Sbirciando tra i file di configurazione del wireless mi sono reso conto che Ubuntu salva in chiaro utente e password per l’autenticazione wpa enterprise!
Ogni tanto mi capita di andare a vedere le configurazioni delle reti wifi del mio pc perché in caso di cambiamenti mi trovo più comodo ad eliminarle brutalmente e farmi aiutare dall’nm-applet che iniziare una configurazione manuale!E di cosa mi vado ad accorgere? Che la coppia utente e password che utilizzo per autenticarmi nella rete AlmaWifi di facoltà è così salvata:
<entry name=”wpa_eap_passwd” mtime=”1202998466″ type=”string”>
<stringvalue>password_che_non_saprete</stringvalue>
</entry>
<entry name=”wpa_eap_identity” mtime=”1202998466″ type=”string”>
<stringvalue>pierpaolo.tommasi@studio.unibo.it</stringvalue>
</entry>
Certo, la password delle reti wpa e wep sono criptate da qualche parte (o almeno lo spero), ma questa scoperta ha del ridicolo… Mi sono sempre vantato della sicurezza che riesco ad ottenere con un sistema Linux e guarda qui cosa vado a scoprire…
Ah, il percorso dove potete trovare i file di configurazione delle vostre reti wireless è:
/home/tuo_utente/.gconf/system/networking/wireless/networks/
28° Febbraio 2008 alle 8:39 pm
Il problema sicurezza non è imputabile a Linux ma bensì ad Ubuntu. E’ noto dalla notte dei tempi che in Linux i file di configurazione sono file di testo. Quindi perchè non prodigarsi a scrivere plugin che generano le hash delle password?
E poi non capisco per quale motivo Ubu si ostina a mettere sotto users tutti gli utenti permettendo loro la visibilità dei dati di tutti gli utenti all’interno della /home.
7° Maggio 2008 alle 11:44 am
Mah, anch’io uso Ubuntu (Hardy) (e anch’io studio all’Unibo). Ho controllato il file da te segnalato, ma non mi risulta che la password sia salvata lì in chiaro (c’è solo il nome utente). La password dovrebbe invece essere salvata nel portachiavi. Saluti!
7° Maggio 2008 alle 6:23 pm
Con la versione 8.04 hanno cambiato le cose, ma prima la mia password era bella in chiaro! ^^