Pred nekaj dnevi Ogromen škandal je na internetu spletla objava Donjona (svetovanje o varnosti), pri katerem v bistvu razpravljali o različnih varnostnih vprašanjih "Kaspersky Password Manager" še posebej v svojem generatorju gesel, saj je pokazal, da lahko vsako geslo, ki ga je ustvaril, razbije z napadom surove sile.
In to je varnostno svetovanje Donjon to je odkril Med marcem 2019 in oktobrom 2020 Kaspersky Password Manager generirana gesla, ki bi jih bilo mogoče razbiti v nekaj sekundah. Orodje je uporabljalo generator psevdonaključnih števil, ki je bil za kriptografske namene izjemno neprimeren.
Raziskovalci so odkrili, da je generator gesel imel je več težav, ena najpomembnejših pa je bila ta, da je PRNG uporabil le en vir entropije Skratka, ustvarjena gesla so bila ranljiva in sploh niso varna.
»Pred dvema letoma smo pregledali Kaspersky Password Manager (KPM), upravitelja gesel, ki ga je razvil Kaspersky. Kaspersky Password Manager je izdelek, ki varno shranjuje gesla in dokumente v šifriranem in z geslom zaščitenem sefu. Ta sef je zaščiten z glavnim geslom. Tako kot drugi upravitelji gesel si morajo tudi uporabniki zapomniti eno geslo za uporabo in upravljanje vseh gesel. Izdelek je na voljo za različne operacijske sisteme (Windows, macOS, Android, iOS, splet ...) Šifrirane podatke je mogoče samodejno sinhronizirati med vsemi vašimi napravami, vedno zaščitene z glavnim geslom.
»Glavna značilnost KPM je upravljanje z gesli. Ključno pri upravljalcih gesel je, da v nasprotju z ljudmi ta orodja dobro ustvarjajo močna naključna gesla. Za ustvarjanje močnih gesel se mora Kaspersky Password Manager zanašati na mehanizem za generiranje močnih gesel. "
V težavo dodelil indeks CVE-2020-27020, kjer velja opozorilo, da "mora napadalec vedeti dodatne informacije (na primer čas ustvarjanja gesla)", dejstvo je, da so bila gesla Kaspersky očitno manj varna, kot so si ljudje mislili.
"Generator gesel, vključen v Kaspersky Password Manager, je naletel na več težav," je v torek objavila raziskovalna skupina Dungeon. »Najpomembneje je, da je za kriptografske namene uporabljal neprimerni PRNG. Edini vir entropije je bil sedanjik. Vsako geslo, ki ga ustvarite, se lahko v nekaj sekundah brutalno zlomi. "
Dungeon poudarja, da je bila velika napaka Kasperskyja uporaba sistemske ure v nekaj sekundah kot seme v generatorju psevdonaključnih števil.
"To pomeni, da bo vsak primerek Kaspersky Password Manager na svetu v dani sekundi ustvaril popolnoma enako geslo," pravi Jean-Baptiste Bédrune. Po njegovem mnenju bi lahko bilo vsako geslo tarča surovega napada ”. »Na primer, med letoma 315,619,200 in 2010 je 2021 sekund, zato bi lahko KPM ustvaril največ 315,619,200 gesel za dani nabor znakov. Napad s surovo silo na tem seznamu traja le nekaj minut. "
Raziskovalci iz Dungeon je zaključil:
»Kaspersky Password Manager je za izdelavo gesel uporabil zapleteno metodo. Namen te metode je bil ustvariti težko dostopna gesla za standardne hekerje gesel. Vendar tak način zmanjša moč ustvarjenih gesel v primerjavi z namenskimi orodji. Kot primer smo pokazali, kako z uporabo KeePass ustvariti močna gesla: preproste metode, kot je nagradna igra, so varne, takoj ko se znebite "modulus pristranskosti", medtem ko gledate črko v določenem obsegu znakov.
»Analizirali smo tudi Kasperskyjev PRNG in pokazali, da je zelo šibek. Njegova notranja struktura, torsen Mersenne iz knjižnice Boost, ni primerna za ustvarjanje kriptografskega gradiva. Toda največja napaka je, da je bil ta PRNG zasejan s trenutnim časom, v sekundah. To pomeni, da je vsako geslo, ki ga ustvarijo ranljive različice KPM, mogoče v nekaj minutah (ali sekundo, če natančno poznate čas generiranja) brutalno spremeniti.
Kaspersky je bil o ranljivosti obveščen junija 2019, različico popravka pa je izdal oktobra istega leta. Oktobra 2020 so bili uporabniki obveščeni, da bo treba nekatera gesla obnoviti, Kaspersky pa je 27. aprila 2021 objavil varnostno svetovanje:
»Vse javne različice Kaspersky Password Manager, odgovorne za to težavo, imajo zdaj novo. Logika generiranja gesel in opozorilo o posodobitvi gesel za primere, ko generirano geslo verjetno ni dovolj močno, «pravi varnostno podjetje
vir: https://donjon.ledger.com
Gesla so kot ključavnice: ni nobenega 100% varnega, a bolj ko je zapleten, večji čas in trud se zahtevata.
Precej neverjetno, a kdor nima dostopa do njenega računalnika, ne more niti do učitelja. Dandanes ima vsak svoj računalnik, razen če nekdo odide k njemu v hišo in slučajno ugotovi, da ima ta program nameščen.
Imeli so srečo, da so imeli izvorno kodo programa, da so lahko razumeli, kako so bili ustvarjeni; če je šlo za binarno datoteko, jo je treba najprej razstaviti, kar je težko, mnogi ne razumejo bitnega jezika ali neposredno z brutalno silo brez razumevanje, kako deluje.