Få dage siden en enorm skandale blev oprettet på nettet af en publikation fra Donjon (en sikkerhedskonsulentvirksomhed) hvori grundlæggende diskuterede forskellige sikkerhedsspørgsmål i "Kaspersky Password Manager" især i sin adgangskodegenerator, da den viste, at enhver adgangskode, den genererede, kunne blive revnet af et brutalt kraftangreb.
Og det er, at sikkerhedskonsulenten Donjon han opdagede det Mellem marts 2019 og oktober 2020 Kaspersky Password Manager genererede adgangskoder, der kunne knækkes på få sekunder. Værktøjet brugte en pseudo-tilfældig talgenerator, der var entydig uegnet til kryptografiske formål.
Forskere opdagede, at adgangskodegeneratoren det havde flere problemer, og et af de vigtigste var, at PRNG kun brugte en entropikilde Kort sagt var det, at de genererede adgangskoder var sårbare og slet ikke sikre.
”For to år siden gennemgik vi Kaspersky Password Manager (KPM), en adgangskodeadministrator udviklet af Kaspersky. Kaspersky Password Manager er et produkt, der sikkert gemmer adgangskoder og dokumenter i et krypteret og adgangskodebeskyttet pengeskab. Denne pengeskab er beskyttet af en hovedadgangskode. Så ligesom andre adgangskodeadministratorer skal brugerne huske en enkelt adgangskode for at bruge og administrere alle deres adgangskoder. Produktet er tilgængeligt til forskellige operativsystemer (Windows, macOS, Android, iOS, Web ...) Krypterede data kan automatisk synkroniseres mellem alle dine enheder, altid beskyttet af din hovedadgangskode.
“Hovedfunktionen i KPM er adgangskodestyring. Et nøglepunkt med adgangskodeadministratorer er, at disse værktøjer, i modsætning til mennesker, er gode til at generere stærke og tilfældige adgangskoder. For at generere stærke adgangskoder skal Kaspersky Password Manager stole på en mekanisme til at generere stærke adgangskoder ”.
Til problemet det fik tildelt indekset CVE-2020-27020, hvor advarslen om, at "en hacker skulle have brug for at vide yderligere oplysninger (for eksempel det tidspunkt, hvor adgangskoden blev genereret)" er gyldig, er faktum, at Kaspersky-adgangskoder klart var mindre sikre end folk troede.
"Adgangskodegeneratoren, der er inkluderet i Kaspersky Password Manager, har stødt på flere problemer," forklarede Dungeon-forskerteamet i et indlæg tirsdag. ”Det vigtigste er, at han brugte en upassende PRNG til kryptografiske formål. Dens eneste kilde til entropi var nutid. Enhver adgangskode, du opretter, kan brydes brutalt på få sekunder. "
Dungeon påpeger, at Kasperskys store fejl var at bruge systemuret i sekunder som et frø i en pseudo-tilfældig talgenerator.
"Dette betyder, at enhver forekomst af Kaspersky Password Manager i verden vil generere nøjagtigt den samme adgangskode i et givet sekund," siger Jean-Baptiste Bédrune. Ifølge ham kan hvert kodeord være målet for et brutalt kraftangreb ”. ”F.eks. Er der 315,619,200 sekunder mellem 2010 og 2021, så KPM kan generere maksimalt 315,619,200 adgangskoder til et givet tegnsæt. Et brutalt kraftangreb på denne liste tager kun et par minutter. "
Forskere fra Dungeon konkluderede:
“Kaspersky Password Manager brugte en kompleks metode til at generere sine adgangskoder. Denne metode var rettet mod at skabe vanskelige adgangskoder til standardadgangskodehackere. En sådan metode reducerer dog styrken af de genererede adgangskoder sammenlignet med dedikerede værktøjer. Vi har vist, hvordan man genererer stærke adgangskoder ved hjælp af KeePass som et eksempel: enkle metoder som konkurrencer er sikre, så snart du slipper for "modulus bias", mens du ser på et bogstav i et givet tegninterval.
”Vi analyserede også Kasperskys PRNG og viste, at det var meget svagt. Dens interne struktur, en Mersenne-tornado fra Boost-biblioteket, er ikke egnet til at generere kryptografisk materiale. Men den største fejl er, at denne PRNG blev podet med den aktuelle tid i sekunder. Dette betyder, at hver adgangskode, der genereres af sårbare versioner af KPM, kan manipuleres brutalt i løbet af få minutter (eller et sekund, hvis du kender nogenlunde generationstiden).
Kaspersky blev informeret om sårbarheden i juni 2019 og udgav patchversionen i oktober samme år. I oktober 2020 blev brugerne informeret om, at nogle adgangskoder skulle genoprettes, og Kaspersky offentliggjorde sin sikkerhedsrådgivning den 27. april 2021:
“Alle offentlige versioner af Kaspersky Password Manager, der er ansvarlige for dette problem, har nu en ny. Logik til generering af adgangskode og alarm om opdatering af adgangskode til tilfælde, hvor en genereret adgangskode sandsynligvis ikke er stærk nok ”, siger sikkerhedsfirmaet
kilde: https://donjon.ledger.com
Adgangskoder er som hængelåse: der er ikke en 100% sikker, men jo mere kompleks den er, jo større er den krævede tid og kræfter.
Temmelig utroligt, men den, der ikke har adgang til sin computer, kan ikke engang få adgang til læreren. På nuværende tidspunkt har alle deres egen computer, medmindre en ven til nogen går hjem og tilfældigt finder ud af, at de har programmet installeret.
De var heldige nok til at have kildekoden til programmet for at være i stand til at forstå, hvordan de blev genereret, hvis det havde været binært, skal det først dekompileres, hvilket er vanskeligt, ikke mange forstår bit sprog eller direkte af brutal kraft uden at forstå hvordan det fungerer.