ตัวจัดการรหัสผ่านของ Kaspersky ไม่ปลอดภัยและรหัสผ่านของคุณอาจถูกถอดรหัสได้

Darkcrizt

นาทีที่ 4

ไม่กี่วันที่ผ่านมา เรื่องอื้อฉาวอันยิ่งใหญ่ถูกสร้างขึ้นบนอินเทอร์เน็ตโดยสิ่งพิมพ์ที่ทำโดยDonjon (ที่ปรึกษาด้านความปลอดภัย) โดยพื้นฐานแล้ว กล่าวถึงปัญหาด้านความปลอดภัยต่างๆ ของ "Kaspersky Password Manager" โดยเฉพาะอย่างยิ่งในเครื่องมือสร้างรหัสผ่าน เนื่องจากมันแสดงให้เห็นว่าทุกรหัสผ่านที่สร้างขึ้นสามารถถูกถอดรหัสโดยการโจมตีด้วยกำลังเดรัจฉาน

และเป็นที่ปรึกษาด้านความปลอดภัย Donjon เขาค้นพบว่า ระหว่างเดือนมีนาคม 2019 ถึงตุลาคม 2020 Kaspersky Password Manager สร้างรหัสผ่านที่สามารถถอดรหัสได้ในไม่กี่วินาที เครื่องมือนี้ใช้ตัวสร้างตัวเลขสุ่มหลอกซึ่งไม่เหมาะสมอย่างยิ่งต่อวัตถุประสงค์ในการเข้ารหัส

นักวิจัยพบว่าตัวสร้างรหัสผ่าน มันมีปัญหาหลายอย่าง และที่สำคัญที่สุดอย่างหนึ่งคือ PRNG ใช้แหล่งเอนโทรปีเพียงแหล่งเดียว กล่าวโดยสรุปก็คือ รหัสผ่านที่สร้างขึ้นนั้นมีความเสี่ยงและไม่ปลอดภัยเลย

“เมื่อสองปีที่แล้ว เราได้ตรวจสอบ Kaspersky Password Manager (KPM) ซึ่งเป็นตัวจัดการรหัสผ่านที่พัฒนาโดย Kaspersky Kaspersky Password Manager เป็นผลิตภัณฑ์ที่จัดเก็บรหัสผ่านและเอกสารอย่างปลอดภัยในตู้นิรภัยที่เข้ารหัสและป้องกันด้วยรหัสผ่าน ตู้เซฟนี้ได้รับการป้องกันด้วยรหัสผ่านหลัก เช่นเดียวกับผู้จัดการรหัสผ่านอื่นๆ ผู้ใช้จำเป็นต้องจำรหัสผ่านเดียวเพื่อใช้และจัดการรหัสผ่านทั้งหมดของตน ผลิตภัณฑ์นี้ใช้ได้กับระบบปฏิบัติการที่แตกต่างกัน (Windows, macOS, Android, iOS, เว็บ…) ข้อมูลที่เข้ารหัสสามารถซิงโครไนซ์โดยอัตโนมัติระหว่างอุปกรณ์ทั้งหมดของคุณ โดยได้รับการปกป้องด้วยรหัสผ่านหลักของคุณเสมอ

“คุณสมบัติหลักของ KPM คือการจัดการรหัสผ่าน ประเด็นสำคัญสำหรับผู้จัดการรหัสผ่านคือเครื่องมือเหล่านี้แตกต่างจากมนุษย์ตรงที่สามารถสร้างรหัสผ่านที่รัดกุมและสุ่มได้ ในการสร้างรหัสผ่านที่รัดกุม Kaspersky Password Manager ต้องใช้กลไกในการสร้างรหัสผ่านที่รัดกุม”

สู่ปัญหา ได้กำหนดดัชนี CVE-2020-27020โดยมีข้อแม้ที่ว่า "ผู้โจมตีจำเป็นต้องทราบข้อมูลเพิ่มเติม (เช่น เวลาที่สร้างรหัสผ่าน)" นั้นถูกต้อง ความจริงก็คือรหัสผ่านของ Kaspersky มีความปลอดภัยน้อยกว่าที่ผู้คนคิดอย่างชัดเจน

"ตัวสร้างรหัสผ่านที่รวมอยู่ใน Kaspersky Password Manager พบปัญหาหลายประการ" ทีมวิจัย Dungeon อธิบายในโพสต์เมื่อวันอังคาร “สิ่งที่สำคัญที่สุดคือเขาใช้ PRNG ที่ไม่เหมาะสมเพื่อวัตถุประสงค์ในการเข้ารหัส แหล่งเดียวของเอนโทรปีคือกาลปัจจุบัน รหัสผ่านใด ๆ ที่คุณสร้างอาจถูกทำลายอย่างไร้ความปราณีในไม่กี่วินาที "

Dungeon ชี้ให้เห็นว่าความผิดพลาดครั้งใหญ่ของ Kaspersky คือการใช้นาฬิกาของระบบ ในไม่กี่วินาทีในฐานะเมล็ดพันธุ์ในตัวสร้างตัวเลขสุ่มหลอก

"นี่หมายความว่าทุกอินสแตนซ์ของ Kaspersky Password Manager ในโลกจะสร้างรหัสผ่านที่เหมือนกันทุกประการในไม่กี่วินาที" Jean-Baptiste Bédrune กล่าว ตามที่เขาพูดรหัสผ่านแต่ละอันอาจเป็นเป้าหมายของการโจมตีด้วยกำลังเดรัจฉาน” “ตัวอย่างเช่น มี 315,619,200 วินาทีระหว่างปี 2010 ถึง 2021 ดังนั้น KPM สามารถสร้างรหัสผ่านได้สูงสุด 315,619,200 รหัสสำหรับชุดอักขระที่กำหนด การโจมตีด้วยกำลังดุร้ายในรายการนี้ใช้เวลาเพียงไม่กี่นาที "

นักวิจัยจาก ดันเจี้ยนสรุป:

“Kaspersky Password Manager ใช้วิธีการที่ซับซ้อนในการสร้างรหัสผ่าน วิธีนี้มีวัตถุประสงค์เพื่อสร้างรหัสผ่านที่ยากต่อการถอดรหัสสำหรับแฮ็กเกอร์รหัสผ่านมาตรฐาน อย่างไรก็ตาม วิธีการดังกล่าวจะลดความแข็งแกร่งของรหัสผ่านที่สร้างขึ้นเมื่อเปรียบเทียบกับเครื่องมือเฉพาะ เราได้แสดงวิธีสร้างรหัสผ่านที่คาดเดายากโดยใช้ KeePass เป็นตัวอย่าง: วิธีการง่ายๆ เช่น การชิงโชคนั้นปลอดภัย ทันทีที่คุณกำจัด "โมดูลัสอคติ" ในขณะที่ดูตัวอักษรในช่วงอักขระที่กำหนด

“เรายังวิเคราะห์ PRNG ของ Kaspersky และพบว่าอ่อนแอมาก โครงสร้างภายในของมันคือพายุทอร์นาโด Mersenne จากไลบรารี Boost ไม่เหมาะสำหรับการสร้างเนื้อหาที่เข้ารหัสลับ แต่ข้อบกพร่องที่ใหญ่ที่สุดคือ PRNG นี้เริ่มต้นจากเวลาปัจจุบันในหน่วยวินาที ซึ่งหมายความว่ารหัสผ่านแต่ละอันที่สร้างโดย KPM เวอร์ชันที่มีช่องโหว่สามารถถูกดัดแปลงอย่างไร้ความปราณีภายในเวลาไม่กี่นาที (หรือวินาทีหากคุณทราบเวลาโดยประมาณของการสร้าง)

Kaspersky ได้รับแจ้งถึงช่องโหว่ในเดือนมิถุนายน 2019 และเผยแพร่เวอร์ชันแพตช์ในเดือนตุลาคมของปีเดียวกัน ในเดือนตุลาคม 2020 ผู้ใช้ได้รับแจ้งว่าจะต้องมีการสร้างรหัสผ่านใหม่ และ Kaspersky ได้เผยแพร่คำแนะนำด้านความปลอดภัยในวันที่ 27 เมษายน 2021:

“ Kaspersky Password Manager เวอร์ชันสาธารณะทั้งหมดที่รับผิดชอบปัญหานี้มีเวอร์ชันใหม่แล้ว ลอจิกการสร้างรหัสผ่านและการแจ้งเตือนการอัปเดตรหัสผ่านสำหรับกรณีที่รหัสผ่านที่สร้างขึ้นอาจไม่แข็งแกร่งพอ” บริษัทรักษาความปลอดภัยกล่าว

Fuente: https://donjon.ledger.com


แสดงความคิดเห็นของคุณ

อีเมล์ของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมายด้วย *

*

*

  1. ผู้รับผิดชอบข้อมูล: Miguel ÁngelGatón
  2. วัตถุประสงค์ของข้อมูล: ควบคุมสแปมการจัดการความคิดเห็น
  3. ถูกต้องตามกฎหมาย: ความยินยอมของคุณ
  4. การสื่อสารข้อมูล: ข้อมูลจะไม่ถูกสื่อสารไปยังบุคคลที่สามยกเว้นตามข้อผูกพันทางกฎหมาย
  5. การจัดเก็บข้อมูล: ฐานข้อมูลที่โฮสต์โดย Occentus Networks (EU)
  6. สิทธิ์: คุณสามารถ จำกัด กู้คืนและลบข้อมูลของคุณได้ตลอดเวลา

  1.   Luix dijo
    มาแล้ว ปี 3

    รหัสผ่านก็เหมือนแม่กุญแจ: ไม่มีรหัสที่ปลอดภัย 100% แต่ยิ่งซับซ้อน ยิ่งต้องใช้เวลาและความพยายามมากขึ้น

    ตอบกลับ luix
  2.   อาร์ตเอซ dijo
    มาแล้ว ปี 3

    ค่อนข้างน่าเหลือเชื่อ แต่ใครก็ตามที่ไม่มีการเข้าถึงคอมพิวเตอร์ของเธอไม่สามารถแม้แต่จะไปหาครูได้ ทุกวันนี้ ทุกคนมีคอมพิวเตอร์เป็นของตัวเอง เว้นแต่เพื่อนของใครบางคนจะกลับบ้าน และโดยบังเอิญที่พวกเขาพบว่าติดตั้งโปรแกรมนั้นไว้

    พวกเขาโชคดีที่มีซอร์สโค้ดของโปรแกรมสามารถเข้าใจได้ว่าถูกสร้างขึ้นมาอย่างไรถ้าเป็นไบนารีจะต้องทำการถอดรหัสก่อนซึ่งยาก ไม่ค่อยเข้าใจภาษาบิตหรือกำลังเดรัจฉานโดยตรง โดยไม่เข้าใจวิธีการทำงาน

    ตอบกลับ ArtEze