Paar dagen geleden een enorm schandaal werd op het net gezet door een publicatie van Donjon (een beveiligingsadviesbureau) waarin in principe: verschillende beveiligingsproblemen van "Kaspersky Password Manager" besproken vooral in de wachtwoordgenerator, omdat het aantoonde dat elk wachtwoord dat het heeft gegenereerd, kan worden gekraakt door een brute force-aanval.
En het is dat de beveiligingsadviseur Donjon hij ontdekte dat Tussen maart 2019 en oktober 2020, Kaspersky Password Manager gegenereerde wachtwoorden die binnen enkele seconden gekraakt kunnen worden. De tool gebruikte een pseudo-willekeurige nummergenerator die buitengewoon ongeschikt was voor cryptografische doeleinden.
Onderzoekers ontdekten dat de wachtwoordgenerator het had verschillende problemen en een van de belangrijkste was dat PRNG slechts één entropiebron gebruikte Kortom, de gegenereerde wachtwoorden waren kwetsbaar en helemaal niet veilig.
“Twee jaar geleden hebben we Kaspersky Password Manager (KPM) beoordeeld, een wachtwoordmanager ontwikkeld door Kaspersky. Kaspersky Password Manager is een product dat wachtwoorden en documenten veilig opslaat in een gecodeerde en met een wachtwoord beveiligde kluis. Deze kluis is beveiligd met een hoofdwachtwoord. Dus net als andere wachtwoordbeheerders, moeten gebruikers één enkel wachtwoord onthouden om al hun wachtwoorden te gebruiken en te beheren. Het product is beschikbaar voor verschillende besturingssystemen (Windows, macOS, Android, iOS, Web...) Versleutelde gegevens kunnen automatisch worden gesynchroniseerd tussen al uw apparaten, altijd beschermd door uw hoofdwachtwoord.
“Het belangrijkste kenmerk van KPM is wachtwoordbeheer. Een belangrijk punt bij wachtwoordmanagers is dat deze tools, in tegenstelling tot mensen, goed zijn in het genereren van sterke en willekeurige wachtwoorden. Om sterke wachtwoorden te genereren, moet Kaspersky Password Manager vertrouwen op een mechanisme voor het genereren van sterke wachtwoorden ”.
naar het probleem het kreeg de index CVE-2020-27020, waar het voorbehoud dat "een aanvaller aanvullende informatie zou moeten weten (bijvoorbeeld het tijdstip waarop het wachtwoord is gegenereerd)" geldig is, is het een feit dat Kaspersky-wachtwoorden duidelijk minder veilig waren dan mensen dachten.
"De wachtwoordgenerator in Kaspersky Password Manager heeft verschillende problemen ondervonden", verklaarde het Dungeon-onderzoeksteam dinsdag in een bericht. “Het belangrijkste is dat hij een ongepaste PRNG gebruikte voor cryptografische doeleinden. De enige bron van entropie was de tegenwoordige tijd. Elk wachtwoord dat u maakt, kan binnen enkele seconden op brute wijze worden verbroken."
Dungeon wijst erop dat de grote fout van Kaspersky het gebruik van de systeemklok was in seconden als een zaadje in een pseudo-willekeurige nummergenerator.
"Dit betekent dat elk exemplaar van Kaspersky Password Manager ter wereld in een bepaalde seconde exact hetzelfde wachtwoord genereert", zegt Jean-Baptiste Bédrune. Volgens hem zou elk wachtwoord het doelwit kunnen zijn van een brute force-aanval”. “Er zijn bijvoorbeeld 315,619,200 seconden tussen 2010 en 2021, dus KPM kan maximaal 315,619,200 wachtwoorden genereren voor een bepaalde tekenset. Een brute force-aanval op deze lijst duurt maar een paar minuten."
Onderzoekers van Dungeon concludeerde:
“Kaspersky Password Manager gebruikte een complexe methode om zijn wachtwoorden te genereren. Deze methode was gericht op het maken van moeilijk te kraken wachtwoorden voor standaard wachtwoordhackers. Een dergelijke methode vermindert echter de sterkte van de gegenereerde wachtwoorden in vergelijking met speciale tools. We hebben laten zien hoe u sterke wachtwoorden kunt genereren met KeePass als voorbeeld: eenvoudige methoden zoals sweepstakes zijn veilig, zodra u "modulus bias" verwijdert terwijl u naar een letter in een bepaald tekenbereik kijkt.
“We analyseerden ook de PRNG van Kaspersky en toonden aan dat deze erg zwak was. De interne structuur, een Mersenne-tornado uit de Boost-bibliotheek, is niet geschikt voor het genereren van cryptografisch materiaal. Maar de grootste fout is dat deze PRNG in seconden is geplaatst met de huidige tijd. Dit betekent dat elk wachtwoord dat door kwetsbare versies van KPM wordt gegenereerd, binnen enkele minuten brutaal kan worden geknoeid (of een seconde als u ongeveer de generatietijd kent).
Kaspersky werd in juni 2019 op de hoogte gebracht van de kwetsbaarheid en bracht de patchversie in oktober van datzelfde jaar uit. In oktober 2020 kregen gebruikers te horen dat sommige wachtwoorden opnieuw moesten worden gegenereerd en Kaspersky publiceerde zijn beveiligingsadvies op 27 april 2021:
“Alle openbare versies van Kaspersky Password Manager die verantwoordelijk zijn voor dit probleem hebben nu een nieuwe. Logica voor het genereren van wachtwoorden en waarschuwing voor wachtwoordupdate voor gevallen waarin een gegenereerd wachtwoord waarschijnlijk niet sterk genoeg is ”, zegt het beveiligingsbedrijf
bron: https://donjon.ledger.com
Wachtwoorden zijn als hangsloten: er is er niet één die 100% veilig is, maar hoe complexer het is, hoe meer tijd en moeite het kost.
Vrij ongelooflijk, maar als je geen toegang hebt tot je computer, heb je zelfs geen toegang tot de leraar. Tegenwoordig heeft iedereen zijn eigen computer, tenzij een vriend van iemand naar hun huis gaat en toevallig ontdekt dat ze dat programma hebben geïnstalleerd.
Ze hadden het geluk om de broncode van het programma te hebben om te kunnen begrijpen hoe ze werden gegenereerd, als het een binair bestand was geweest, moest het eerst worden gedecompileerd, wat moeilijk is, niet veel begrijpen bittaal, of direct met brute kracht zonder begrijpen hoe het werkt.