Pak ditë më parë një skandal i jashtëzakonshëm u krijua në internet nga një botim i bërë nga Donjon (një këshillim sigurie) në të cilin në thelb diskutuan çështje të ndryshme të sigurisë së "Kaspersky Password Manager" veçanërisht në gjeneratorin e fjalëkalimit të tij, pasi demonstroi se çdo fjalëkalim që gjeneronte mund të thyhej nga një sulm i forcës brutale.
Dhe është që konsulenca e sigurisë Donjon ai zbuloi se Mes marsit 2019 dhe tetorit 2020, Kaspersky Password Manager fjalëkalime të krijuara që mund të thyhen në sekonda. Mjeti përdori një gjenerator të numrave pseudo-rastësor që ishte unikisht i papërshtatshëm për qëllime kriptografike.
Studiuesit zbuluan se gjeneratori i fjalëkalimit kishte disa probleme dhe një nga më të rëndësishmet ishte që PRNG përdori vetëm një burim entropie Me pak fjalë, ishte se fjalëkalimet e krijuara ishin të prekshme dhe aspak të sigurta.
“Dy vjet më parë, ne kemi rishikuar Kaspersky Password Manager (KPM), një menaxher fjalëkalimesh i zhvilluar nga Kaspersky. Kaspersky Password Manager është një produkt që ruan në mënyrë të sigurt fjalëkalimet dhe dokumentet në një kasafortë të koduar dhe të mbrojtur me fjalëkalim. Kjo kasafortë mbrohet nga një fjalëkalim kryesor. Pra, si menaxherët e tjerë të fjalëkalimeve, përdoruesit duhet të mbajnë mend një fjalëkalim të vetëm për të përdorur dhe menaxhuar të gjitha fjalëkalimet e tyre. Produkti është i disponueshëm për sisteme të ndryshme operative (Windows, macOS, Android, iOS, Web…) Të dhënat e koduara mund të sinkronizohen automatikisht midis të gjitha pajisjeve tuaja, gjithmonë të mbrojtura nga fjalëkalimi juaj kryesor.
“Karakteristika kryesore e KPM është menaxhimi i fjalëkalimit. Një pikë kryesore me menaxherët e fjalëkalimeve është se, ndryshe nga njerëzit, këto mjete janë të mira në gjenerimin e fjalëkalimeve të forta, të rastit. Për të gjeneruar fjalëkalime të forta, Kaspersky Password Manager duhet të mbështetet në një mekanizëm për gjenerimin e fjalëkalimeve të forta ”.
Për problemin caktoi indeksin CVE-2020-27020, kur vlen të thuhet se "një sulmues do të duhet të dijë informacion shtesë (për shembull, koha kur u krijua fjalëkalimi)", fakti është se fjalëkalimet e Kaspersky ishin qartë më pak të sigurta nga sa mendonin njerëzit.
"Gjeneratori i fjalëkalimeve i përfshirë në Kaspersky Password Manager ka hasur në disa probleme," shpjegoi ekipi hulumtues Dungeon në një postim të Martën. “Gjëja më e rëndësishme është se ai po përdorte një PRNG të papërshtatshme për qëllime kriptografike. Burimi i saj i vetëm i entropisë ishte koha e tashme. Çdo fjalëkalim që krijoni mund të prishet brutalisht në sekonda ".
Dungeon tregon se gabimi i madh i Kaspersky ishte përdorimi i orës së sistemit në sekonda si farë në një gjenerator të numrave pseudo-rastësor.
"Kjo do të thotë që çdo shembull i Menaxherit të Fjalëkalimeve Kaspersky në botë do të gjenerojë saktësisht të njëjtin fjalëkalim në një sekondë të caktuar," thotë Jean-Baptiste Bédrune. Sipas tij, çdo fjalëkalim mund të jetë shënjestër e një sulmi të forcës brutale ". “Për shembull, ka 315,619,200 sekonda midis 2010 dhe 2021, kështu që KPM mund të gjenerojë një maksimum prej 315,619,200 fjalëkalimesh për një grup të caktuar karakteri. Një sulm i forcës brutale në këtë listë zgjat vetëm disa minuta ".
Studiuesit nga Dungeon përfundoi:
“Kaspersky Password Manager përdori një metodë komplekse për të gjeneruar fjalëkalimet e saj. Kjo metodë kishte për qëllim krijimin e fjalëkalimeve të këputura për hakerat standardë të fjalëkalimeve. Sidoqoftë, një metodë e tillë zvogëlon fuqinë e fjalëkalimeve të gjeneruara në krahasim me mjetet e dedikuara. Ne kemi treguar se si të gjenerojmë fjalëkalime të forta duke përdorur KeePass si një shembull: metodat e thjeshta si lojërat e fatit janë të sigurta, posa të shpëtoni nga "paragjykimi i modulit" ndërsa shikoni një letër në një varg të caktuar të karakterit.
“Ne gjithashtu analizuam PRNG të Kaspersky dhe treguam se ishte shumë i dobët. Struktura e saj e brendshme, një tornado Mersenne nga biblioteka Boost, nuk është e përshtatshme për gjenerimin e materialit kriptografik. Por e meta më e madhe është se kjo PRNG ishte mbjellë me kohën aktuale, në sekonda. Kjo do të thotë që çdo fjalëkalim i gjeneruar nga versione të prekshme të KPM mund të manipulohet brutalisht për disa minuta (ose një sekondë nëse e dini afërsisht kohën e gjenerimit).
Kaspersky u informua për cenueshmërinë në qershor 2019 dhe lëshoi versionin patch në tetor të të njëjtit vit. Në Tetor 2020, përdoruesit u informuan se disa fjalëkalime do të duhej të rigjenerohen dhe Kaspersky publikoi këshillimin e tij të sigurisë në 27 Prill 2021:
“Të gjitha versionet publike të Kaspersky Password Manager përgjegjës për këtë problem tani kanë një të ri. Logjika e gjenerimit të fjalëkalimit dhe alarmi i azhurnimit të fjalëkalimit për rastet kur një fjalëkalim i gjeneruar ndoshta nuk është mjaft i fortë ”, thotë kompania e sigurisë
Fuente: https://donjon.ledger.com