Muutama päivä sitten Netissä perustettiin valtava skandaali Donjonin julkaisemalla julkaisulla (turvallisuusneuvonta), jossa pohjimmiltaan keskusteli useista "Kaspersky Password Manager" -turvallisuuskysymyksistä varsinkin salasanageneraattorissaan, koska se osoitti, että jokainen sen tuottama salasana saattoi murtaa raakavoimien hyökkäyksellä.
Ja se on turvallisuuskonsultti Donjon hän löysi sen Maaliskuun 2019 ja lokakuun 2020 välisenä aikana Kaspersky Password Manager luotuja salasanoja, jotka voidaan murtaa sekunneissa. Työkalu käytti näennäissatunnaislukugeneraattoria, joka ei soveltunut yksinomaan salaustarkoituksiin.
Tutkijat havaitsivat, että salasanan generaattori sillä oli useita ongelmia ja yksi tärkeimmistä oli se, että PRNG käytti vain yhtä entropialähdettä Lyhyesti sanottuna, luodut salasanat olivat haavoittuvia ja eivät ollenkaan suojattuja.
”Kaksi vuotta sitten tarkasimme Kaspersky Password Managerin (KPM), joka on Kasperskyn kehittämä salasananhallintaohjelma. Kaspersky Password Manager on tuote, joka tallentaa salasanat ja asiakirjat turvallisesti salatussa, salasanasuojatussa kassakaapissa. Tämä kassakaappi on suojattu pääsalasanalla. Joten kuten muutkin salasanojen hallintaohjelmat, käyttäjien on muistettava yksi salasana voidakseen käyttää ja hallita kaikkia salasanojaan. Tuote on saatavana eri käyttöjärjestelmille (Windows, macOS, Android, iOS, Web ...) Salatut tiedot voidaan synkronoida automaattisesti kaikkien laitteidesi välillä, aina suojaamalla pääsalasanalla.
”KPM: n pääominaisuus on salasanojen hallinta. Keskeinen asia salasanojen hallitsijoiden kanssa on, että toisin kuin ihmiset, nämä työkalut tuottavat hyviä, satunnaisia salasanoja. Vahvojen salasanojen luomiseksi Kaspersky Password Managerin on luotettava mekanismiin vahvojen salasanojen luomiseksi.
Ongelmalle sille annettiin indeksi CVE-2020-27020, jossa varoitus siitä, että "hyökkääjän on tiedettävä lisätietoja (esimerkiksi salasanan luomisajankohta)", on tosiasia, että Kaspersky-salasanat olivat selvästi vähemmän turvallisia kuin ihmiset ajattelivat.
"Kaspersky Password Manager -sovelluksen salasanageneraattorilla on ollut useita ongelmia", Dungeonin tutkimusryhmä selitti tiistaina julkaisemassaan. "Tärkeintä on, että hän käytti sopimattomaa PRNG: tä salaustarkoituksiin. Sen ainoa entropian lähde oli nykyinen aika. Mikä tahansa luomasi salasana voidaan rikkoa raa'asti sekunneissa. "
Dungeon huomauttaa, että Kasperskyn suuri virhe oli järjestelmän kellon käyttö sekunnissa siemenenä näennäissatunnaislukugeneraattorissa.
"Tämä tarkoittaa, että jokainen Kaspersky Password Manager -ilmentymä maailmassa luo täsmälleen saman salasanan tietyssä sekunnissa", sanoo Jean-Baptiste Bédrune. Hänen mukaansa jokainen salasana voisi olla raakavoimien hyökkäyksen kohde. "Esimerkiksi vuosina 315,619,200-2010 on 2021 315,619,200 XNUMX sekuntia, joten KPM voisi luoda enintään XNUMX XNUMX XNUMX salasanaa annetulle merkistöille. Raakavoimien hyökkäys tässä luettelossa kestää vain muutaman minuutin. "
Tutkijat Dungeon päätteli:
“Kaspersky Password Manager käytti monimutkaista menetelmää salasanojensa luomiseen. Tämän menetelmän tarkoituksena oli luoda vaikeasti murtuvia salasanoja tavallisille salasanahakkereille. Tällainen menetelmä vähentää kuitenkin luotujen salasanojen voimakkuutta verrattuna omistettuihin työkaluihin. Olemme osoittaneet, kuinka luodaan vahvoja salasanoja käyttämällä KeePassia esimerkkinä: yksinkertaiset menetelmät, kuten arvonnat, ovat turvallisia heti, kun pääset eroon "moduulivirheestä" tarkastellessasi kirjainta tietyllä merkkialueella.
"Analysoimme myös Kaspersky PRNG: n ja osoitimme, että se oli erittäin heikko. Sen sisäinen rakenne, Boost-kirjastosta tuleva Mersenne-tornado, ei sovellu salauksen tuottamiseen. Mutta suurin virhe on, että tämä PRNG kylvettiin nykyisellä ajalla sekunneissa. Tämä tarkoittaa, että jokainen haavoittuvien KPM-versioiden tuottama salasana voidaan muuttaa julmasti muutamassa minuutissa (tai sekunnissa, jos tiedät suunnilleen sukupolven ajan).
Kaspersky ilmoitettiin haavoittuvuudesta kesäkuussa 2019 ja julkaisi korjaustiedoston saman vuoden lokakuussa. Lokakuussa 2020 käyttäjille kerrottiin, että jotkin salasanat on uudistettava, ja Kaspersky julkaisi tietoturva-asioiden neuvontansa 27. huhtikuuta 2021:
"Kaikilla Kaspersky Password Managerin ongelmista vastaavilla julkisilla versioilla on nyt uusi versio. Salasanan luontilogiikka ja salasanan päivityshälytys tapauksissa, joissa luotu salasana ei todennäköisesti ole tarpeeksi vahva ”, turvallisuusyhtiö sanoo
lähde: https://donjon.ledger.com
Salasanat ovat kuin riippulukot: 100% turvallista ei ole, mutta mitä monimutkaisempi se on, sitä enemmän aikaa ja vaivaa tarvitaan.
Melko uskomaton, mutta kuka ei pääse hänen tietokoneeseensa, ei edes pääse opettajan luo. Nykyään jokaisella on oma tietokone, ellei jonkun ystävä mene kotiinsa ja satunnaisesti huomaa, että hänellä on tämä ohjelma asennettuna.
Heillä oli onni, että heillä oli ohjelman lähdekoodi voidakseen ymmärtää, miten ne luotiin, jos se olisi ollut binääri, se on ensin dekompiloitava, mikä on vaikeaa, monet eivät ymmärrä bittistä kieltä tai suoraan raakaa voimaa ymmärtämättä miten se toimii.