Noen dager siden en enorm skandale ble satt opp på nettet av en publikasjon laget av Donjon (et sikkerhetskonsulentfirma) der i utgangspunktet diskuterte ulike sikkerhetsspørsmål i "Kaspersky Password Manager" spesielt i passordgeneratoren, da den demonstrerte at hvert passord den genererte kunne bli sprukket av et voldsomt angrep.
Og det er at sikkerhetskonsulenten Donjon han oppdaget det Mellom mars 2019 og oktober 2020, Kaspersky Password Manager genererte passord som kan knekkes på få sekunder. Verktøyet brukte en pseudo-tilfeldig tallgenerator som var entydig uegnet for kryptografiske formål.
Forskere oppdaget at passordgeneratoren det hadde flere problemer, og en av de viktigste var at PRNG bare brukte en entropikilde Kort sagt var det at de genererte passordene var sårbare og slett ikke sikre.
“For to år siden gjennomgikk vi Kaspersky Password Manager (KPM), en passordbehandling utviklet av Kaspersky. Kaspersky Password Manager er et produkt som trygt lagrer passord og dokumenter i en kryptert og passordbeskyttet safe. Denne safe er beskyttet av et hovedpassord. Så akkurat som andre passordbehandlere, må brukerne huske et enkelt passord for å bruke og administrere alle passordene sine. Produktet er tilgjengelig for forskjellige operativsystemer (Windows, macOS, Android, iOS, Web ...) Krypterte data kan automatisk synkroniseres mellom alle enhetene dine, alltid beskyttet av hovedpassordet ditt.
“Hovedfunksjonen i KPM er passordadministrasjon. Et viktig poeng med passordbehandlere er at disse verktøyene, i motsetning til mennesker, er gode til å generere sterke og tilfeldige passord. For å generere sterke passord, må Kaspersky Password Manager stole på en mekanisme for å generere sterke passord ”.
Til problemet den ble tildelt indeksen CVE-2020-27020, der advarselen om at "en angriper trenger å vite tilleggsinformasjon (for eksempel tidspunktet passordet ble generert)" er gyldig, er faktum at Kaspersky-passord var tydeligvis mindre sikre enn folk trodde.
"Passordgeneratoren som er inkludert i Kaspersky Password Manager har møtt flere problemer," forklarte Dungeon-forskerteamet i et innlegg tirsdag. “Det viktigste er at han brukte en upassende PRNG for kryptografiske formål. Den eneste kilden til entropi var nåtid. Ethvert passord du oppretter, kan bli ødelagt på få sekunder. "
Dungeon påpeker at Kasperskys store feil var å bruke systemklokken i sekunder som et frø i en pseudo-tilfeldig tallgenerator.
"Dette betyr at hver forekomst av Kaspersky Password Manager i verden vil generere nøyaktig det samme passordet i løpet av et gitt sekund," sier Jean-Baptiste Bédrune. Ifølge ham kan hvert passord være målet for et brutalt styrkeangrep ”. “Det er for eksempel 315,619,200 2010 2021 sekunder mellom 315,619,200 og XNUMX, så KPM kan generere maksimalt XNUMX XNUMX XNUMX passord for et gitt tegnsett. Et brute force-angrep på denne listen tar bare noen få minutter. "
Forskere fra Dungeon konkluderte med:
“Kaspersky Password Manager brukte en kompleks metode for å generere passordene sine. Denne metoden var rettet mot å lage vanskelige passord for standard passordhackere. Imidlertid reduserer en slik metode styrken til de genererte passordene sammenlignet med dedikerte verktøy. Vi har vist hvordan du genererer sterke passord ved hjelp av KeePass som et eksempel: enkle metoder som konkurranser er trygge, så snart du blir kvitt "modulus bias" mens du ser på en bokstav i et gitt tegnområde.
“Vi analyserte også Kasperskys PRNG og viste at det var veldig svakt. Den interne strukturen, en Mersenne-tornado fra Boost-biblioteket, er ikke egnet for å generere kryptografisk materiale. Men den største feilen er at denne PRNG ble sådd med gjeldende tid, i sekunder. Dette betyr at hvert passord generert av sårbare versjoner av KPM kan tukles brutalt i løpet av få minutter (eller et sekund hvis du vet omtrent generasjonstiden).
Kaspersky ble informert om sårbarheten i juni 2019 og ga ut patchversjonen i oktober samme år. I oktober 2020 ble brukerne informert om at noen passord måtte regenereres, og Kaspersky publiserte sin sikkerhetsrådgivning 27. april 2021:
“Alle offentlige versjoner av Kaspersky Password Manager som er ansvarlige for dette problemet, har nå en ny. Passordgenereringslogikk og passordoppdateringsvarsel for tilfeller der et generert passord sannsynligvis ikke er sterkt nok, sier sikkerhetsselskapet
Fuente: https://donjon.ledger.com