Prije nekoliko dana Donjon je objavio strašan skandal na mreži (sigurnosno savjetovanje) u kojem u osnovi razgovarali o raznim sigurnosnim pitanjima "Kaspersky Password Manager" posebno u svom generatoru lozinki, jer je pokazao da svaka lozinka koju je generirao može biti probijena napadom grube sile.
A to je taj savjetnik za sigurnost Donjon otkrio je to Između ožujka 2019. i listopada 2020., Kaspersky Password Manager generirane lozinke koje bi mogle biti provaljene u nekoliko sekundi. Alat je koristio generator pseudo-slučajnih brojeva koji je bio posebno neprikladan za kriptografske svrhe.
Istraživači su otkrili da je generator lozinki imao je nekoliko problema, a jedan od najvažnijih bio je taj što je PRNG koristio samo jedan izvor entropije Ukratko, generirane su lozinke bile ranjive i nimalo sigurne.
“Prije dvije godine pregledali smo Kaspersky Password Manager (KPM), upravitelj lozinki koji je razvio Kaspersky. Kaspersky Password Manager je proizvod koji sigurno sprema lozinke i dokumente u šifrirani i zaštićen lozinkom sef. Ovaj sef zaštićen je glavnom lozinkom. Tako kao i drugi upravitelji lozinki, korisnici moraju pamtiti jednu lozinku da bi koristili i upravljali svim svojim lozinkama. Proizvod je dostupan za različite operativne sustave (Windows, macOS, Android, iOS, Web ...) Šifrirani podaci mogu se automatski sinkronizirati između svih vaših uređaja, uvijek zaštićeni glavnom lozinkom.
“Glavna značajka KPM-a je upravljanje lozinkom. Ključna stvar kod menadžera lozinki je da su, za razliku od ljudi, ti alati dobri u generiranju jakih, slučajnih lozinki. Da bi generirao jake lozinke, Kaspersky Password Manager mora se osloniti na mehanizam za generiranje jakih lozinki ”.
Do problema dodijeljen mu je indeks CVE-2020-27020, gdje vrijedi upozorenje da bi „napadač trebao znati dodatne informacije (na primjer, vrijeme generiranja lozinke)“, činjenica je da su Kaspersky lozinke očito bile manje sigurne nego što su ljudi mislili.
"Generator lozinki uključen u Kaspersky Password Manager naišao je na nekoliko problema", objasnio je istraživački tim Dungeona u postu od utorka. “Najvažnije je da je koristio neodgovarajući PRNG u kriptografske svrhe. Njegov jedini izvor entropije bilo je sadašnje vrijeme. Bilo koja lozinka koju izradite može biti brutalno slomljena za nekoliko sekundi. "
Dungeon ističe da je velika pogreška Kasperskyja bila upotreba sistemskog sata u sekundama kao sjeme u generatoru pseudo-slučajnih brojeva.
"To znači da će svaka instanca programa Kaspersky Password Manager u svijetu generirati potpuno istu lozinku u određenoj sekundi", kaže Jean-Baptiste Bédrune. Prema njegovim riječima, svaka lozinka mogla bi biti meta napada grubom silom ”. „Na primjer, između 315,619,200. i 2010. ima 2021 sekundi, tako da bi KPM mogao generirati najviše 315,619,200 lozinki za zadani skup znakova. Napad grubom silom na ovom popisu traje samo nekoliko minuta. "
Istraživači iz Dungeon je zaključio:
“Kaspersky Password Manager upotrijebio je složenu metodu za generiranje svojih lozinki. Ova metoda imala je za cilj stvaranje teško dostupnih lozinki za standardne hakere lozinki. Međutim, takva metoda smanjuje snagu generiranih lozinki u usporedbi s namjenskim alatima. Pokazali smo kako generirati jake lozinke pomoću KeePass-a kao primjer: jednostavne metode poput nagradne igre sigurne su čim se riješite "pristranosti modula" dok gledate slovo u zadanom rasponu znakova.
“Također smo analizirali Kasperskyjev PRNG i pokazali da je vrlo slab. Njegova unutarnja struktura, torsen Mersenne iz biblioteke Boost, nije pogodan za generiranje kriptografskog materijala. No, najveća je mana što je ovaj PRNG zasijan trenutnim vremenom, u sekundama. To znači da se svaku lozinku generiranu od ranjivih verzija KPM-a može brutalno izmijeniti u nekoliko minuta (ili sekundu ako približno znate vrijeme generiranja).
Kaspersky je obaviješten o ranjivosti u lipnju 2019. godine, a verziju zakrpe objavio je u listopadu iste godine. U listopadu 2020. korisnici su obaviješteni da će se neke lozinke morati obnoviti, a Kaspersky je 27. travnja 2021. objavio svoje sigurnosno upozorenje:
“Sve javne verzije programa Kaspersky Password Manager odgovorne za ovaj problem sada imaju novu. Logika generiranja lozinke i upozorenje o ažuriranju lozinke za slučajeve kada generirana lozinka vjerojatno nije dovoljno jaka ”, kaže zaštitarska tvrtka
izvor: https://donjon.ledger.com
Zaporke su poput lokota: ne postoji jedna 100% sigurna, ali što je složenija, potrebno je više vremena i truda.
Prilično nevjerojatno, ali ako nemate pristup svom računalu, ne možete pristupiti ni učitelju. U današnje vrijeme svatko ima svoje računalo, osim ako mu nečiji prijatelj ode u kuću i slučajno ustanove da je taj program instaliran.
Imali su sreću da su imali izvorni kod programa kako bi mogli razumjeti kako su generirani, da je bio binarni, prvo se mora dekompilirati, što je teško, ne razumiju mnogi bitni jezik ili izravno grubom silom bez razumijevanje kako to funkcionira.