť spominaný doplnok alebo ošetriť použiteľnosť danéj aplikácie.

Root v linuxe : "Root povedal, linux vykona."

1.6.2012 13:13 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Není třeba. Vývojáři pracují na opravě.

1.6.2012 16:14 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Kravina!

2.6.2012 09:37 Fluttershy, yay! | skóre: 93 | blog:
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

BŮŮŮ!

🇵🇸 ✊ Touch grass ✊ 🇺🇦 ✊ ani boha, ani pána

1.6.2012 17:34 Michal Marek
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Fajn, nezapomeň taky nahlásit bug na gdb a strace ;).

1.6.2012 17:49 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Mne skôr ide najdenie spôsobu ako danú vec potlačiť.

Možno je to spôsobené návrhom X servera.

Problém je v tom, že to môže zaznamenávať klávesy v rámci jedného UID. Bez ohľadu na ktorom okne je fokus.

Root v linuxe : "Root povedal, linux vykona."

1.6.2012 18:48 chrono
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

K rovnakým údajom sa môžeš, bez problémov, dostať aj bez použitia X servera (napr priamo cez /dev/input/x).

1.6.2012 20:56 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Len pre zaujimavosť to skús ako non-root užívateľ (UID>0).

Root v linuxe : "Root povedal, linux vykona."

2.6.2012 09:54 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Vše v /dev/input patří rootovi a má to 600. Teda, vyjma joysticku.

Hello world ! Segmentation fault (core dumped)

1.6.2012 18:30 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

A mraky ďalších.

KERNEL ULTRAS video channel >>>

2.6.2012 04:29 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Zatím mi selinux blokuje jen ptrace. Teda neblokuje, protože jsem to z praktických důvodů vypnul, ale běžnému uživateli ano.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

2.6.2012 08:52 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Máš na mysli deny_ptrace boolean ve Fedoře 17? To bylo zapnuto v Betě, ale finální vydání to má implicitně vypnuté.

2.6.2012 21:20 Michal Marek
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

I kdyby - nic nezabrání zlému programu zabít proces prohlížeče a spustit svojí verzi s keyloggerem. Nebo změnit ikonku prohlížeče na ploše. Nebo x dalších věcí. Proste pokud pod uid XY běží něco nedůvěryhodného, nedá se věřit ničemu pod uid XY. Xka za to až tolik nemůžou.

3.6.2012 14:06 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

To je pravda, ale X navíc umožňují útočit i na procesy, které jsou prostě jen připojené na stejný X displej. Tyto procesy nemusí běžet pod stejným UID a nemusí ani běžem na stejném systému.

3.6.2012 22:59 l4m4
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

A jeden z těch procesů by klidně mohl být i window manager... Návrh X prostě nepočítá s tím, že bys měl na svém display programy, kterým -- jakkoli -- nedůvěřuješ. Nepoužívat programy, kterým nedůvěřuješ, je ostatně něco, co lze doporučit obecně, nejen v X. Tudíž jsem-li paranoidní, Dropbox prostě nepoužívám.

3.6.2012 23:02 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Inými slovami, používať softvér výhradne z repozitára, alebo s PGP podpisom.

Root v linuxe : "Root povedal, linux vykona."

4.6.2012 00:02 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

No jo, ale já třeba nedůvěřuju Firefoxu, protože je prostě díravý by-definition, ale nedíravý browser neexistuje. Proto ho pouštím pod jiným uživatelem/osekaný přes Tomoyo/SELinux a byl bych rád, aby když mi někdo vyownuje Firefox, tak se dostal maximálně k bookmarkům a historii, a ne do rootovského terminálu řídícího počítače jaderné hlavice, který mám teď zrovna náhodou taky na displeji.

6.6.2012 09:34 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Návrh X prostě nepočítá s tím, že bys měl na svém display programy, kterým -- jakkoli -- nedůvěřuješ.

Opět nebudu oblíbený, ale z dnešního pohledu je toto zcela zřejmá návrhová chyba.

Nepoužívat programy, kterým nedůvěřuješ, je ostatně něco, co lze doporučit obecně

Ještě bezpečnější je nepoužívat žádné programy. Ale ani jedno není obecně dlouhodobě užitečný způsob práce.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

6.6.2012 09:45 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Opět nebudu oblíbený, ale z dnešního pohledu je toto zcela zřejmá návrhová chyba.

Ano, evidentně. Ostatně jak tvá zkušenost dokazuje

Teda neblokuje, protože jsem to z praktických důvodů vypnul, ale běžnému uživateli ano.

není nad to rozesrat si funkční systém paranoidníma kosočtvercovinama.

6.6.2012 11:55 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Ochrana systému před Dropboxem

Ty důvěřuješ browseru, ze kterého jsi poslal ten příspěvek? Já moc ne.

Ochrana systému před Dropboxem

Komentáře