Před pár dny publikací Donjona vznikl na internetu obrovský skandál (bezpečnostní poradenství), ve kterém v zásadě projednal různé bezpečnostní problémy aplikace „Kaspersky Password Manager“ zejména ve svém generátoru hesel, protože prokázal, že každé heslo, které vygenerovalo, může být prolomeno útokem hrubou silou.
A to je, že bezpečnostní poradenství Donjon objevil to Mezi březnem 2019 a říjnem 2020 Kaspersky Password Manager generovaná hesla, která by mohla být prolomena během několika sekund. Nástroj používal generátor pseudonáhodných čísel, který byl pro kryptografické účely mimořádně nevhodný.
Vědci zjistili, že generátor hesel mělo to několik problémů a jedním z nejdůležitějších bylo, že PRNG používal pouze jeden zdroj entropie Stručně řečeno, vygenerovaná hesla byla zranitelná a vůbec nebyla zabezpečená.
"Před dvěma lety jsme zkontrolovali Kaspersky Password Manager (KPM), správce hesel vyvinutého společností Kaspersky. Kaspersky Password Manager je produkt, který bezpečně ukládá hesla a dokumenty do šifrovaného a heslem chráněného trezoru. Tento trezor je chráněn hlavním heslem. Stejně jako ostatní správci hesel si uživatelé musí pamatovat jediné heslo, aby mohli používat a spravovat všechna svá hesla. Produkt je k dispozici pro různé operační systémy (Windows, macOS, Android, iOS, Web…). Šifrovaná data lze automaticky synchronizovat mezi všemi vašimi zařízeními, vždy chráněná hlavním heslem.
„Hlavním rysem KPM je správa hesel. Klíčovým bodem správců hesel je, že na rozdíl od lidí jsou tyto nástroje dobré při generování silných náhodných hesel. Při generování silných hesel se aplikace Kaspersky Password Manager musí spoléhat na mechanismus generování silných hesel. “
K problému přidělen index CVE-2020-27020, kde platí upozornění, že „útočník by potřeboval znát další informace (například v době, kdy bylo heslo vygenerováno)“, faktem je, že hesla Kaspersky byla zjevně méně bezpečná, než si lidé mysleli.
„Generátor hesel obsažený v aplikaci Kaspersky Password Manager narazil na několik problémů,“ vysvětlil výzkumný tým Dungeon v úterý. "Nejdůležitější je, že pro kryptografické účely používal nevhodný PRNG." Jediným zdrojem entropie byl přítomný čas. Každé heslo, které vytvoříte, může být během několika sekund brutálně rozbité. “
Dungeon poukazuje na to, že velkou chybou Kaspersky bylo používání systémových hodin v sekundách jako semeno v generátoru pseudonáhodných čísel.
„To znamená, že každá instance aplikace Kaspersky Password Manager na světě vygeneruje v danou sekundu přesně stejné heslo,“ říká Jean-Baptiste Bédrune. Podle něj by každé heslo mohlo být terčem útoku hrubou silou “. „Například mezi lety 315,619,200 a 2010 je 2021 315,619,200 XNUMX sekund, takže KPM může pro danou znakovou sadu vygenerovat maximálně XNUMX XNUMX XNUMX hesel. Útok hrubou silou na tento seznam trvá jen několik minut. “
Vědci z Dungeon uzavřel:
"Společnost Kaspersky Password Manager použila ke generování svých hesel složitou metodu." Tato metoda byla zaměřena na vytváření těžko prolomitelných hesel pro standardní hackery hesel. Taková metoda však snižuje sílu generovaných hesel ve srovnání s vyhrazenými nástroji. Ukázali jsme, jak generovat silná hesla pomocí příkladu KeePass: jednoduché metody, jako jsou loterie, jsou bezpečné, jakmile se zbavíte „zkreslení modulu“ při pohledu na písmeno v daném rozsahu znaků.
"Analyzovali jsme také PRNG společnosti Kaspersky a ukázali jsme, že je velmi slabá." Jeho vnitřní struktura, tornádo Mersenne z knihovny Boost, není vhodná pro generování kryptografického materiálu. Ale největší chybou je, že tento PRNG byl nasazen aktuálním časem, v sekundách. To znamená, že každé heslo generované zranitelnými verzemi KPM může být brutálně pozměněno během několika minut (nebo sekundy, pokud zhruba víte dobu generování).
Společnost Kaspersky byla o chybě zabezpečení informována v červnu 2019 a verzi opravy uvedla v říjnu téhož roku. V říjnu 2020 byli uživatelé informováni, že bude třeba znovu vygenerovat některá hesla, a společnost Kaspersky zveřejnila své bezpečnostní doporučení 27. dubna 2021:
"Všechny veřejné verze aplikace Kaspersky Password Manager odpovědné za tento problém mají nyní novou." Logika generování hesla a upozornění na aktualizaci hesla pro případy, kdy vygenerované heslo pravděpodobně není dostatečně silné, “uvádí bezpečnostní společnost
zdroj: https://donjon.ledger.com
Hesla jsou jako visací zámky: neexistuje žádný stoprocentně zabezpečený, ale čím je složitější, tím větší je čas a úsilí.
Docela neuvěřitelné, ale kdo nemá přístup k jejímu počítači, nemůže se dostat ani k učiteli. V současné době má každý svůj vlastní počítač, ledaže by někdo z jeho přátel šel do domu a náhodou zjistil, že má tento program nainstalovaný.
Měli to štěstí, že měli zdrojový kód programu, aby byli schopni pochopit, jak byly generovány, pokud to byl binární soubor, musí být nejprve dekompilován, což je obtížné, málo lidí rozumí bitovému jazyku nebo přímo hrubou silou bez pochopení toho, jak to funguje.