KeySteal - az összes jelszó ellopása a macOS Keychain-ből

Apple

Linuz Henze egy YouTube videón mutatja be KeySteal nevű segédprogramját, amivel állítólag minimális erőfeszítéssel - a "Show me your secrets ;)" gomb megnyomásával - tudja lopni a felhasználók macOS Keychain-ben tárolt jelszavait. Normális esetben, ha egy biztonsági szakember ilyen jellegű problémát talál, értesíti a gyártót és időt ad neki a hiba javítására. Henze tüntetőleg nem működik együtt az Apple-lel, mert az nem kínál bug bounty-t a macOS hibákra.

( zz7 | 2019. 02. 07., cs – 09:27 )

Ha valaki az internet böngészőjében letárolja belépéseit, jelszavait, ha ugyanígy idegenként be tudok lépni a gépébe mindenféle segédprogram nélkül is láthatom, ellophatom. Akkor most ez egy még ennél is súlyosabb biztonsági hiba ami az összes böngésző programot érinti?

Teljesen vaktában lövöldözök, de szerintem a keychain-re lehet mester jelszót tenni, szóval attól hogy a gépe előtt ülsz még nem biztos hogy azonnal odaadja az összes jelszót.

"Ha valaki az internet böngészőjében letárolja belépéseit, jelszavait"
Ez nekem eleve antipattern

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Na igen, de itt arról van szó hogy a Keychain mester jelszó törhető,a videós programmal le lehet nyúlni a jelszavakat és ez ott komoly biztonsági hibának számít.

OK hogy antipattern. De ettől függetlenül ott van benne és a "csak" felhasználók nagy része épp emiatt mert ott van mint lehetőség, használja is. Sőt, a böngésző ezt a lehetőséget jelzi, fel is kínálja a felhasználónak. Nem mondja hogy ne használd mert nem annyira biztonságos és használj inkább más megoldást másképpen.

( uid_16313 | 2019. 02. 07., cs – 09:52 )

Sosem értettem egyébként azt, miért jó az ÖSSZES jelszavamat EGY helyen tárolni.

Tipikus kényelem kontra biztonság téma.

--
robyboy

Feltételezve hogy a keychain egy jelszókezelő (mint a keepass), akkor ez egyáltalán nem biztos, hogy rossz, sőt. Úgy szokták ezeket összerakni, hogy a biztonság és a kényelem megfelelő egyensúlyban legyen (auto exit vagy minimize, csak mesterjelszó vagy egyéb kulcs hatására nyílik ki, meg a db fájl eleve titkosítva van, még az se baj ha valaki lemásolja pendrive-ra vagy egyéb helyre, stb).

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

"meg a db fájl eleve titkosítva van, még az se baj ha valaki lemásolja pendrive-ra vagy egyéb helyre, stb)."

Eleve több helyen tárolom, titkosított fájlrendszeren eltávolítható adathordozón, amit csak a használat előtt csatolok fel (első jelszó). Ott titkosított db fájlban van, amit a jelszókezelő jelszó ellenében nyit meg (második jelszó).

--
trey @ gépház

Vaaagy: van egy cloud-od (esetemben Nextcloud) ami automatikusan szinkronizálja az eszközeidre, beleértve a mobilodat, céges gépet, stb. Így már ha egy kiesik, van időd pótolni. Ezen kívül napi mentésben van külső winyóra és backup szerverre.

-------
It is our choices that define us.

Ahhoz még magának a fájlrendszernek kell kicsúsznia a kezem közül (laptop ellopása, NAS ellopása), illetve kell egy sérülékenység a keepassban és kell a tolvajban szándék ennek a kihasználására. De valóban. Sajnos létező fájlrendszereket nem annyira triviális titkosítani mint amennyi időm van erre.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Igen, de ahhoz meg is kell szerezni az aktuális kdbx filet. Btw, nextcloudban van titkosítás tudtommal, bár én nem használom.

Szerk.: Illetve használom, amin az NC fut, titkosított fájlrendszer. Csak ugye nyilván, amíg a szerver fut, nyitott.

-------
It is our choices that define us.

"Btw, nextcloudban van titkosítás tudtommal, bár én nem használom."

Sokan keverik a titkosított fájlrendszert a külön partíción levő titkosított fájlrendszerrel. Egy sima ext2 fájlrendszeren is létre lehet hozni egy olyan "fájlrendszert", ami titkosított. Pl:

https://en.wikipedia.org/wiki/EncFS

Vagyis, ha a gépedre fel tudod mount-olni a NC bármely fájlrendszerét, akkor azon nyugodtan tárolhatod és titkosítva a dolgaidat, anélkül, hogy maga NC tudna titkosítani.

--
trey @ gépház

Igen-igen, asszem értem, amit mondasz. De egyébként az egész szerver összes partíciója külön-külön titkosítva van nálam. Szal az is, amin egy apache kiszolgálja az NC-t.

Van az NC-nek is valami beépítettje... na, azt nem használom. :) Lehet, h az csinál valami hasonlót, mint amit linkeltél.

-------
It is our choices that define us.

Az EncFS/eCryptfs -nek nem feltétlenül kell külön partíció, elég egy mezei mappa (a titkosított adat tárolására) és egy tetszőleges mount point. Csak az a baj ezekkel hogy pl. az eCryptfs -nek a titkosítandó mappa (pl. home folder) méretének a kb. 2,5x-e kell szabad helyként ha a melléadott automatizált scriptet használod (backup, titkosítás, mozgatás).

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

"Az EncFS/eCryptfs -nek nem feltétlenül kell külön partíció,"

Erről beszéltem én is.

"elég egy mezei mappa (a titkosított adat tárolására) és egy tetszőleges mount point."

Pontosan így használom.

"a kb. 2,5x-e kell szabad helyként ha a melléadott automatizált scriptet használod (backup, titkosítás, mozgatás)."

Nincs helyproblémám. Egy SD kártyán elférek, tekintve, hogy az igazán szenzitív adataim nem foglalnak többet néhány száz MB-nál.

--
trey @ gépház

( carlcolt | 2019. 02. 07., cs – 09:53 )

Rohogni fogtok, de pont szuksegem volt egy ilyen toolra.

Ebbol a buzi Keychain access-bol nem lehet jelszavakat exportalni es ismeros mar ott tartott, hogy egyesevel masolja ki egy Excel fablaba. Szolok neki, hogy van ilyen tool vegre.