O xestor de contrasinais de Kaspersky non era nada seguro e os teus contrasinais poderían ser rachados

Hai poucos días un tremendo escándalo creou na rede unha publicación feita por Donjon (unha consultoría de seguridade) na que basicamente discutiu varios problemas de seguridade de "Kaspersky Password Manager" especialmente no seu xerador de contrasinais, xa que demostrou que cada contrasinal que xeraba podería ser rachado por un ataque de forza bruta.

E é que o consultor de seguridade Donjon descubriu iso Entre marzo de 2019 e outubro de 2020, Kaspersky Password Manager xerou contrasinais que se poderían rachar en segundos. A ferramenta utilizou un xerador de números pseudoaleatorios que non era adecuado para fins criptográficos.

Os investigadores descubriron que o xerador de contrasinal tivo varios problemas e un dos máis importantes foi que PRNG empregou só unha fonte de entropía En resumo, era que os contrasinais xerados eran vulnerables e nada seguros.

“Hai dous anos revisamos Kaspersky Password Manager (KPM), un xestor de contrasinais desenvolvido por Kaspersky. Kaspersky Password Manager é un produto que almacena con seguridade contrasinais e documentos nunha caixa de seguridade cifrada e protexida por contrasinal. Esta caixa forte está protexida por un contrasinal mestre. Así, como outros xestores de contrasinais, os usuarios deben lembrar un único contrasinal para usar e xestionar todos os seus contrasinais. O produto está dispoñible para diferentes sistemas operativos (Windows, macOS, Android, iOS, Web ...) Os datos cifrados pódense sincronizar automaticamente entre todos os seus dispositivos, sempre protexidos co seu contrasinal principal.

“A principal característica de KPM é a xestión de contrasinais. Un punto clave cos xestores de contrasinais é que, a diferenza dos humanos, estas ferramentas son boas para xerar contrasinais fortes e aleatorios. Para xerar contrasinais seguros, Kaspersky Password Manager debe contar cun mecanismo para xerar contrasinais seguros ".

Ao problema asignou o índice CVE-2020-27020, onde a advertencia de que "un atacante necesitaría coñecer información adicional (por exemplo, o tempo no que se xerou o contrasinal)" é válida, o certo é que os contrasinais de Kaspersky eran claramente menos seguros do que a xente pensaba.

"O xerador de contrasinais incluído en Kaspersky Password Manager atopou varios problemas", explicou o martes o equipo de investigación de Dungeon. "O máis importante é que estaba a usar un PRNG inadecuado con fins criptográficos. A súa única fonte de entropía era o tempo presente. Calquera contrasinal que crees podería romper brutalmente en segundos. "

Dungeon sinala que o gran erro de Kaspersky foi usar o reloxo do sistema en segundos como semente nun xerador de números pseudoaleatorios.

"Isto significa que cada instancia de Kaspersky Password Manager no mundo xerará exactamente o mesmo contrasinal nun segundo dado", di Jean-Baptiste Bédrune. Segundo el, cada contrasinal podería ser o obxectivo dun ataque de forza bruta ”. "Por exemplo, hai 315,619,200 segundos entre 2010 e 2021, polo que KPM podería xerar un máximo de 315,619,200 contrasinais para un determinado conxunto de caracteres. Un ataque de forza bruta nesta lista só leva uns minutos. "

Investigadores de Dungeon concluíu:

“Kaspersky Password Manager utilizou un método complexo para xerar os seus contrasinais. Este método tiña como obxectivo crear contrasinais difíciles de rachar para piratas informáticos estándar. Non obstante, tal método reduce a forza dos contrasinais xerados en comparación coas ferramentas dedicadas. Amosamos como xerar contrasinais seguros usando KeePass como exemplo: métodos sinxelos como sorteos son seguros, logo de desfacerse do "sesgo do módulo" mentres se mira unha letra nun intervalo de caracteres dado.

“Tamén analizamos o PRNG de Kaspersky e demostramos que era moi débil. A súa estrutura interna, un tornado Mersenne da biblioteca Boost, non é axeitada para xerar material criptográfico. Pero o maior fallo é que este PRNG foi sementado co tempo actual, en segundos. Isto significa que cada contrasinal xerado por versións vulnerables de KPM pode ser manipulado brutalmente en cuestión de minutos (ou un segundo se sabe aproximadamente o tempo de xeración).

Kaspersky foi informado da vulnerabilidade en xuño de 2019 e lanzou a versión do parche en outubro do mesmo ano. En outubro de 2020, informouse aos usuarios de que algúns contrasinais terían que rexenerarse e Kaspersky publicou o seu aviso de seguridade o 27 de abril de 2021:

“Todas as versións públicas de Kaspersky Password Manager responsables deste problema agora teñen unha nova. Lóxica de xeración de contrasinais e alerta de actualización de contrasinais para casos nos que un contrasinal xerado probablemente non sexa o suficientemente forte ”, di a compañía de seguridade

Fuente: https://donjon.ledger.com


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

2 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   luix dixo

    Os contrasinais son como cadeados: non hai un 100% seguro, pero canto máis complexo sexa, maior será o tempo e o esforzo necesarios.

  2.   ArtEze dixo

    Bastante incrible, pero quen non ten acceso ao seu ordenador nin sequera pode chegar ao profesor. Hoxe en día, todo o mundo ten o seu propio ordenador, a non ser que algún amigo vaia á súa casa e por casualidade descubra que ten instalado ese programa.

    Tiveron a sorte de ter o código fonte do programa para poder entender como se xeraron, se fora un binario, primeiro debe descompilarse, o que é difícil, non moitos entenden a linguaxe de bits ou directamente por forza bruta sen entender como funciona.