काही दिवसांपूर्वी डोन्जॉनने केलेल्या प्रकाशनातून नेटवर एक प्रचंड घोटाळा सुरू झाला (एक सुरक्षा सल्लामसलत) ज्यात मुळात "कॅस्परस्की संकेतशब्द व्यवस्थापक" च्या सुरक्षाविषयक विविध विषयांवर चर्चा केली विशेषत: त्याच्या संकेतशब्द जनरेटरमध्ये, ते व्युत्पन्न केलेला प्रत्येक संकेतशब्द क्रूर शक्तीच्या हल्ल्यामुळे क्रॅक होऊ शकतो हे स्पष्ट होते.
आणि हे सुरक्षा सल्लागार डोन्जॉन आहे त्याने ते शोधून काढले मार्च 2019 ते ऑक्टोबर 2020 दरम्यान, कॅस्परस्की संकेतशब्द व्यवस्थापक सेकंदात क्रॅक होऊ शकणारे व्युत्पन्न संकेतशब्द या साधनेने छद्म-यादृच्छिक क्रमांकाचा एक जनरेटर वापरला जो क्रिप्टोग्राफिक हेतूसाठी एकट्याने अनुपयुक्त होता.
संशोधकांना आढळले की संकेतशब्द जनरेटर यात बर्याच समस्या आल्या आणि त्यातील एक महत्त्वाची बाब म्हणजे पीआरएनजीने फक्त एक एन्टरॉपी स्त्रोत वापरला थोडक्यात असे होते की व्युत्पन्न केलेले संकेतशब्द असुरक्षित होते आणि सुरक्षित नव्हते.
“दोन वर्षांपूर्वी, आम्ही कॅस्परस्कीने विकसित केलेल्या संकेतशब्द व्यवस्थापक कॅस्परस्की संकेतशब्द व्यवस्थापक (केपीएम) चे पुनरावलोकन केले. कॅस्परस्की संकेतशब्द व्यवस्थापक असे उत्पादन आहे जे संकेतशब्द आणि दस्तऐवज एका एनक्रिप्टेड आणि संकेतशब्द-संरक्षित सेफमध्ये सुरक्षितपणे संग्रहित करते. हे सुरक्षित मास्टर संकेतशब्दाद्वारे संरक्षित आहे. तर इतर संकेतशब्द व्यवस्थापकांप्रमाणेच वापरकर्त्यांना त्यांचे सर्व संकेतशब्द वापरण्यासाठी आणि व्यवस्थापित करण्यासाठी एकच संकेतशब्द लक्षात ठेवणे आवश्यक आहे. उत्पादन भिन्न ऑपरेटिंग सिस्टमसाठी उपलब्ध आहे (विंडोज, मॅकोस, अँड्रॉइड, आयओएस, वेब…) एन्क्रिप्टेड डेटा स्वयंचलितपणे आपल्या सर्व डिव्हाइसमध्ये समक्रमित केला जाऊ शकतो, जो आपल्या मास्टर संकेतशब्दाद्वारे नेहमी संरक्षित असतो.
“केपीएमचे मुख्य वैशिष्ट्य म्हणजे पासवर्ड व्यवस्थापन. संकेतशब्द व्यवस्थापकांचा मुख्य मुद्दा असा आहे की मानवांप्रमाणेच ही साधने मजबूत आणि यादृच्छिक संकेतशब्द तयार करण्यात चांगली आहेत. सशक्त संकेतशब्द व्युत्पन्न करण्यासाठी, कॅस्परस्की संकेतशब्द व्यवस्थापकाने सशक्त संकेतशब्द व्युत्पन्न करण्याच्या यंत्रणेवर अवलंबून असणे आवश्यक आहे.
समस्या आहे त्याला निर्देशांक सीव्हीई -2020-27020 देण्यात आला होता, जेथे "आक्रमणकर्त्यास अतिरिक्त माहिती माहित असणे आवश्यक होते (उदाहरणार्थ, संकेतशब्द व्युत्पन्न केल्याची वेळ)" वैध आहे, तेथे तथ्य आहे की कॅस्परस्की संकेतशब्द लोकांच्या विचारांपेक्षा स्पष्टपणे कमी सुरक्षित होते.
"कॅस्परस्की संकेतशब्द व्यवस्थापकात समाविष्ट संकेतशब्द जनरेटरला बर्याच अडचणी आल्या आहेत," कालकोठडी संशोधन पथकाने मंगळवारी एका पोस्टमध्ये स्पष्ट केले. “सर्वात महत्वाची गोष्ट म्हणजे तो क्रिप्टोग्राफिक हेतूसाठी अयोग्य पीआरएनजी वापरत होता. त्याचे एंट्रोपीचे एकमात्र स्त्रोत सध्याचे काल होते. आपण तयार केलेला कोणताही संकेतशब्द काही सेकंदात क्रूरपणे मोडला जाऊ शकतो. "
अंधारकोठडी दाखवते की कॅस्परस्कीची मोठी चूक सिस्टम घड्याळ वापरत होती एक छद्म-यादृच्छिक संख्या जनरेटर मध्ये बियाणे म्हणून सेकंदात.
"याचा अर्थ असा आहे की जगातील कॅस्परस्की संकेतशब्द व्यवस्थापकाची प्रत्येक घटना निश्चित सेकंदात समान संकेतशब्द व्युत्पन्न करेल," जीन-बॅप्टिस्ट बड्र्यून म्हणतात. त्यांच्या मते, प्रत्येक संकेतशब्द हा क्रूर शक्ती हल्ल्याचे लक्ष्य असू शकतो. “उदाहरणार्थ, २०१० ते २०२१ दरम्यान 315,619,200१2010१,, २०० सेकंद आहेत, त्यामुळे केपीएम दिलेल्या वर्ण सेटसाठी जास्तीत जास्त 2021 संकेतशब्द व्युत्पन्न करू शकेल. या यादीवरील क्रूर शक्ती हल्ला काही मिनिटे घेते. "
पासून संशोधक अंधारकोठडी निष्कर्ष:
“कॅस्परस्की संकेतशब्द व्यवस्थापकाने त्याचे संकेतशब्द व्युत्पन्न करण्यासाठी एक जटिल पद्धत वापरली. ही पद्धत मानक संकेतशब्द हॅकर्ससाठी हार्ड-टू-क्रॅक संकेतशब्द तयार करण्याच्या उद्देशाने होती. तथापि, अशी पद्धत समर्पित साधनांच्या तुलनेत व्युत्पन्न संकेतशब्दांची सामर्थ्य कमी करते. आम्ही केपॅस उदाहरण म्हणून मजबूत संकेतशब्द कसे व्युत्पन्न करायचे ते दर्शविले आहे: स्वीपस्टेक्ससारख्या सोप्या पद्धती सुरक्षित आहेत, दिलेल्या वर्ण श्रेणीतील पत्राकडे जाताना आपण "मॉड्यूलस बायस" पासून मुक्त व्हालच.
“आम्ही कॅस्परस्कीच्या पीआरएनजीचे विश्लेषणही केले आणि ते खूप कमकुवत असल्याचे दर्शविले. त्याची अंतर्गत रचना, बूस्ट लायब्ररीमधील एक मर्सेन टॉर्नेडो, क्रिप्टोग्राफिक सामग्री तयार करण्यासाठी योग्य नाही. परंतु सर्वात मोठा दोष हा आहे की या पीआरएनजीला सध्याच्या सेकंदात सेकंदात सीड केले गेले. याचा अर्थ असा आहे की केपीएमच्या असुरक्षित आवृत्त्यांद्वारे व्युत्पन्न केलेला प्रत्येक संकेतशब्द काही मिनिटांत क्रूरपणे छेडछाड केला जाऊ शकतो (किंवा जर आपल्याला पिढीचा वेळ अंदाजे माहित असेल तर).
जून 2019 मध्ये कॅस्परस्कीला असुरक्षिततेबद्दल माहिती देण्यात आली आणि त्याच वर्षाच्या ऑक्टोबरमध्ये पॅच व्हर्जन प्रसिद्ध केले. ऑक्टोबर 2020 मध्ये वापरकर्त्यांना काही संकेतशब्द पुन्हा निर्माण करावे लागतील अशी माहिती देण्यात आली आणि कॅस्परस्कीने 27 एप्रिल 2021 रोजी आपला सुरक्षितता सल्लागार प्रकाशित केला:
“या समस्येस जबाबदार असलेल्या कॅस्परस्की संकेतशब्द व्यवस्थापकाच्या सर्व सार्वजनिक आवृत्त्या आता नवीन आहेत. “सिक्युरिटी कंपनी म्हणते की व्युत्पन्न केलेला संकेतशब्द कदाचित इतका मजबूत नसतो अशा घटनांसाठी संकेतशब्द निर्मिती तर्कशास्त्र आणि संकेतशब्द अद्यतन चेतावणी”
स्त्रोत: https://donjon.ledger.com
संकेतशब्द पॅडलॉकसारखे असतात: 100% सुरक्षित नसते, परंतु जितके गुंतागुंत होते तितका वेळ आणि प्रयत्न आवश्यक असतात.
खूपच अविश्वसनीय, परंतु ज्याला तिच्या संगणकात प्रवेश नाही तो शिक्षकाकडेही जाऊ शकत नाही. आजकाल प्रत्येकाचे स्वत: चे संगणक आहे, जोपर्यंत एखाद्याचा मित्र त्यांच्या घरी गेला नाही आणि योगायोगाने त्यांना तो प्रोग्राम स्थापित केलेला आढळला.
प्रोग्रामचे स्त्रोत कोड ते कसे तयार केले गेले हे समजून घेण्यास ते पुरेसे भाग्यवान होते, जर ते बायनरी असते तर ते प्रथम विघटित केले जाणे आवश्यक आहे, जे कठीण आहे, बरेचजण बिट भाषा समजत नाहीत, किंवा थेट क्रूर शक्तीने कसे कार्य करते हे समजून घेतल्याशिवाय.