Beberapa hari yang lalu skandal besar dibuat di laman web oleh penerbitan yang dibuat oleh Donjon (perundingan keselamatan) yang pada dasarnya membincangkan pelbagai masalah keselamatan "Kaspersky Password Manager" terutamanya dalam penjana kata laluannya, kerana ia menunjukkan bahawa setiap kata laluan yang dihasilkannya dapat ditembusi oleh serangan brute force.
Dan itulah perunding keselamatan Donjon dia mendapati bahawa Antara Mac 2019 dan Oktober 2020, Pengurus Kata Laluan Kaspersky menghasilkan kata laluan yang boleh diretas dalam beberapa saat. Alat ini menggunakan penjana nombor pseudo-random yang tidak sesuai untuk tujuan kriptografi.
Penyelidik mendapati bahawa penjana kata laluan ia mempunyai beberapa masalah dan yang paling penting ialah PRNG hanya menggunakan satu sumber entropi Ringkasnya, kata laluan yang dihasilkan rentan dan sama sekali tidak selamat.
“Dua tahun yang lalu, kami mengkaji Kaspersky Password Manager (KPM), pengurus kata laluan yang dikembangkan oleh Kaspersky. Kaspersky Password Manager adalah produk yang menyimpan kata laluan dan dokumen dengan selamat di peti keselamatan yang dienkripsi dan dilindungi kata laluan. Peti keselamatan ini dilindungi oleh kata laluan induk. Jadi sama seperti pengurus kata laluan yang lain, pengguna perlu mengingat satu kata laluan untuk menggunakan dan mengurus semua kata laluan mereka. Produk ini tersedia untuk sistem operasi yang berbeza (Windows, macOS, Android, iOS, Web ...) Data yang dienkripsi dapat diselaraskan secara automatik antara semua peranti anda, selalu dilindungi oleh kata laluan utama anda.
"Ciri utama KPM adalah pengurusan kata laluan. Perkara penting dengan pengurus kata laluan adalah bahawa, tidak seperti manusia, alat ini pandai menghasilkan kata laluan rawak yang kuat. Untuk menghasilkan kata laluan yang kuat, Kaspersky Password Manager mesti bergantung pada mekanisme untuk menghasilkan kata laluan yang kuat ”.
Untuk masalah ia diberi indeks CVE-2020-27020, di mana peringatan bahawa "penyerang perlu mengetahui maklumat tambahan (misalnya, masa kata laluan dihasilkan)" sah, kenyataannya kata laluan Kaspersky jelas kurang selamat daripada yang difikirkan orang.
"Penjana kata laluan yang disertakan dalam Kaspersky Password Manager telah menghadapi beberapa masalah," kata pasukan penyelidikan Dungeon dalam sebuah posting pada hari Selasa. “Yang paling penting ialah dia menggunakan PRNG yang tidak sesuai untuk tujuan kriptografi. Satu-satunya sumber entropi adalah masa kini. Segala kata laluan yang anda buat dapat dihancurkan secara sekejap dalam beberapa saat. "
Dungeon menunjukkan bahawa kesilapan besar Kaspersky menggunakan jam sistem dalam beberapa saat sebagai benih dalam penjana nombor pseudo-random.
"Ini bermaksud bahawa setiap contoh Kaspersky Password Manager di dunia akan menghasilkan kata laluan yang sama dalam satu saat," kata Jean-Baptiste Bédrune. Menurutnya, setiap kata sandi dapat menjadi sasaran serangan brute force ”. "Sebagai contoh, ada 315,619,200 detik antara 2010 dan 2021, jadi KPM dapat menghasilkan maksimum 315,619,200 kata sandi untuk set karakter tertentu. Serangan brute force dalam senarai ini hanya memerlukan beberapa minit. "
Penyelidik dari Dungeon menyimpulkan:
“Kaspersky Password Manager menggunakan kaedah yang rumit untuk menghasilkan kata laluannya. Kaedah ini bertujuan untuk membuat kata laluan yang sukar dipatahkan untuk penggodam kata laluan standard. Walau bagaimanapun, kaedah sedemikian mengurangkan kekuatan kata laluan yang dihasilkan berbanding dengan alat khusus. Kami telah menunjukkan cara menghasilkan kata laluan yang kuat menggunakan KeePass sebagai contoh: kaedah mudah seperti undian adalah selamat, sebaik sahaja anda menghilangkan "modulus bias" sambil melihat huruf dalam julat watak tertentu.
"Kami juga menganalisis PRNG Kaspersky dan menunjukkan bahawa ia sangat lemah. Struktur dalamannya, puting beliung Mersenne dari perpustakaan Boost, tidak sesuai untuk menghasilkan bahan kriptografi. Tetapi kelemahan terbesar adalah PRNG ini diturunkan dengan masa semasa, dalam beberapa saat. Ini bermaksud bahawa setiap kata laluan yang dihasilkan oleh versi KPM yang rentan dapat dirusak secara brutal dalam beberapa minit (atau sesaat jika anda mengetahui secara kasar masa penjanaan).
Kaspersky diberitahu mengenai kerentanan pada bulan Jun 2019 dan merilis versi tambalan pada bulan Oktober tahun yang sama. Pada bulan Oktober 2020, pengguna diberitahu bahawa beberapa kata laluan harus dibuat semula, dan Kaspersky menerbitkan nasihat keselamatannya pada 27 April 2021:
"Semua versi umum Kaspersky Password Manager yang bertanggungjawab untuk masalah ini sekarang mempunyai versi baru. Logik penjanaan kata laluan dan amaran kemas kini kata laluan untuk kes di mana kata laluan yang dihasilkan mungkin tidak cukup kuat ”, kata syarikat keselamatan itu
Fuente: https://donjon.ledger.com