数日前 ドンジョンが作った出版物によって、途方もないスキャンダルがネット上に設定されました (セキュリティコンサルタント)基本的に 「カスペルスキーパスワードマネージャー」のさまざまなセキュリティ問題について話し合いました 特にパスワードジェネレータでは、生成されたすべてのパスワードがブルートフォース攻撃によって解読される可能性があることが示されました。
そして、それはセキュリティコンサルタント会社のドンジョンです 彼はそれを発見した 2019年2020月からXNUMX年XNUMX月まで、カスペルスキーパスワードマネージャー 数秒で解読される可能性のある生成されたパスワード。 このツールは、暗号化の目的には特に不適切な疑似乱数ジェネレーターを使用していました。
研究者は、パスワードジェネレータが いくつかの問題があり、最も重要なことのXNUMXつは、PRNGがXNUMXつのエントロピーソースのみを使用したことでした。 つまり、生成されたパスワードは脆弱であり、まったく安全ではありませんでした。
「XNUMX年前、Kasperskyによって開発されたパスワードマネージャーであるKaspersky Password Manager(KPM)をレビューしました。 Kaspersky Password Managerは、パスワードとドキュメントを暗号化され、パスワードで保護された金庫に安全に保管する製品です。 この金庫はマスターパスワードで保護されています。 したがって、他のパスワードマネージャーと同様に、ユーザーはすべてのパスワードを使用および管理するためにXNUMXつのパスワードを覚えておく必要があります。 この製品は、さまざまなオペレーティングシステム(Windows、macOS、Android、iOS、Webなど)で利用できます。暗号化されたデータは、すべてのデバイス間で自動的に同期でき、常にマスターパスワードで保護されます。
「KPMの主な機能はパスワード管理です。 パスワードマネージャーの重要なポイントは、人間とは異なり、これらのツールは強力でランダムなパスワードを生成するのに優れているということです。 強力なパスワードを生成するには、Kaspersky PasswordManagerは強力なパスワードを生成するメカニズムに依存する必要があります。
問題に インデックスCVE-2020-27020を割り当てました、「攻撃者は追加情報(たとえば、パスワードが生成された時刻)を知る必要がある」という警告が有効である場合、カスペルスキーのパスワードは明らかに人々が思っていたよりも安全性が低いという事実があります。
「KasperskyPasswordManagerに含まれているパスワードジェネレーターでいくつかの問題が発生しました」とDungeonの調査チームは火曜日の投稿で説明しました。 「最も重要なことは、彼が暗号化の目的で不適切なPRNGを使用していたことです。 エントロピーの唯一の原因は現在形でした。 作成したパスワードは、数秒で残酷に破られる可能性があります。」
ダンジョンは、カスペルスキーの大きな間違いはシステム時計の使用であったと指摘しています 疑似乱数ジェネレーターのシードとして数秒で。
「これは、世界中のカスペルスキーパスワードマネージャーのすべてのインスタンスが、指定された秒内にまったく同じパスワードを生成することを意味します」と、Jean-BaptisteBédrune氏は述べています。 彼によると、各パスワードはブルートフォース攻撃の標的になる可能性があります」。 「たとえば、315,619,200年から2010年の間に2021秒あるため、KPMは特定の文字セットに対して最大315,619,200のパスワードを生成できます。 このリストに対するブルートフォース攻撃は数分しかかかりません。」
からの研究者 ダンジョンは結論しました:
「KasperskyPasswordManagerは、複雑な方法を使用してパスワードを生成しました。 この方法は、標準的なパスワードハッカーのために解読しにくいパスワードを作成することを目的としていました。 ただし、このような方法では、専用のツールと比較して、生成されるパスワードの強度が低下します。 例としてKeePassを使用して強力なパスワードを生成する方法を示しました。特定の文字範囲の文字を見ながら「モジュラスバイアス」を取り除くとすぐに、懸賞のような簡単な方法が安全です。
「また、KasperskyのPRNGを分析し、非常に弱いことを示しました。 その内部構造であるBoostライブラリのメルセンヌ竜巻は、暗号化マテリアルの生成には適していません。 しかし、最大の欠点は、このPRNGに現在の時刻(秒単位)がシードされていることです。 つまり、脆弱なバージョンのKPMによって生成されたすべてのパスワードは、数分(または、生成時間を大まかに知っている場合はXNUMX秒)で残酷に改ざんされる可能性があります。
Kasperskyは2019年2020月に脆弱性を知らされ、同じ年の27月にパッチバージョンをリリースしました。 2021年XNUMX月、一部のパスワードを再生成する必要があることがユーザーに通知され、KasperskyはXNUMX年XNUMX月XNUMX日にセキュリティアドバイザリを公開しました。
「この問題の原因となっているKasperskyPassword Managerのすべてのパブリックバージョンには、新しいバージョンがあります。 生成されたパスワードがおそらく十分に強力でない場合のパスワード生成ロジックとパスワード更新アラート」とセキュリティ会社は言います
パスワードは南京錠のようなものです。100%安全なものはXNUMXつではありませんが、複雑になるほど、必要な時間と労力が大きくなります。
かなり信じられないことですが、コンピュータにアクセスできない場合は、教師にアクセスすることすらできません。 今日では、誰かの友人が家に行って、たまたまそのプログラムがインストールされていることに気付かない限り、誰もが自分のコンピュータを持っています。
彼らは幸運にも、プログラムのソースコードがどのように生成されたかを理解できるようになりました。バイナリの場合は、最初に逆コンパイルする必要があります。これは困難で、ビット言語を理解する人は少なく、ブルートフォースで直接行う必要があります。それがどのように機能するかを理解せずに。