Пре неколико дана огроман скандал је на нету подметнула публикација коју је направио Доњон (саветовање о безбедности) у коме у основи разговарали о разним безбедносним проблемима „Касперски Пассворд Манагер-а“ посебно у његовом генератору лозинки, јер је показао да свака лозинка коју је генерисао може бити сломљена нападом грубе силе.
И то је тај саветник за безбедност Доњон открио је то Између марта 2019. и октобра 2020., Касперски Пассворд Манагер генерисане лозинке које би могле бити разбијене за неколико секунди. Алат је користио генератор псеудо-случајних бројева који је био посебно неприкладан за криптографске сврхе.
Истраживачи су открили да је генератор лозинки имао је неколико проблема, а један од најважнијих био је тај што је ПРНГ користио само један извор ентропије Укратко, генерисане лозинке су биле рањиве и нимало сигурне.
„Пре две године прегледали смо Касперски Пассворд Манагер (КПМ), менаџер лозинки који је развио Касперски. Касперски Пассворд Манагер је производ који на безбедан начин чува лозинке и документе у шифрованом и заштићеном сефу. Овај сеф је заштићен главном лозинком. Тако као и други менаџери лозинки, корисници морају да упамте једну лозинку да би користили и управљали свим својим лозинкама. Производ је доступан за различите оперативне системе (Виндовс, мацОС, Андроид, иОС, Веб ...) Шифровани подаци се могу аутоматски синхронизовати између свих ваших уређаја, увек заштићени главном лозинком.
„Главна карактеристика КПМ-а је управљање лозинком. Кључна ствар код менаџера лозинки је да, за разлику од људи, ови алати добро генеришу јаке и случајне лозинке. Да би генерисао јаке лозинке, Касперски Пассворд Манагер мора се ослонити на механизам за генерисање јаких лозинки ”.
За проблем додељен му је индекс ЦВЕ-2020-27020, где важи упозорење да би „нападач требао знати додатне информације (на пример, време генерисања лозинке)“, чињеница је да су Касперски лозинке очигледно биле мање сигурне него што су људи мислили.
„Генератор лозинки који је укључен у Касперски Пассворд Манагер наишао је на неколико проблема“, објаснио је Дунгеон истраживачки тим у посту у уторак. „Најважније је да је користио неодговарајући ПРНГ у криптографске сврхе. Његов једини извор ентропије било је садашње време. Било која лозинка коју креирате може бити брутално сломљена за неколико секунди. "
Дунгеон истиче да је велика грешка Касперски-а била употреба системског сата за неколико секунди као семе у генератору псеудо-случајних бројева.
„То значи да ће свака инстанца Касперски Пассворд Манагер-а на свету генерисати потпуно исту лозинку у датој секунди“, каже Јеан-Баптисте Бедруне. Према његовим речима, свака лозинка може бити мета напада грубом силом ”. „На пример, између 315,619,200. и 2010. године има 2021 секунди, тако да би КПМ могао да генерише највише 315,619,200 лозинки за дати скуп знакова. Напад грубом силом на овој листи траје само неколико минута “.
Истраживачи из Дунгеон је закључио:
„Касперски Пассворд Манагер је користио сложен метод за генерисање лозинки. Ова метода имала је за циљ стварање лозинки које се тешко могу разбити за стандардне хакере лозинки. Међутим, такав метод смањује снагу генерисаних лозинки у поређењу са наменским алатима. Показали смо како да генеришемо јаке лозинке користећи КееПасс као пример: једноставне методе попут наградне игре су сигурне чим се решите „пристрасности модула“ док гледате слово у датом опсегу знакова.
„Такође смо анализирали Касперски-ов ПРНГ и показали да је врло слаб. Његова унутрашња структура, торсен Мерсенне из библиотеке Боост, није погодан за генерисање криптографског материјала. Али највећа мана је што је овај ПРНГ засађен тренутним временом, у секундама. То значи да се свака лозинка генерисана од осетљивих верзија КПМ-а може брутално подметнути за неколико минута (или секунду ако приближно знате време генерисања).
Касперски је обавештен о рањивости у јуну 2019. године и објавио је верзију закрпе у октобру исте године. У октобру 2020. корисници су обавештени да ће неке лозинке морати да се регенеришу, а Касперски је 27. априла 2021. објавио своје савете о безбедности:
„Све јавне верзије Касперски Пассворд Манагер-а одговорне за овај проблем сада имају нову. Логика генерисања лозинке и упозорење о ажурирању лозинке за случајеве када генерисана лозинка вероватно није довољно јака “, каже заштитарска компанија
izvor: https://donjon.ledger.com
Лозинке су попут катанца: не постоји један стопостотно сигуран, али што је сложенији, потребно је више времена и напора.
Прилично невероватно, али ако немате приступ свом рачунару, не можете ни приступити учитељу. У данашње време свако има свој рачунар, осим ако му нечији пријатељ оде у кућу и случајно открије да је тај програм инсталиран.
Имали су срећу да имају изворни код програма да би могли да разумеју како су генерисани, да је био бинарни, прво се мора декомпилирати, што је тешко, многи не разумеју битни језик или директно грубом силом без разумевања како то функционише.