Pred pár dňami ohromný škandál vzbudil na internete publikácia Donjona (bezpečnostné poradenstvo), v ktorom v zásade diskutovali o rôznych bezpečnostných otázkach aplikácie „Kaspersky Password Manager“ najmä vo svojom generátore hesiel, pretože preukázal, že každé heslo, ktoré vygenerovalo, môže byť prelomené útokom hrubou silou.
A to je ten bezpečnostný konzultant Donjon objavil to Od marca 2019 do októbra 2020 Kaspersky Password Manager vygenerované heslá, ktoré sa dali prelomiť za pár sekúnd. Tento nástroj používal generátor pseudonáhodných čísel, ktorý bol mimoriadne nevhodný na kryptografické účely.
Vedci zistili, že generátor hesiel malo to niekoľko problémov a jedným z najdôležitejších bolo, že PRNG používal iba jeden zdroj entropie Stručne povedané, išlo o to, že vygenerované heslá boli zraniteľné a vôbec nie bezpečné.
„Pred dvoma rokmi sme skontrolovali aplikáciu Kaspersky Password Manager (KPM), správcu hesiel vyvinutú spoločnosťou Kaspersky. Kaspersky Password Manager je produkt, ktorý bezpečne ukladá heslá a dokumenty v šifrovanom a heslom chránenom trezore. Tento trezor je chránený hlavným heslom. Rovnako ako ostatní správcovia hesiel, aj používatelia si musia pamätať jediné heslo, aby mohli používať a spravovať všetky svoje heslá. Produkt je k dispozícii pre rôzne operačné systémy (Windows, macOS, Android, iOS, Web…). Šifrované údaje je možné automaticky synchronizovať medzi všetkými vašimi zariadeniami, vždy chránené hlavným heslom.
„Hlavnou vlastnosťou KPM je správa hesiel. Kľúčovým bodom správcov hesiel je, že na rozdiel od ľudí sú tieto nástroje dobré pri generovaní silných náhodných hesiel. Pri generovaní silných hesiel sa musí Kaspersky Password Manager spoliehať na mechanizmus generovania silných hesiel “.
K problému bol mu pridelený index CVE-2020-27020, kde platí výhrada, že „útočník by potreboval vedieť ďalšie informácie (napríklad čas, kedy bolo heslo vygenerované)“, skutočnosťou je, že heslá Kaspersky boli zjavne menej bezpečné, ako si ľudia mysleli.
„Generátor hesiel obsiahnutý v aplikácii Kaspersky Password Manager narazil na niekoľko problémov,“ vysvetlil výskumný tím Dungeon v utorok. "Najdôležitejšie je, že používal nevhodné PRNG na kryptografické účely." Jediným zdrojom entropie bol prítomný čas. Akékoľvek heslo, ktoré vytvoríte, môže byť brutálne zlomené v priebehu niekoľkých sekúnd. “
Dungeon poukazuje na to, že veľkou chybou Kaspersky bolo používanie systémových hodín v sekundách ako zárodok v generátore pseudonáhodných čísel.
„To znamená, že každá inštancia aplikácie Kaspersky Password Manager na svete vygeneruje v danom okamihu presne rovnaké heslo,“ hovorí Jean-Baptiste Bédrune. Podľa neho by každé heslo mohlo byť terčom útoku hrubou silou “. „Napríklad medzi rokmi 315,619,200 a 2010 je 2021 315,619,200 XNUMX sekúnd, takže KPM mohla pre danú znakovú sadu vygenerovať maximálne XNUMX XNUMX XNUMX hesiel. Útok hrubou silou na tento zoznam trvá len pár minút. “
Vedci z Dungeon uzavrel:
„Spoločnosť Kaspersky Password Manager použila na generovanie svojich hesiel komplexnú metódu. Táto metóda bola zameraná na vytvorenie ťažko prelomiteľných hesiel pre štandardných hackerov hesiel. Takáto metóda však znižuje silu generovaných hesiel v porovnaní s vyhradenými nástrojmi. Ukázali sme, ako generovať silné heslá pomocou príkladu KeePass: jednoduché metódy, ako sú stávky, sú bezpečné, hneď ako sa zbavíte „zaujatosti modulu“ pri pohľade na písmeno v danom rozsahu znakov.
„Analyzovali sme tiež PRNG spoločnosti Kaspersky a ukázali sme, že je veľmi slabá. Jeho vnútorná štruktúra, tornádo Mersenne z knižnice Boost, nie je vhodná na generovanie kryptografického materiálu. Ale najväčšou chybou je, že tento PRNG bol naočkovaný aktuálnym časom, v sekundách. To znamená, že s každým heslom generovaným zraniteľnými verziami KPM je možné brutálne manipulovať v priebehu niekoľkých minút (alebo sekundy, ak viete zhruba generačný čas).
Spoločnosť Kaspersky bola o zraniteľnosti informovaná v júni 2019 a patch verziu vydal v októbri toho istého roku. V októbri 2020 boli používatelia informovaní, že bude potrebné znova vytvoriť niektoré heslá, a spoločnosť Kaspersky 27. apríla 2021 zverejnila svoje bezpečnostné odporúčanie:
„Všetky verejné verzie aplikácie Kaspersky Password Manager zodpovedné za tento problém majú teraz novú. Logika generovania hesla a upozornenie na aktualizáciu hesla pre prípady, keď vygenerované heslo pravdepodobne nie je dosť silné, “tvrdí bezpečnostná spoločnosť
Fuente: https://donjon.ledger.com
Heslá sú ako visiace zámky: neexistuje žiadny stopercentne zabezpečený, ale čím je zložitejší, tým viac času a úsilia si vyžaduje.
Docela neuveriteľné, ale kto nemá prístup k jej počítaču, nemôže sa dostať ani k učiteľke. V súčasnosti má každý svoj vlastný počítač, pokiaľ nejde niekto z jeho priateľov do domu a náhodou nezistí, že má nainštalovaný ten program.
Mali to šťastie, že mali zdrojový kód programu, aby pochopili, ako boli generované. Ak to bol binárny súbor, musí byť najskôr dekompilovaný, čo je ťažké, málokto rozumie bitovému jazyku alebo priamo hrubou silou bez pochopiť, ako to funguje.