قبل بضعة أيام تم إنشاء فضيحة هائلة على شبكة الإنترنت من خلال منشور نشره دونجون (شركة استشارات أمنية) وفيها أساسًا ناقش العديد من القضايا الأمنية من "Kaspersky Password Manager" خاصة في مولد كلمات المرور الخاص به ، حيث أظهر أن كل كلمة مرور يتم إنشاؤها يمكن اختراقها بواسطة هجوم القوة الغاشمة.
وهي تلك شركة الاستشارات الأمنية دونجون اكتشف ذلك بين مارس 2019 وأكتوبر 2020 ، Kaspersky Password Manager إنشاء كلمات مرور يمكن اختراقها في ثوانٍ. استخدمت الأداة مولد أرقام شبه عشوائي لم يكن مناسبًا بشكل منفرد لأغراض التشفير.
اكتشف الباحثون أن منشئ كلمة المرور كان لديه العديد من المشاكل وكان من أهمها أن PRNG استخدم مصدر إنتروبيا واحد فقط باختصار ، كانت كلمات المرور التي تم إنشاؤها ضعيفة وغير آمنة على الإطلاق.
"قبل عامين ، قمنا بمراجعة Kaspersky Password Manager (KPM) ، وهو مدير كلمات مرور تم تطويره بواسطة Kaspersky. Kaspersky Password Manager هو منتج يخزن كلمات المرور والمستندات بأمان في خزنة مشفرة ومحمية بكلمة مرور. هذه الخزنة محمية بكلمة مرور رئيسية. لذلك ، مثل مديري كلمات المرور الآخرين ، يحتاج المستخدمون إلى تذكر كلمة مرور واحدة لاستخدام وإدارة جميع كلمات المرور الخاصة بهم. المنتج متاح لأنظمة تشغيل مختلفة (Windows ، macOS ، Android ، iOS ، الويب ...) يمكن مزامنة البيانات المشفرة تلقائيًا بين جميع أجهزتك ، محمية دائمًا بكلمة مرورك الرئيسية.
"الميزة الرئيسية لـ KPM هي إدارة كلمات المرور. تتمثل إحدى النقاط الأساسية في برامج إدارة كلمات المرور في أن هذه الأدوات ، على عكس البشر ، جيدة في إنشاء كلمات مرور قوية وعشوائية. لإنشاء كلمات مرور قوية ، يجب أن يعتمد Kaspersky Password Manager على آلية لإنشاء كلمات مرور قوية ".
لهذه المشكلة تعيين الفهرس CVE-2020-27020، حيث يكون التحذير القائل بأن "المهاجم بحاجة إلى معرفة معلومات إضافية (على سبيل المثال ، وقت إنشاء كلمة المرور)" صحيحًا ، فإن الحقيقة هي أن كلمات مرور Kaspersky كانت أقل أمانًا بشكل واضح مما كان يعتقده الناس.
أوضح فريق البحث في Dungeon في منشور يوم الثلاثاء: "واجه مُنشئ كلمات المرور المضمّن في Kaspersky Password Manager العديد من المشكلات". "الشيء الأكثر أهمية هو أنه كان يستخدم PRNG غير مناسب لأغراض التشفير. كان مصدره الوحيد للإنتروبيا هو زمن المضارع. يمكن كسر أي كلمة مرور تنشئها بوحشية في ثوانٍ ".
يشير Dungeon إلى أن الخطأ الكبير الذي ارتكبته شركة Kaspersky كان استخدام ساعة النظام في ثوانٍ كبذرة في مولد أرقام شبه عشوائي.
يقول جان بابتيست بيدرون: "هذا يعني أن كل مثيل لبرنامج Kaspersky Password Manager في العالم سينشئ نفس كلمة المرور تمامًا في ثانية معينة". على حد قوله ، يمكن أن تكون كل كلمة مرور هدفًا لهجوم القوة الغاشمة ". "على سبيل المثال ، هناك 315,619,200 ثانية بين 2010 و 2021 ، لذلك يمكن لـ KPM إنشاء 315,619,200 كلمة مرور كحد أقصى لمجموعة أحرف معينة. لا يستغرق هجوم القوة الغاشمة على هذه القائمة سوى بضع دقائق ".
الباحثون في خلص زنزانة:
"استخدم Kaspersky Password Manager طريقة معقدة لإنشاء كلمات المرور الخاصة به. كانت هذه الطريقة تهدف إلى إنشاء كلمات مرور يصعب اختراقها لمتسللي كلمات المرور القياسية. ومع ذلك ، فإن هذه الطريقة تقلل من قوة كلمات المرور التي تم إنشاؤها مقارنة بالأدوات المخصصة. لقد أوضحنا كيفية إنشاء كلمات مرور قوية باستخدام KeePass كمثال: الطرق البسيطة مثل اليانصيب آمنة ، بمجرد التخلص من "انحياز المعامل" أثناء النظر إلى حرف في نطاق أحرف معين.
"قمنا أيضًا بتحليل برنامج PRNG الخاص بـ Kaspersky وأظهرنا أنه كان ضعيفًا للغاية. هيكلها الداخلي ، إعصار Mersenne من مكتبة Boost ، غير مناسب لتوليد مواد التشفير. لكن أكبر عيب هو أن هذا PRNG تم زرعه مع الوقت الحالي ، بالثواني. هذا يعني أن كل كلمة مرور تم إنشاؤها بواسطة إصدارات ضعيفة من KPM يمكن التلاعب بها بوحشية في غضون دقائق (أو ثانية إذا كنت تعرف وقت التوليد تقريبًا).
تم إبلاغ Kaspersky بالثغرة الأمنية في يونيو 2019 وأصدرت نسخة التصحيح في أكتوبر من نفس العام. في أكتوبر 2020 ، تم إبلاغ المستخدمين بضرورة إعادة إنشاء بعض كلمات المرور ، ونشرت Kaspersky نصائحها الأمنية في 27 أبريل 2021:
"جميع الإصدارات العامة من Kaspersky Password Manager المسؤولة عن هذه المشكلة لديها الآن إصدار جديد. منطق إنشاء كلمة المرور وتنبيه تحديث كلمة المرور للحالات التي ربما لا تكون فيها كلمة المرور التي تم إنشاؤها قوية بما يكفي "، كما تقول شركة الأمان
مصدر: https://donjon.ledger.com