לפני כמה ימים שערוריה אדירה הוקמה ברשת על ידי פרסום שהוציא דוניון (ייעוץ ביטחוני) שבו בעצם דן בבעיות אבטחה שונות של "Kaspersky Password Manager" במיוחד במחולל הסיסמאות שלו, שכן הוא הוכיח שכל סיסמה שהיא ייצרה יכולה להיסדק על ידי מתקפת כוח אכזרי.
וזה כי יועץ האבטחה דוניון הוא גילה זאת בין מרץ 2019 לאוקטובר 2020, מנהל הסיסמאות של קספרסקי נוצר סיסמאות שעלולות להיסדק תוך שניות. הכלי השתמש במחולל מספרים פסאודו-אקראי שלא היה מתאים באופן יחיד למטרות הצפנה.
חוקרים גילו כי מחולל הסיסמאות היו לה כמה בעיות ואחת החשובות ביותר הייתה ש- PRNG השתמש רק במקור אנטרופיה אחד בקיצור, הסיסמאות שנוצרו היו פגיעות וכלל לא מאובטחות.
“לפני שנתיים סקרנו את Kaspersky Password Manager (KPM), מנהל סיסמאות שפותח על ידי Kaspersky. מנהל הסיסמאות של קספרסקי הוא מוצר השומר סיסמאות ומסמכים בבטחה בכספת מוצפנת ומוגנת בסיסמה. כספת זו מוגנת באמצעות סיסמת מאסטר. אז כמו מנהלי סיסמאות אחרים, המשתמשים צריכים לזכור סיסמה אחת כדי להשתמש ולנהל את כל הסיסמאות שלהם. המוצר זמין למערכות הפעלה שונות (Windows, macOS, Android, iOS, Web ...) ניתן לסנכרן נתונים מוצפנים באופן אוטומטי בין כל המכשירים שלך, תמיד מוגנים באמצעות סיסמת האב שלך.
"המאפיין העיקרי של KPM הוא ניהול סיסמאות. נקודה מרכזית אצל מנהלי סיסמאות היא שבניגוד לבני אדם, כלים אלה טובים בייצור סיסמאות חזקות ואקראיות. כדי ליצור סיסמאות חזקות, על Kaspersky Password Manager להסתמך על מנגנון ליצירת סיסמאות חזקות ".
לבעיה הוקצה האינדקס CVE-2020-27020, כאשר האזהרה ש"תוקף יצטרך לדעת מידע נוסף (למשל, זמן הסיסמה נוצרה) "תקפה, העובדה היא שסיסמאות קספרסקי היו פחות מאובטחות ממה שאנשים חשבו.
"מחולל הסיסמאות הכלול במנהל הסיסמאות של קספרסקי נתקל בכמה בעיות", הסביר צוות המחקר של Dungeon ביום שלישי. "הדבר החשוב ביותר הוא שהוא השתמש ב- PRNG לא הולם למטרות הצפנה. מקור האנטרופיה היחיד שלה היה זמן הווה. כל סיסמה שתיצור עלולה להישבר באכזריות תוך שניות. "
Dungeon מציין כי הטעות הגדולה של קספרסקי הייתה שימוש בשעון המערכת בשניות כזרע במחולל מספרים פסאודו-אקראי.
"המשמעות היא שכל מופע של מנהל הסיסמאות של קספרסקי בעולם יפיק בדיוק את אותה הסיסמה בשנייה נתונה", אומר ז'אן בטיסט בדרון. לדבריו, כל סיסמה יכולה להיות מטרה להתקפת כוח אכזרי ". "למשל, יש 315,619,200 שניות בין 2010 ל -2021, כך ש- KPM יכול ליצור מקסימום 315,619,200 סיסמאות עבור ערכת תווים נתונה. התקפת כוח אכזרי ברשימה זו אורכת מספר דקות בלבד. "
חוקרים מ צינוק סיכם:
“מנהל הסיסמאות של קספרסקי השתמש בשיטה מורכבת להפקת הסיסמאות שלה. שיטה זו נועדה ליצור סיסמאות קשות לפיצוח עבור האקרים לסיסמאות רגילים. עם זאת, שיטה כזו מפחיתה את חוזק הסיסמאות שנוצרו בהשוואה לכלים ייעודיים. הראינו כיצד ליצור סיסמאות חזקות באמצעות KeePass כדוגמה: שיטות פשוטות כמו הגרלות הינן בטוחות, ברגע שנפטרים מ"הטיית מודולוס "תוך כדי התבוננות באות בטווח תווים נתון.
"ניתחנו גם את ה- PRNG של קספרסקי והראינו שהוא חלש מאוד. המבנה הפנימי שלה, טורנדו של מרסן מספריית Boost, אינו מתאים להפקת חומר קריפטוגרפי. אבל הפגם הגדול ביותר הוא שה- PRNG הזה נזרע בזמן הנוכחי, תוך שניות. משמעות הדבר היא כי כל סיסמא שנוצרה על ידי גרסאות פגיעות של KPM ניתנת להתעסק באכזריות תוך מספר דקות (או שנייה אם אתה יודע בערך את זמן הדור).
קספרסקי נודע על הפגיעות ביוני 2019 ושחרר את גרסת התיקון באוקטובר אותה שנה. באוקטובר 2020 התבשרו למשתמשים כי יהיה צורך להתחדש בכמה סיסמאות, וקספרסקי פרסם את הייעוץ הביטחוני שלו ב- 27 באפריל 2021:
"לכל הגרסאות הציבוריות של Kaspersky Password Manager האחראיות לבעיה זו יש גרסה חדשה. לוגיקה של יצירת סיסמאות והתראה על עדכון סיסמא למקרים בהם סיסמה שנוצרה כנראה אינה חזקה מספיק ", אומרת חברת האבטחה
מקור: https://donjon.ledger.com
סיסמאות הן כמו מנעולים: אין אחד מאובטח ב 100%, אך ככל שהוא מורכב יותר, כך נדרש זמן ומאמץ גדולים יותר.
די מדהים, אבל מי שאין לו גישה למחשב שלה אפילו לא יכול לגשת למורה. נכון לעכשיו, לכל אחד יש את המחשב שלו, אלא אם כן חבר של מישהו הולך לביתו ובמקרה מגלה שהתוכנית שלו מותקנת.
היה להם מזל שקוד המקור של התוכנית היה מסוגל להבין כיצד הם נוצרו, אם זה היה בינארי, תחילה יש לפרק אותו, וזה קשה, לא רבים מבינים שפה קצת, או ישירות בכוח גס. בלי להבין איך זה עובד.