Ilang araw na ang nakakalipas isang napakalaking iskandalo ang naitaguyod sa net ng isang publikasyong ginawa ni Donjon (isang security consultancy) kung saan karaniwang tinalakay ang iba't ibang mga isyu sa seguridad ng "Kaspersky Password Manager" lalo na sa tagabuo ng password, tulad ng ipinapakita nito na ang bawat password na nalikha nito ay maaaring basag sa pamamagitan ng isang brute force na pag-atake.
At ito ang security consultant na si Donjon natuklasan niya iyon Sa pagitan ng Marso 2019 at Oktubre 2020, Kaspersky Password Manager nakabuo ng mga password na maaaring basag sa ilang segundo. Gumamit ang tool ng isang pseudo-random na generator ng bilang na hindi angkop para sa mga layunin ng cryptographic.
Natuklasan ng mga mananaliksik na ang generator ng password maraming problema ito at ang isa sa pinakamahalaga ay ang PRNG na gumamit lamang ng isang mapagkukunan ng entropy Sa madaling sabi, ang mga nabuong password ay mahina at hindi ligtas.
"Dalawang taon na ang nakalilipas, sinuri namin ang Kaspersky Password Manager (KPM), isang tagapamahala ng password na binuo ni Kaspersky. Ang Kaspersky Password Manager ay isang produkto na ligtas na nag-iimbak ng mga password at dokumento sa isang naka-encrypt at protektado ng password na ligtas. Ang ligtas na ito ay protektado ng isang master password. Kaya tulad ng ibang mga tagapamahala ng password, kailangang tandaan ng mga gumagamit ang isang solong password upang magamit at pamahalaan ang lahat ng kanilang mga password. Magagamit ang produkto para sa iba't ibang mga operating system (Windows, macOS, Android, iOS, Web…) Ang naka-encrypt na data ay maaaring awtomatikong mai-synchronize sa pagitan ng lahat ng iyong mga aparato, laging protektado ng iyong master password.
"Ang pangunahing tampok ng KPM ay ang pamamahala ng password. Ang isang pangunahing punto sa mga tagapamahala ng password ay, hindi tulad ng mga tao, ang mga tool na ito ay mahusay sa pagbuo ng malakas, mga random na password. Upang makabuo ng mga malakas na password, ang Kaspersky Password Manager ay dapat umasa sa isang mekanismo para sa pagbuo ng mga malalakas na password ”.
Sa problema itinalaga ang index CVE-2020-27020, kung saan ang pahiwatig na "ang isang magsasalakay ay kailangang malaman ang karagdagang impormasyon (halimbawa, ang oras na nabuo ang password)" ay wasto, ang totoo ay ang mga Kaspersky password ay malinaw na hindi gaanong ligtas kaysa sa iniisip ng mga tao.
"Ang generator ng password na kasama sa Kaspersky Password Manager ay nakaranas ng maraming mga problema," paliwanag ng pangkat ng pananaliksik ng Dungeon sa isang post noong Martes. "Ang pinakamahalagang bagay ay gumagamit siya ng hindi naaangkop na PRNG para sa mga layunin ng cryptographic. Ang pinagmulan lamang ng entropy nito ay ang kasalukuyang panahunan. Anumang password na iyong nilikha ay maaaring brutal na nasira sa ilang segundo. "
Itinuro ng piitan na ang malaking pagkakamali ni Kaspersky ay ang paggamit ng system na orasan sa mga segundo bilang isang binhi sa isang pseudo-random na numero ng generator.
"Nangangahulugan ito na ang bawat halimbawa ng Kaspersky Password Manager sa mundo ay bubuo ng eksaktong parehong password sa isang naibigay na segundo," sabi ni Jean-Baptiste Bédrune. Ayon sa kanya, ang bawat password ay maaaring maging target ng isang brute force attack ”. "Halimbawa, mayroong 315,619,200 segundo sa pagitan ng 2010 at 2021, kaya ang KPM ay maaaring makabuo ng maximum na 315,619,200 mga password para sa isang naibigay na character set. Ang isang mabangis na pag-atake sa listahang ito ay tumatagal lamang ng ilang minuto. "
Ang mga mananaliksik mula sa Nagtapos ang piitan:
"Ang Kaspersky Password Manager ay gumamit ng isang kumplikadong pamamaraan upang makabuo ng mga password. Nilalayon ang pamamaraang ito sa paglikha ng mga hard-to-crack na password para sa karaniwang mga hacker ng password. Gayunpaman, ang ganitong pamamaraan ay binabawasan ang lakas ng mga nabuong password kumpara sa mga nakatuon na tool. Ipinakita namin kung paano makabuo ng mga malalakas na password gamit ang KeePass bilang isang halimbawa: ang mga simpleng pamamaraan tulad ng mga sweepstake ay ligtas, sa sandaling mapupuksa mo ang "modulus bias" habang tinitingnan ang isang sulat sa isang naibigay na saklaw ng character.
"Sinuri din namin ang PRNG ni Kaspersky at ipinakita na napakahina nito. Ang panloob na istraktura, isang buhawi ng Mersenne mula sa aklatan ng Boost, ay hindi angkop para sa pagbuo ng materyal na cryptographic. Ngunit ang pinakamalaking bahid ay ang PRNG na ito ay binhi ng kasalukuyang oras, sa mga segundo. Nangangahulugan ito na ang bawat password na nabuo ng mga mahina laban na bersyon ng KPM ay maaaring brutal na mapakali sa loob ng ilang minuto (o isang segundo kung alam mo halos ang oras ng henerasyon).
Nabatid kay Kaspersky ang kahinaan noong Hunyo 2019 at inilabas ang bersyon ng patch sa Oktubre ng parehong taon. Noong Oktubre 2020, nabatid sa mga gumagamit na ang ilang mga password ay kailangang muling buhayin, at nai-publish ng Kaspersky ang payo sa seguridad nito noong Abril 27, 2021:
“Lahat ng mga pampublikong bersyon ng Kaspersky Password Manager na responsable para sa problemang ito ay mayroon nang bago. Ang henerasyon ng pagbuo ng password at alerto sa pag-update ng password para sa mga kaso kung saan ang isang nabuong password ay marahil ay hindi sapat na malakas ”, sabi ng security company
Fuente: https://donjon.ledger.com
Ang mga password ay tulad ng mga padlock: walang isang 100% ligtas, ngunit mas kumplikado ito, mas malaki ang kailangan ng oras at pagsisikap.
Medyo hindi kapani-paniwala, ngunit kung wala kang access sa iyong computer, hindi mo ma-access ang guro. Ngayong mga araw na ito, ang bawat isa ay mayroong sariling computer, maliban kung ang isang kaibigan ng isang tao ay pupunta sa kanilang bahay at nagkataong nalaman nilang na-install nila ang program na iyon.
Sila ay sapat na mapalad na magkaroon ng mapagkukunan ng code ng programa upang maunawaan kung paano sila nabuo, kung ito ay isang binary, dapat munang mabulok, kung saan mahirap, hindi maraming nakakaunawa ng kaunting wika, o direkta ng malupit na puwersa nang hindi nauunawaan kung paano ito gumagana.