Paar päeva tagasi võrgus pani tohutu skandaali paika Donjoni tehtud väljaanne (turvakonsultatsioon), milles põhimõtteliselt arutas erinevaid "Kaspersky Password Manager" turvaküsimusi eriti oma parooligeneraatoris, kuna see näitas, et iga selle loodud parooli võib toore jõu rünnak murda.
Ja see on see, et turvakonsultant Donjon ta avastas selle Ajavahemikus märts 2019 kuni oktoober 2020 Kaspersky paroolihaldur genereeris paroole, mida sai sekunditega murda. Tööriist kasutas pseudo-juhuslikku arvugeneraatorit, mis ei sobinud krüptograafilistel eesmärkidel.
Teadlased avastasid, et parooligeneraator sel oli mitu probleemi ja üks olulisemaid oli see, et PRNG kasutas ainult ühte entroopia allikat Lühidalt öeldes oli see, et loodud paroolid olid haavatavad ja polnud üldse turvalised.
„Kaks aastat tagasi vaatasime üle Kaspersky välja töötatud paroolihalduri Kaspersky Password Manager (KPM). Kaspersky Password Manager on toode, mis salvestab paroole ja dokumente turvaliselt krüpteeritud ja paroolidega kaitstud seifis. See seif on kaitstud põhiparooliga. Nii et nagu ka teised paroolihaldurid, peavad kasutajad kõigi oma paroolide kasutamiseks ja haldamiseks meeles pidama ühte parooli. Toode on saadaval erinevatele operatsioonisüsteemidele (Windows, MacOS, Android, iOS, Web ...) Krüpteeritud andmeid saab kõigi teie seadmete vahel automaatselt sünkroonida, kaitstes alati teie põhiparooliga.
“KPM-i peamine omadus on paroolihaldus. Paroolihaldurite põhipunkt on see, et erinevalt inimestest on need tööriistad head tugevate, juhuslike paroolide loomisel. Tugevate paroolide loomiseks peab Kaspersky Password Manager tuginema tugevate paroolide genereerimise mehhanismile.
Probleemi juurde määrati indeks CVE-2020-27020, kus kehtib hoiatus, et "ründajal oleks vaja teada lisateavet (näiteks parooli loomise aeg)", on fakt, et Kaspersky paroolid olid selgelt vähem turvalised kui inimesed arvasid.
"Kaspersky Password Manageris sisalduv parooligeneraator on kokku puutunud mitme probleemiga," selgitas Dungeoni uurimisrühm teisipäevases postituses. "Kõige tähtsam on see, et ta kasutas krüptograafilistel eesmärkidel sobimatut PRNG-d. Selle ainus entroopia allikas oli olevik. Kõik teie loodud paroolid võidakse sekunditega jõhkralt murda. "
Dungeon juhib tähelepanu sellele, et Kaspersky suur viga oli süsteemikella kasutamine sekundites pseudojuhuslike arvugeneraatorite seemnena.
"See tähendab, et iga maailma Kaspersky Password Manageri eksemplar genereerib antud sekundiga täpselt sama parooli," ütleb Jean-Baptiste Bédrune. Tema sõnul võiks iga parool olla toore jõu rünnaku sihtmärk ”. Näiteks on ajavahemikul 315,619,200–2010 2021 315,619,200 XNUMX sekundit, nii et KPM suudaks antud tähemärkide jaoks genereerida maksimaalselt XNUMX XNUMX XNUMX parooli. Selle nimekirja toore jõu rünnak võtab vaid paar minutit. "
Los izmekladores de Dungeon jõudis järeldusele:
„Kaspersky Password Manager kasutas paroolide loomiseks keerukat meetodit. Selle meetodi eesmärk oli luua paroolihäkkerite jaoks raskesti murduvaid paroole. Kuid selline meetod vähendab loodud paroolide tugevust võrreldes spetsiaalsete tööriistadega. Oleme näidanud, kuidas luua tugevaid paroole, kasutades näiteks KeePassi: lihtsad meetodid nagu loosimised on ohutud, niipea kui saate vabaneda "mooduli eelarvamustest", vaadates samal ajal tähemärki.
"Analüüsisime ka Kaspersky PRNG-d ja näitasime, et see oli väga nõrk. Selle sisemine struktuur, raamatukogu Boost Mersenne'i tornaado, ei sobi krüptograafilise materjali loomiseks. Kuid suurim viga on see, et see PRNG külvati praeguse ajaga, sekundites. See tähendab, et igat KPM-i haavatavate versioonide genereeritud parooli saab mõne minuti jooksul (või umbes sekundiga, kui teate genereerimisaega) jõhkralt rikkuda.
Kasperskyle teatati haavatavusest 2019. aasta juunis ja ta andis plaastri versiooni välja sama aasta oktoobris. 2020. aasta oktoobris teatati kasutajatele, et mõned paroolid tuleb uuesti luua, ja Kaspersky avaldas 27. aprillil 2021 oma turvanõuande:
„Kõigil selle probleemi eest vastutavatel Kaspersky Password Manageri avalikel versioonidel on nüüd uus versioon. Paroolide genereerimise loogika ja parooliuuenduse hoiatus juhtudel, kui loodud parool pole tõenäoliselt piisavalt tugev, ”ütleb turvafirma
allikas: https://donjon.ledger.com