Kaspersky сырсөз башкаргычынын коопсуздугу такыр болгон эмес жана сиздин сырсөздөрүңүз бузулуп калышы мүмкүн

Бир нече күн мурун Донжон тарабынан чыгарылган басылма аркылуу торго чоң скандал орнотулган (коопсуздук боюнча консультация), анда негизинен "Касперский Сырсөз Менеджеринин" ар кандай коопсуздук маселелерин талкуулады айрыкча, анын пароль жаратуучусунда, анткени ал жараткан ар бир сыр сөздү орой күч колдонуп бузуп алса болот.

Бул коопсуздук боюнча консультант Донжон ал муну тапты 2019-жылдын март айынан 2020-жылдын октябрь айына чейин Касперский Сырсөз Менеджери бир нече секунданын ичинде бузулуп кетиши мүмкүн болгон сырсөздөрдү жараткан. Курал псевдо-кокустук сандар генераторун колдонгон, ал криптографиялык максаттар үчүн өзгөчө ылайыксыз болгон.

Изилдөөчүлөр пароль жаратуучу экендигин аныкташты анда бир нече көйгөйлөр болгон жана эң маанилүүлөрүнүн бири PRNG бир гана энтропия булагын колдонгон Кыскача айтканда, түзүлгөн сырсөздөр алсыз жана такыр коопсуз эмес болчу.

“Эки жыл мурун биз Kaspersky тарабынан иштелип чыккан сырсөз башкаргыч Kaspersky Password Manager (KPM) менен тааныштык. Kaspersky Password Manager - бул сырсөздөрдү жана документтерди шифрленген, сыр сөз менен корголгон сейфте коопсуз сактаган продукт. Бул сейф башкы сыр сөз менен корголгон. Ошентип, башка сырсөздөрдү башкаруучулар сыяктуу эле, колдонуучулар бардык сырсөздөрдү колдонуу жана башкаруу үчүн бир сөздү эстеп калуулары керек. Продукт ар кандай иштетүү тутумдары үчүн жеткиликтүү (Windows, macOS, Android, iOS, Веб ...) Шифрленген маалыматтар автоматтык түрдө бардык түзмөктөрүңүздүн ортосунда шайкештештирилип, ар дайым сиздин башкы сырсөзүңүз менен корголот.

“KPMдин негизги өзгөчөлүгү - паролду башкаруу. Сырсөздөрдү башкаруучулардын көңүлүн бурчу нерсе, адамдардан айырмаланып, бул шаймандар күчтүү, кокустук паролдорду жаратууда. Күчтүү сырсөздөрдү жаратуу үчүн, Касперский Сырсөз Менеджери күчтүү сырсөздөрдү жаратуу механизмине ишениши керек ”.

Көйгөйгө ага CVE-2020-27020 индекси ыйгарылды, эгерде "чабуулчу кошумча маалыматты билиши керек болсо (мисалы, пароль түзүлгөн убакыт)" деген эскертүү жарактуу болсо, анда Касперскийдин сырсөздөрү адамдар ойлогондон кыйла начар экени анык.

"Касперский Сырсөз Менеджерине кирген пароль генератору бир нече көйгөйлөргө туш болду", - деп түшүндүрдү Dungeon изилдөө тобу шейшембидеги билдирүүсүндө. «Эң негизгиси, ал орунсуз PRNGди криптографиялык максатта колдонуп келген. Анын энтропиянын бирден-бир булагы ушул учур болгон. Сиз түзгөн бардык сырсөздөр бир нече секунданын ичинде мыкаачылык менен бузулушу мүмкүн. "

Dungeon Касперскийдин чоң катасы тутум саатын колдонгондугун белгиледи псевдо-кокустук сандар генераторундагы урук катары секунда ичинде.

"Демек, дүйнөдөгү Касперский Сырсөз Менеджеринин ар бир нускасы бир секунда ичинде дал ошондой сыр сөздү жаратат", - дейт Жан-Батист Бедрун. Ага ылайык, ар бир пароль орой күч колдонууга дуушар болушу мүмкүн ”. "Мисалы, 315,619,200-2010-жылдар аралыгында 2021 секунда бар, ошондуктан KPM берилген символдор топтому үчүн эң көп дегенде 315,619,200 паролду түзө алат. Бул тизмеге орой күч менен чабуул бир нече мүнөткө созулат. "

Изилдөөчүлөр Dungeon корутунду:

«Касперский Сырсөз Менеджери өзүнүн паролдорун түзүү үчүн татаал ыкманы колдонду. Бул ыкма стандарттык пароль хакерлери үчүн оңой бузулуучу сырсөздөрдү түзүүгө багытталган. Бирок, мындай ыкма атайын куралдарга салыштырмалуу түзүлгөн паролдордун күчүн төмөндөтөт. Мисал катары KeePassты колдонуп, кандайча күчтүү паролдорду жаратууну көрсөттүк: берилген тамгалар диапазонундагы катты карап жатып, "модулдук калыс" абалынан арылгандан кийин, тотализатор сыяктуу жөнөкөй ыкмалар коопсуз.

«Ошондой эле, биз Касперскийдин PRNG анализин жүргүзүп, анын өтө начар экендигин көрсөттүк. Анын ички түзүлүшү, Boost китепканасынан чыккан Мерсенн торнадосу, криптографиялык материалдарды жаратууга ылайыксыз. Бирок эң чоң кемчилик - бул PRNG секунда ичинде, учурдагы убакыт менен себилген. Демек, KPMдин аялуу котормолорунда түзүлгөн ар бир сыр сөздү бир нече мүнөттүн ичинде мыкаачылык менен бузууга болот (же эгерде сиз генерациялоо убактысын болжол менен билсеңиз, бир секундда).

Касперский 2019-жылдын июнь айында аялуу кат жөнүндө кабардар болуп, ошол эле жылдын октябрь айында патч версиясын чыгарган. 2020-жылдын октябрь айында колдонуучуларга айрым сырсөздөрдү калыбына келтирүү керектиги жөнүндө маалымат берилген жана Касперский 27-жылдын 2021-апрелинде коопсуздук кеңешин жарыялаган:

“Бул көйгөй үчүн жооптуу болгон Касперский Сырсөз Менеджеринин баардык ачык версияларында жаңысы бар. Сырсөздөрдү жаратуу логикасы жана паролду жаңыртуу эскертүүсү, эгерде пароль жетишсиз болсо, ”дейт коопсуздук компаниясы

булагы: https://donjon.ledger.com


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

2 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   luix ал мындай деди:

    Сырсөздөр кулпу кулпусуна окшош: 100% коопсуз эмес, бирок канчалык татаал болсо, ошончолук көп убакыт жана күч талап кылынат.

  2.   ArtEze ал мындай деди:

    Бул укмуштуудай, бирок компьютерине кире албагандар мугалимге да кире алышпайт. Учурда кимдир бирөөнүн досу үйүнө барбаса жана кокустан аларда ошол программа орнотулганын билбесе, ар кимдин жеке компьютери бар.

    Алар программанын баштапкы кодуна ээ болуу бактысына ээ болушту, алар кантип жаратылганын түшүнө алышты, эгерде экилик болсо, аны алгач декомпиляциялоо керек, бул кыйын, көбү бит тилин түшүнбөйт, же түз күч менен анын кантип иштээрин түшүнбөй туруп.