Portada
Hace 10 años | Por wadop1312 a news.softpedia.com
Publicado hace 10 años por wadop1312 a news.softpedia.com

El problema del almacenamiento de contraseñas Wi-Fi lo tienen todas las distribuciones Linux (eng)

 news.softpedia.com

Todas las distribuciones Linux que utilicen Network Manager (un desarrollo de RedHat) tienen sus contraseñas expuestas en texto plano y puede accederse fácilmente a ellas arrancando desde un live cd. La solución es encriptar el disco completo o utilizar otro gestor de redes.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 112 28

Comentarios

Stash
editado

El acceso físico a un equipo te permite muchas cosas. Y no solo a ese fichero.
La solución NO es cifrar el disco completo.
Con que montes /etc sobre una partición cifrada (LUKS p.e.) te sobra. Y ya puestos hay un huevo de configuraciones que almacenan datos sin cifrar.

Será que me hago mayor, pero esta noticia me parece una gilipollez tirando a alarmista.
Hay que encontrar un equilibrio entre seguridad y lo razonable.

V 8
K 89
Flkn
editado

#1 Acceso físico == Game over

Al menos en lo que se refiere a la seguridad en cualquier sistema operativo.

V 3
K 46
e

#2 Si trabajas con particiones cifradas no te sirve de mucho el acceso físico: sin clave no hay datos.

V 1
K 20
w
autor

#1 Esta noticia viene porque hace un par de días se publicó que sólo era un problema de Ubuntu. No es un ataque contra Linux

V 1
K 19
Stash

#4 Lo se. Fui el que comenté que también pasa en Android. De hecho en Android, de ese fichero, el wpasupplicant.conf he recuperado contraseñas que no se sabían o no se tenían.

V 2
K 33
e

lol, Pués si miran que wicd lo hace aunque solo tengas un usario se mean encima. Yo tengo contraseñas bastante complicadas y cuando tengo que colocarla en otro aparato lo miro en el portátil. Aunque es un "vulnerabilidad" de risa, si alguien tiene acceso físico a mi máquina (o en su defecto mi clave de root) ese es el menor de mis problemas. Yo cifro home y con eso voy que chuto, que alguien obtenga mi clave de red a partir de eso no me preocupa.

V 2
K 26
D

Pues como esto sea todo lo que han conseguido sacar de Linux...

V 1
K 21
D
editado

¿Seguro? En mi Debian no las he encontrado donde dice (sí el resto de información de las conexiones), y cuando trato de conectarme se me dispara el kwallet. Había dado por supuesto que se guardaban encriptadas ahí.

Acabo de hacer un grep por todo el /etc con una de las claves y no me ha salido nada. Aunque no es que eso demuestre nada.

V 1
K 20
w
autor

#3 ¿Tienes varios usuarios en ese equipo que usen Debian?

V 1
K 19
D

#5 No.

V 0
K 10
w
autor

#9 Ahí esta, el problema es cuando se comparte la contraseña entre varios usuarios

V 0
K 9
D

#10 Tendría que probarlo, pero supongo que si están en el kwallet cada usuario tendrá que configurar su conexión de manera independiente.

V 0
K 10
w
autor

#11 Por lo que dicen en los comentarios del artículo usar kwallet soluciona el problema.

V 0
K 9
D

#12 Voy a probar de todas formas. Me ha picado la curiosidad.

V 0
K 10
D

#12 Pues sí, tenía la conexión configurada pero he tenido que volver a meter la clave del Wifi para conectarme con el nuevo usuario.

V 0
K 10
w
autor

#3 Si lees los comentarios de la noticia recomienda la utilización de Kwallet

V 0
K 9
D
editado

Relacionada: Ubuntu está almacenando las claves del WiFi en texto plano por defecto

Hace 10 años | Por --110030-- a redeszone.net
Publicado hace 10 años por --110030-- a redeszone.net

Ubuntu está almacenando las claves del WiFi en tex...

 redeszone.net


#3 Las redes en Debian se pueden configurar como una red de usuario o como una red de sistema. Si la configuras como red de usuario la contraseña se guarda en el home del usuario, pero cuando el usuario se deslgea, la conexión desaparece. Si tienes demonios corriendo, dejan de funcionar. Para eso tienes que configurar la red como de sistema, y es entonces cuando se guarda en /etc.

En este caso la contraseña no puede estar cifrada, porque la tiene que leer al arrancar el sistema. Esta contraseña en claro se guarda en un fichero que solo root puede leer, así que como ya se dijo en la noticia relacionada que he puesto, si alguien que no quieres que lea esa contraseña la está leyendo, entonces tienes un problema mayoir que el hecho de que la contraseña esté en claro...

Por otra parte, si guardas la clave en el disco duro es para no tener que teclearla cada vez que la tienes que usar. Pero si para evitar teclear la clave wifi, tienes que teclear la clave que descifra la clave wifi, no avanzamos mucho. (Me refiero a las redes de sistema, no a servicios tipo kwallet, que son por usuario).

V 0
K 9
D

#22 Me lo leí muy rápido, pero si el problema es que la clave de algo que debe ponerse a funcionar sin intervención humana no se guarda de forma segura mal arreglo va a tener la cosa ¿no?

V 0
K 10
D

#23 llevo intentando explicar eso a casi toda la gente con la que trabajo y soy desarrollador de software...

Es algo que al gente no consigue entender, típica conversación:

Derp: ¿Por que la clave se guarda en claro en el disco?
Yo: Por que el usuario ha pedido que se memorice esa clave
Derp: pues podrías cifrarla para guardarla
Yo: con que clave la cifro?
Derp: con una random
Yo: y donde la guardo?
Derp: pues en un fichero aparte
Yo: entonces, que cambia? ahora tengo un dato cifrado y al lado su clave para descifrarlo.
Derp: pues lo cifras tambien
Yo: y así hasta el infinito...

Cómo bien han dicho numerosos comentarios ya, los programas deben ser agnósticos de la seguridad de los ficheros de disco. Eso es labor de otras capas, entre ellas:

1. La gestión de permisos del sistema operativo (ejemplo: fichero que solo el owner puede leer)
2. Cifrado de volúmenes u otras soluciones de protección de datos de disco

Lo que la gente no entiende, es que si el usuario solicita que no se le pida ninguna password, no se le solicita ninguna password, ergo no hay un 'secreto' en la ecuación si no lo agrega otra capa inferior (p.ej. cifrado de volúmenes)

V 1
K 19
D

#25 No sé si esto es una nota al margen o una réplica pero yo me refería exactamente a esto que dices.

V 1
K 19
D

#26 era una nota al margen, evidentemente estoy 100% de acuerdo con tu comentario en #23.

V 0
K 9
D

#27 Vale, es que pensé que igual no me había expresado bien o algo

V 0
K 10
Magankie

Todo se resume en esta frase:

So anyone who inserts a Live CD Linux distro into your laptop, can view your not-so-secret Wi-Fi password... or steal even more important data!

Gracias Capitan Obvius!

V 1
K 19
Candidatas
23
meneos
actualidad El curioso método de un ertzaina para encontrar 160 coches robados en seis años y medio
30
meneos
actualidad Trabajadoras de la limpieza: ¿por qué son un colectivo olvidado?
20
meneos
actualidad Condenan a un hombre que violó a una trans a sólo unos metros de la Comisaría de Policía de la Alameda
70
meneos
politica Kike Sarasola informa al Congreso de que no consta que Ayuso pagase por alojarse en sus apartamentos de lujo
21
meneos
actualidad Born in the U.S.A.’, 40 años de una de las canciones menos comprendidas de Bruce Springsteen
30
meneos
tecnología Muere una 'influencer' de 24 años por comer en exceso durante un directo
61
meneos
ciencia Los expertos alertan de la desaparición de los lechos de algas del Cantábrico: “Se preocupa quien quiera preocuparse”
13
meneos
ocio ¿Quién asusta a los niños en el mundo? (2023) [Mapa]
52
meneos
ciencia Los mares de Titán y sus olas de tres milímetros
23
meneos
mnm Guerra cognitiva y punto y aparte
29
meneos
cultura La masacre de Kielce: quién es responsable del pogromo judío de la posguerra
33
meneos
tecnología La generación Z debe estar dispuesta a trabajar gratis, muchas horas, "dispuestos a hacer cualquier cosa", dice el CMO de Squarespace [EN]
64
meneos
actualidad Analizamos el INFORME UCO, ya que el juez PEINADO ni se lo leyó
39
meneos
ocio Barbie Genocida: ¡próximamente en tu Starbucks más cercano! (inglés)
51
meneos
actualidad Oviedo compra a un fondo suizo la fallida galería comercial del edificio de Calatrava sin tener claro para qué la usará
29
meneos
actualidad Niña de once años muere envenenada accidentalmente por su vecina
i

En Windows si no está en texto plano poco debe de faltarle, con Wireless Keyviewer las tienes sacadas en un visto y no visto.

V 3
K 13
D

#15 NO, eso ya hace eones que no funciona.

V 0
K 16
i

#19
En mi Windows 7 sigue funcionando.

V 0
K 11
D

El archivo sólo es legible por root.
Además, las contraseñas nunca van cifradas, en todo caso picadas (hasheadas).

V 0
K 8
d

Y Wicd???

V 0
K 6