Kaspersky pasahitz kudeatzailea ez zen batere segurua eta zure pasahitzak pitzatu egin daitezke

Duela egun gutxi iskanbila izugarria sortu zen sarean Donjonek egindako argitalpen baten bidez (segurtasun-aholkularitza) horretan, funtsean "Kaspersky Password Manager" segurtasunari buruzko hainbat arazo eztabaidatu ditu batez ere bere pasahitz-sortzailean, sortutako pasahitz guztiak indar gordinaren eraso baten bidez pitzatu zitezkeela frogatu baitzuen.

Eta Donjon segurtasun aholkularia da hori aurkitu zuen 2019ko martxoa eta 2020ko urria bitartean, Kaspersky Password Manager Sortu pasahitzak segundotan pitzatu daitezke. Tresnak helburu kriptografikoetarako desegokia zen zenbaki sasi-ausazko sorgailua erabiltzen zuen.

Ikertzaileek aurkitu zuten pasahitz sortzailea hainbat arazo zituen eta garrantzitsuenetako bat PRNG-k entropia iturri bakarra erabiltzen zuela zen Laburbilduz, sortutako pasahitzak ahulak ziren eta ez ziren batere seguruak.

“Duela bi urte, Kaspersky Password Manager (KPM) berrikusi genuen, Kaspersky-k garatutako pasahitz kudeatzailea. Kaspersky Password Manager pasahitzak eta dokumentuak modu enkriptatuan eta pasahitz bidez babestutako kutxa seguruan gordetzen dituen produktua da. Segurtasun hau pasahitz nagusi batekin babestuta dago. Beraz, beste pasahitz kudeatzaile batzuek bezala, erabiltzaileek pasahitz bakarra gogoratu behar dute pasahitz guztiak erabiltzeko eta kudeatzeko. Produktua sistema eragile desberdinetarako dago eskuragarri (Windows, macOS, Android, iOS, Web ...) Enkriptatutako datuak automatikoki sinkroniza daitezke zure gailu guztien artean, beti zure pasahitz nagusiarekin babestuta.

“KPMren ezaugarri nagusia pasahitzen kudeaketa da. Pasahitz kudeatzaileen funtsezko puntu bat da, gizakiak ez bezala, tresna hauek pasahitz sendoak eta ausazkoak sortzen trebeak direla. Pasahitz sendoak sortzeko, Kaspersky Password Manager pasahitz sendoak sortzeko mekanismo batean oinarritu behar da ”.

Arazoari CVE-2020-27020 indizea esleitu zitzaion, "Erasotzaile batek informazio gehigarria (adibidez, pasahitza sortu zeneko denbora)" jakitea ohartarazteko balio duenean, kontua da Kasperskyren pasahitzak jendeak uste zuena baino seguruagoak zirela.

"Kaspersky Password Manager-en sartutako pasahitz sortzaileak hainbat arazo topatu ditu", azaldu zuen Dungeon ikerketa taldeak herenegun egindako mezu batean. "Garrantzitsuena zera da: kriptografikoetarako PRNG desegokia erabiltzen ari zela. Bere entropia iturri bakarra orainaldia zen. Sortzen duzun edozein pasahitz bortizki hautsi liteke segundotan. "

Dungeonek adierazi du Kasperskyren akats handia sistemaren erlojua erabiltzea izan dela segundotan zenbaki sasi-ausazko sorgailu batean hazi gisa.

"Horrek esan nahi du munduko Kaspersky pasahitz kudeatzailearen instantzia bakoitzak pasahitz berbera sortuko duela segundo jakin batean", dio Jean-Baptiste Bédrunek. Haren arabera, pasahitz bakoitza indar gordinaren eraso baten jomuga izan daiteke ”. "Adibidez, 315,619,200 eta 2010 artean 2021 segundo daude, beraz, KPMk gehienez 315,619,200 pasahitz sor ditzake karaktere multzo jakin baterako. Zerrenda honen indar gordinaren erasoak minutu batzuk besterik ez ditu behar ".

Ikertzaileak Dungeonek ondorioztatu zuen:

“Kaspersky Password Manager-ek metodo konplexua erabili zuen pasahitzak sortzeko. Metodo hau pasahitz hacker estandarrei gogor pasatzeko pasahitzak sortzera bideratuta zegoen. Hala ere, metodo horrek sortutako pasahitzen indarra murrizten du tresna dedikatuekin alderatuta. KeePass erabiliz pasahitz sendoak nola sortzen diren erakutsi dugu adibide gisa: zozketa bezalako metodo sinpleak seguruak dira, karaktere-barruti jakin bateko letra aztertzerakoan "moduluen alborapena" kentzen duzunean.

“Kasperskyren PRNG ere aztertu genuen eta oso ahula zela erakutsi genuen. Bere barne egitura, Boost liburutegiko Mersenne tornadoa, ez da egokia material kriptografikoa sortzeko. Baina akatsik handiena da PRNG hau oraingo denborarekin hazi zela, segundotan. Horrek esan nahi du KPMren bertsio zaurgarriek sortutako pasahitz bakoitza modu gordinean manipulatu daitekeela minutu batzuen buruan (edo segundo bat gutxi gorabehera belaunaldi denbora ezagutzen baduzu).

Kasperskyri ahultasunaren berri eman zitzaion 2019ko ekainean eta patch bertsioa urte bereko urrian kaleratu zuen. 2020ko urrian, erabiltzaileei pasahitz batzuk birsortu beharko zirela jakinarazi zitzaien, eta Kaspersky-k bere segurtasun aholkua argitaratu zuen 27eko apirilaren 2021an:

"Arazo honen erantzule den Kaspersky Password Manager-en bertsio publiko guztiek berri bat dute orain. Pasahitza sortzeko logika eta pasahitza eguneratzeko alerta, sortutako pasahitza behar bezain sendoa ez den kasuetarako ”, dio segurtasun enpresak

Fuente: https://donjon.ledger.com


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

2 iruzkin, utzi zurea

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.

  1.   luix esan zuen

    Pasahitzak giltzarrapoak bezalakoak dira: ez dago% 100 segurua, baina zenbat eta konplexuagoa izan, orduan eta denbora eta ahalegina handiagoa da.

  2.   ArtEze esan zuen

    Nahiko sinestezina da, baina bere ordenagailura sarbidea ez duenak ezin du irakaslearengana ere iritsi. Gaur egun, bakoitzak bere ordenagailua du, baldin eta norbaiten laguna bere etxera joaten ez bada eta kasualitatez programa hori instalatuta daukala aurkitzen badute.

    Programaren iturburu kodea izateko zortea izan zuten nola sortu ziren ulertu ahal izateko, bitarra izan balitz lehenik deskonpilatu egin behar da, zaila da, askok ez dute bit hizkuntza ulertzen edo zuzenean indar gordinaren bidez nola funtzionatzen duen ulertzea.