Prije nekoliko dana ogroman skandal je na netu podmetnula publikacija koju je objavio Donjon (savjetovanje o sigurnosti) u kojem u osnovi razgovarali o raznim sigurnosnim pitanjima "Kaspersky Password Manager-a" posebno u njegovom generatoru lozinki, jer je pokazao da svaka generisana lozinka može biti probijena napadom grube sile.
A to je taj savjetnik za sigurnost Donjon otkrio je to Između marta 2019. i oktobra 2020., Kaspersky Password Manager generirane lozinke koje bi mogle biti probijene za nekoliko sekundi. Alat je koristio generator pseudo-slučajnih brojeva koji je bio posebno neprikladan za kriptografske svrhe.
Istraživači su otkrili da je generator lozinki imao je nekoliko problema, a jedan od najvažnijih bio je taj što je PRNG koristio samo jedan izvor entropije Ukratko, generisane lozinke bile su ranjive i nimalo sigurne.
“Prije dvije godine pregledali smo Kaspersky Password Manager (KPM), menadžer lozinki koji je razvio Kaspersky. Kaspersky Password Manager je proizvod koji sigurno čuva lozinke i dokumente u šifriranom i zaštićenom sefu. Ovaj sef je zaštićen glavnom lozinkom. Tako kao i drugi upravitelji lozinki, korisnici moraju upamtiti jednu lozinku da bi koristili i upravljali svim svojim lozinkama. Proizvod je dostupan za različite operativne sisteme (Windows, macOS, Android, iOS, Web ...) Šifrirani podaci mogu se automatski sinhronizirati između svih vaših uređaja, uvijek zaštićeni glavnom lozinkom.
“Glavna karakteristika KPM-a je upravljanje lozinkom. Ključna stvar kod menadžera lozinki je da, za razliku od ljudi, ovi alati dobro generiraju jake i slučajne lozinke. Da bi generirao jake lozinke, Kaspersky Password Manager mora se osloniti na mehanizam za generiranje jakih lozinki ”.
Za problem dodijeljen mu je indeks CVE-2020-27020, gdje vrijedi upozorenje da bi „napadač trebao znati dodatne informacije (na primjer, vrijeme generiranja lozinke)“, činjenica je da su Kaspersky lozinke očito bile manje sigurne nego što su ljudi mislili.
"Generator lozinki uključen u Kaspersky Password Manager naišao je na nekoliko problema," objasnio je Dungeon istraživački tim u postu u utorak. „Najvažnije je da je koristio neprikladan PRNG u kriptografske svrhe. Njegov jedini izvor entropije bilo je sadašnje vrijeme. Bilo koja lozinka koju kreirate može biti brutalno slomljena za nekoliko sekundi. "
Dungeon ističe da je velika greška Kasperskyja bila upotreba sistemskog sata u sekundama kao sjeme u generatoru pseudo-slučajnih brojeva.
"To znači da će svaka instanca Kaspersky Password Manager-a na svijetu generirati potpuno istu lozinku u određenoj sekundi", kaže Jean-Baptiste Bédrune. Prema njegovim riječima, svaka lozinka mogla bi biti meta napada grubom silom ”. „Na primjer, između 315,619,200. i 2010. ima 2021 sekundi, tako da bi KPM mogao generirati najviše 315,619,200 lozinki za zadati skup znakova. Napad grubom silom na ovoj listi traje samo nekoliko minuta. "
Istraživači iz Dungeon je zaključio:
“Kaspersky Password Manager koristio je složenu metodu za generisanje lozinki. Ova metoda imala je za cilj stvaranje teško dostupnih lozinki za standardne hakere lozinki. Međutim, takav metod smanjuje snagu generiranih lozinki u odnosu na namjenske alate. Pokazali smo kako generirati jake lozinke koristeći KeePass kao primjer: jednostavne metode poput nagradne igre su sigurne čim se riješite "pristranosti modula" dok gledate slovo u zadanom rasponu znakova.
“Također smo analizirali Kasperskyjev PRNG i pokazali da je vrlo slab. Njegova unutarnja struktura, torsen Mersenne iz biblioteke Boost, nije pogodan za generiranje kriptografskog materijala. Ali najveća mana je što je ovaj PRNG zasađen trenutnim vremenom, u sekundama. To znači da se svaku lozinku generiranu od ranjivih verzija KPM-a može brutalno izmijeniti u nekoliko minuta (ili sekundu ako približno znate vrijeme generiranja).
Kaspersky je obaviješten o ranjivosti u junu 2019. godine, a verziju zakrpe objavio je u oktobru iste godine. U oktobru 2020. korisnici su obaviješteni da će neke lozinke morati obnoviti, a Kaspersky je 27. aprila 2021. objavio svoje sigurnosno upozorenje:
„Sve javne verzije Kaspersky Password Manager-a odgovorne za ovaj problem sada imaju novu. Logika generiranja lozinke i upozorenje o ažuriranju lozinke za slučajeve kada generirana lozinka vjerovatno nije dovoljno jaka ”, kaže sigurnosna kompanija
Izvor: https://donjon.ledger.com
Lozinke su poput lokota: ne postoji jedan 100% siguran, ali što je složeniji, potrebno je više vremena i truda.
Prilično nevjerovatno, ali ko nema pristup svom računaru, ne može doći ni do učitelja. Danas svako ima svoj računar, osim ako nečiji prijatelj ne ode kod njih kući i slučajno otkrije da je taj program instaliran.
Imali su dovoljno sreće da su imali izvorni kod programa da bi mogli razumjeti kako su generirani, ako je to bio binarni sustav, prvo se mora dekompilirati, što je teško, mnogi ne razumiju bitni jezik ili izravno grubom silom bez razumijevanje kako to funkcionira.