11 января 2001-го

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

PalmOS. Секурность

Похоже, есть вещи, которым люди никогда не научатся. Одна из таких вещей — анализ чужих ошибок. Ну, казалось бы, о безопасности, паролях и необходимости выбора «сильного» алгоритма шифрования уже столько сказано… Так нет, уважаемая мной фирма, производящая операционку PalmOS для «наладонников», допустила такой досадный промах.

В базовых приложениях этой ОС есть возможность пометить часть данных как «Private», закрыв их от любопытных глаз паролем. Само собой, пароль хранится где-то в системе. Причем. Промах номер раз: пароль хранится в базе, доступной для прочтения любому приложению. И, промах номер два: догадайтесь, какой выбран алгоритм для шифрования паролей? Да, практически никакой. Для шифрования используются два так называемых «алгоритма». Разные, для паролей длины менее пяти символов, и для длины более четырех. Но оба они сводятся к применению операции xor, за использование которой, в криптовании паролей и прочей частной информации, по-моему, давно пора отдавать под суд.

Такого шока я не испытывал с тех времен, когда обнаружил, что хваленая утилита из комплекта Norton Utilites (DiskReet, кажется), позволяющая создавать диск с доступом по паролю, хранит этот самый пароль также за’xor’енным по константе.

Будем надеяться, фирма Palm хватится за голову или другое место (чем они там придумывали этот алгоритм шифрования?) и выпустит в скором времени патч, предотвращающий дешифрование пароля обратным преобразованием. А пока, владельцам «наладонников» с PalmOS рекомендуется запирать свой Palm и не давать его в руки злым кул хацкерам.

P.S. А вы говорите WindowsCE