Kilka dni temu ogromny skandal wywołał w sieci publikacja autorstwa Donjon (doradztwo w zakresie bezpieczeństwa), w którym zasadniczo omówiono różne kwestie bezpieczeństwa "Kaspersky Password Manager" zwłaszcza w generatorze haseł, ponieważ pokazał, że każde wygenerowane hasło może zostać złamane przez atak brute force.
I to właśnie firma konsultingowa Donjon on to odkrył W okresie od marca 2019 r. do października 2020 r. Kaspersky Password Manager wygenerowane hasła, które można złamać w kilka sekund. Narzędzie wykorzystywało generator liczb pseudolosowych, który był wyjątkowo nieodpowiedni do celów kryptograficznych.
Badacze odkryli, że generator haseł miał kilka problemów, a jednym z najważniejszych było to, że PRNG używało tylko jednego źródła entropii Krótko mówiąc, wygenerowane hasła były podatne na ataki i wcale nie były bezpieczne.
„Dwa lata temu dokonaliśmy przeglądu Kaspersky Password Manager (KPM), menedżera haseł opracowanego przez firmę Kaspersky. Kaspersky Password Manager to produkt, który bezpiecznie przechowuje hasła i dokumenty w zaszyfrowanym i chronionym hasłem sejfie. Sejf chroniony jest hasłem głównym. Tak więc, podobnie jak w przypadku innych menedżerów haseł, użytkownicy muszą pamiętać jedno hasło, aby móc używać wszystkich swoich haseł i zarządzać nimi. Produkt jest dostępny dla różnych systemów operacyjnych (Windows, macOS, Android, iOS, Web…) Zaszyfrowane dane mogą być automatycznie synchronizowane między wszystkimi urządzeniami, zawsze chronione hasłem głównym.
„Główną cechą KPM jest zarządzanie hasłami. Kluczową kwestią w przypadku menedżerów haseł jest to, że w przeciwieństwie do ludzi narzędzia te są dobre w generowaniu silnych, losowych haseł. Aby wygenerować silne hasła, Kaspersky Password Manager musi polegać na mechanizmie generowania silnych haseł ”.
Do problemu przypisał indeks CVE-2020-27020, gdzie zastrzeżenie, że „atakujący musiałby znać dodatkowe informacje (na przykład czas wygenerowania hasła)” jest ważne, faktem jest, że hasła Kaspersky były wyraźnie mniej bezpieczne, niż ludzie myśleli.
"Generator haseł zawarty w Kaspersky Password Manager napotkał kilka problemów" - wyjaśnił zespół badawczy Dungeon we wtorkowym poście. „Najważniejsze jest to, że używał nieodpowiedniego PRNG do celów kryptograficznych. Jedynym źródłem entropii był czas teraźniejszy. Każde utworzone hasło może zostać brutalnie złamane w ciągu kilku sekund”.
Dungeon zwraca uwagę, że dużym błędem Kaspersky’ego było użycie zegara systemowego w kilka sekund jako ziarno w generatorze liczb pseudolosowych.
„Oznacza to, że każda instancja Kaspersky Password Manager na świecie wygeneruje dokładnie to samo hasło w ciągu jednej sekundy”, mówi Jean-Baptiste Bédrune. Według niego, każde hasło może być celem ataku brute force ”. „Na przykład między rokiem 315,619,200 a 2010 jest 2021 315,619,200 XNUMX sekund, więc KPM może wygenerować maksymalnie XNUMX XNUMX XNUMX haseł dla danego zestawu znaków. Atak brute force na tej liście zajmuje tylko kilka minut.”
Badacze z Loch zakończył:
„Kaspersky Password Manager używał złożonej metody do generowania haseł. Ta metoda miała na celu stworzenie trudnych do złamania haseł dla standardowych hakerów haseł. Taka metoda zmniejsza jednak siłę generowanych haseł w porównaniu z narzędziami dedykowanymi. Pokazaliśmy, jak generować silne hasła za pomocą KeePass jako przykładu: proste metody, takie jak loterie, są bezpieczne, gdy tylko pozbędziesz się „obciążenia modułowego” podczas patrzenia na literę w danym zakresie znaków.
„Przeanalizowaliśmy również PRNG firmy Kaspersky i wykazaliśmy, że jest bardzo słaby. Jego wewnętrzna struktura, czyli tornado Mersenne z biblioteki Boost, nie nadaje się do generowania materiału kryptograficznego. Ale największą wadą jest to, że ten PRNG został postawiony z aktualnym czasem, w sekundach. Oznacza to, że każde hasło wygenerowane przez podatne wersje KPM może zostać brutalnie zmodyfikowane w ciągu kilku minut (lub sekundy, jeśli znasz mniej więcej czas generowania).
Firma Kaspersky została poinformowana o luce w czerwcu 2019 r. i opublikowała wersję łaty w październiku tego samego roku. W październiku 2020 r. użytkownicy zostali poinformowani, że niektóre hasła będą musiały zostać zregenerowane, a firma Kaspersky opublikowała swój poradnik bezpieczeństwa 27 kwietnia 2021 r.:
„Wszystkie publiczne wersje Kaspersky Password Manager odpowiedzialne za ten problem mają teraz nową. Logika generowania hasła i alert o aktualizacji hasła w przypadkach, w których wygenerowane hasło prawdopodobnie nie jest wystarczająco silne ”, mówi firma ochroniarska
źródło: https://donjon.ledger.com
Hasła są jak kłódki: nie ma jednej w 100% bezpiecznej, ale im bardziej są złożone, tym więcej czasu i wysiłku potrzeba.
Całkiem niewiarygodne, ale kto nie ma dostępu do jej komputera, nie może nawet dostać się do nauczyciela. W dzisiejszych czasach każdy ma swój komputer, chyba że ktoś znajomy uda się do jego domu i przypadkiem odkryje, że ma zainstalowany ten program.
Mieli szczęście, że mieli kod źródłowy programu, aby móc zrozumieć, w jaki sposób zostały wygenerowane, jeśli był to plik binarny, najpierw musi zostać zdekompilowany, co jest trudne, niewielu rozumie język bitowy lub bezpośrednio przez brutalną siłę bez zrozumienia, jak to działa.