Birkaç gün önce Donjon tarafından yapılan bir yayınla internette muazzam bir skandal kuruldu (bir güvenlik danışmanlığı) temel olarak "Kaspersky Password Manager"ın çeşitli güvenlik sorunlarını tartıştı özellikle şifre oluşturucusunda, ürettiği her şifrenin kaba kuvvet saldırısı ile kırılabileceğini gösterdiği için.
Ve güvenlik danışmanlığı Donjon bunu keşfetti Mart 2019 ile Ekim 2020 arasında Kaspersky Password Manager saniyeler içinde kırılabilecek şifreler üretti. Araç, kriptografik amaçlar için tek başına uygun olmayan bir sözde rasgele sayı üreteci kullandı.
Araştırmacılar, şifre üreticisinin birkaç sorunu vardı ve en önemlilerinden biri, PRNG'nin yalnızca bir entropi kaynağı kullanmasıydı. Kısacası, üretilen şifreler savunmasızdı ve hiç güvenli değildi.
"İki yıl önce Kaspersky tarafından geliştirilen bir parola yöneticisi olan Kaspersky Password Manager'ı (KPM) inceledik. Kaspersky Password Manager, parolaları ve belgeleri şifreli ve parola korumalı bir kasada güvenle saklayan bir üründür. Bu kasa bir ana parola ile korunmaktadır. Bu nedenle, diğer şifre yöneticileri gibi, kullanıcıların da tüm şifrelerini kullanmak ve yönetmek için tek bir şifreyi hatırlamaları gerekir. Ürün farklı işletim sistemleri için mevcuttur (Windows, macOS, Android, iOS, Web…) Şifreli veriler tüm cihazlarınız arasında otomatik olarak senkronize edilebilir, her zaman ana şifrenizle korunur.
“KPM'nin ana özelliği şifre yönetimidir. Parola yöneticileriyle ilgili önemli bir nokta, insanlardan farklı olarak bu araçların güçlü, rastgele parolalar oluşturmada iyi olmasıdır. Güçlü parolalar oluşturmak için Kaspersky Password Manager, güçlü parolalar oluşturmak için bir mekanizmaya güvenmelidir ”.
soruna CVE-2020-27020 endeksini atadı, "saldırganın ek bilgileri (örneğin, parolanın oluşturulduğu zaman) bilmesi gerekir" uyarısının geçerli olduğu durumlarda, gerçek şu ki Kaspersky parolaları açıkça insanların düşündüğünden daha az güvenliydi.
Dungeon araştırma ekibi Salı günkü bir gönderide, "Kaspersky Password Manager'da bulunan şifre üreticisi birkaç sorunla karşılaştı" dedi. “En önemli şey, kriptografik amaçlar için uygunsuz bir PRNG kullanıyor olmasıydı. Tek entropi kaynağı şimdiki zamandı. Oluşturduğunuz herhangi bir şifre saniyeler içinde vahşice kırılabilir."
Dungeon, Kaspersky'nin büyük hatasının sistem saatini kullanmak olduğuna dikkat çekiyor sözde rasgele sayı üretecinde bir tohum olarak saniyeler içinde.
Jean-Baptiste Bédrune, "Bu, dünyadaki her Kaspersky Password Manager örneğinin belirli bir saniyede tam olarak aynı parolayı oluşturacağı anlamına gelir" diyor. Ona göre her şifre bir kaba kuvvet saldırısının hedefi olabilir” dedi. “Örneğin, 315,619,200 ile 2010 arasında 2021 saniye var, bu nedenle KPM belirli bir karakter seti için maksimum 315,619,200 şifre üretebilir. Bu listede bir kaba kuvvet saldırısı sadece birkaç dakika sürer."
Araştırmacılar Dungeon şu sonuca vardı:
“Kaspersky Password Manager, parolalarını oluşturmak için karmaşık bir yöntem kullandı. Bu yöntem, standart parola korsanları için kırılması zor parolalar oluşturmayı amaçlıyordu. Ancak böyle bir yöntem, özel araçlara kıyasla oluşturulan parolaların gücünü azaltır. Örnek olarak KeePass kullanarak nasıl güçlü parolalar oluşturulacağını gösterdik: çekilişler gibi basit yöntemler, belirli bir karakter aralığındaki bir harfe bakarken "modül önyargısından" kurtulduğunuz anda güvenlidir.
“Ayrıca Kaspersky'nin PRNG'sini de analiz ettik ve çok zayıf olduğunu gösterdik. Boost kitaplığından bir Mersenne kasırgası olan iç yapısı, kriptografik malzeme oluşturmak için uygun değildir. Ancak en büyük kusur, bu PRNG'nin şimdiki zamanla, saniyeler içinde ekilmiş olmasıdır. Bu, KPM'nin savunmasız sürümleri tarafından oluşturulan her parolanın birkaç dakika içinde (veya kabaca oluşturma süresini biliyorsanız bir saniye içinde) vahşice değiştirilebileceği anlamına gelir.
Kaspersky, Haziran 2019'da güvenlik açığından haberdar edildi ve aynı yılın Ekim ayında yama sürümünü yayınladı. Ekim 2020'de kullanıcılara bazı parolaların yeniden oluşturulması gerektiği konusunda bilgi verildi ve Kaspersky 27 Nisan 2021'de güvenlik danışma belgesini yayınladı:
“Bu sorundan sorumlu olan Kaspersky Password Manager'ın tüm genel sürümleri artık yeni bir sürüme sahip. Oluşturulan bir şifrenin muhtemelen yeterince güçlü olmadığı durumlar için şifre oluşturma mantığı ve şifre güncelleme uyarısı” diyor güvenlik şirketi
kaynak: https://donjon.ledger.com
Parolalar asma kilitler gibidir: %100 güvenli bir tane yoktur, ancak ne kadar karmaşıksa, gereken zaman ve çaba o kadar fazla olur.
Oldukça inanılmaz, ancak bilgisayarınıza erişiminiz yoksa öğretmene bile erişemezsiniz. Günümüzde herkesin kendi bilgisayarı var, birinin evine bir arkadaşı gidip tesadüfen o programın kurulu olduğunu görmedikçe.
Programın kaynak koduna sahip oldukları ve nasıl oluşturulduklarını anlayabilecek kadar şanslıydılar, eğer bir ikili olsaydı, önce koda dönüştürülmelidir, ki bu zordur, pek çok anlama biti yoktur veya doğrudan kaba kuvvet tarafından olmadan. nasıl çalıştığını anlamak.