Populaarne paroolihaldusfirma LastPass on olnud pumba all sel aastal pärast võrku sissetungi 2022. aasta augustis.
Üksikasjad selle kohta, kuidas ründajad esimest korda sisse said, on endiselt vähesed, LastPassi esimene ametlik kommentaar teatas ettevaatlikult, et:
Volitamata osapool sai juurdepääsu LastPassi arenduskeskkonna osadele ühe ohustatud arendajakonto kaudu.
Umbes kuu aega hiljem antud järelteade oli samamoodi ebaselge:
[Ohus osaleja sai juurdepääsu arenduskeskkonnale, kasutades arendaja ohustatud lõpp-punkti. Kuigi esialgse lõpp-punkti kompromissi jaoks kasutatud meetod on ebaselge, kasutas ohus osaleja oma püsivat juurdepääsu, et esineda arendajana, kui arendaja oli mitmefaktorilise autentimise abil edukalt autentinud.
Kui žargoonist loobuda, ei jää sellest lõigust eriti palju järele, kuid võtmefraasid tunduvad olevat "riskistatud lõpp-punkt" (lihtsas inglise keeles tähendab see tõenäoliselt: pahavaraga nakatunud arvuti) ja "püsiv juurdepääs" (tähendab: kelmid võiksid hiljem vabal ajal tagasi tulla).
2FA ei aita alati
Kahjuks, nagu eespool lugeda, ei aidanud kahefaktoriline autentimine (2FA) selle konkreetse rünnaku puhul.
Arvame, et selle põhjuseks on asjaolu, et LastPass, nagu enamik ettevõtteid ja võrguteenuseid, ei nõua sõna otseses mõttes 2FA-d iga ühenduse jaoks, kus on vaja autentimist, vaid ainult selle jaoks, mida võite nimetada esmaseks autentimiseks.
Ausalt öeldes pakuvad paljud või enamik teie kasutatavaid teenuseid, sealhulgas tõenäoliselt teie enda tööandja, tavaliselt midagi sarnast.
Tüüpilised 2FA erandid, mille eesmärk on saada suurem osa selle eelistest, ilma ebamugavuste eest liiga kõrget hinda maksmata, on järgmised:
- Tehes täielikku 2FA autentimist ainult aeg-ajalt, näiteks uute ühekordsete koodide taotlemine vaid iga paari päeva või nädala tagant. Mõned 2FA-süsteemid võivad teile pakkuda näiteks valikut „Jäta mind meelde X päevaks”.
- Esialgseks sisselogimiseks on vaja ainult 2FA autentimist, seejärel lubades mõnel "ühe sisselogimise" süsteemil teid paljude siseteenuste jaoks automaatselt autentida. Paljudes ettevõtetes annab e-posti sisselogimine sageli juurdepääsu ka teistele teenustele, nagu Zoom, GitHub või muudele palju kasutatavatele süsteemidele.
- "kandja juurdepääsulubade" väljastamine automatiseeritud tarkvaratööriistade jaoks, põhineb aeg-ajalt arendajate, testijate ja inseneritöötajate 2FA autentimisel. Kui teil on automaatne koostamis- ja testimisskript, mis peab protsessi eri punktides juurde pääsema erinevatele serveritele ja andmebaasidele, ei soovi te, et skript katkeks pidevalt, et oodata, kuni sisestate veel ühe 2FA-koodi.
Me pole näinud ühtegi tõendit…
Usalduses, et kahtlustame, et LastPass nüüd kahetseb, ütles ettevõte algselt augustis 2022:
Me pole näinud tõendeid selle kohta, et see juhtum oleks hõlmanud juurdepääsu kliendiandmetele või krüpteeritud paroolihoidlaid.
Muidugi ei ole "me pole tõendeid näinud" väga tugev väide (muidugi seetõttu, et järeleandmatud ettevõtted võivad selle tõeks teha, kui nad ei otsi kõigepealt tõendeid või lasevad kellelgi teisel tõendeid koguda ja seejärel sihikindlalt keeldudes seda vaatamast), kuigi sageli on see kõik, mida iga ettevõte saab vahetult pärast rikkumist ausalt öelda.
LastPass uuris siiski ja tundis, et suudab 2022. aasta septembriks esitada lõpliku väite:
Kuigi ohutegijal oli juurdepääs arenduskeskkonnale, takistasid meie süsteemikujundus ja juhtelemendid ohutegijal juurdepääsu mis tahes kliendiandmetele või krüptitud paroolihoidlatele.
Kahjuks osutus see väide pisut liiga julgeks.
Rünnak, mis viis rünnakuni
LastPass tunnistas varakult, et kelmid "võtsid osa lähtekoodist ja mõnest LastPassi patenteeritud tehnilisest teabest" ...
…ja nüüd tundub, et osa sellest varastatud "tehnilisest teabest" oli piisav, et hõlbustada 2022. aasta novembris avalikustatud järelrünnakut:
Oleme kindlaks teinud, et volitamata osapoolel oli 2022. aasta augusti intsidendi käigus saadud teavet kasutades juurdepääs meie klientide teabe teatud elementidele.
Et olla aus LastPassi suhtes, ei kordanud ettevõte oma algset väidet, et paroolihoidlaid pole varastatud, viidates pelgalt "klientide teabe" vargustele.
Kuid oma eelmistes rikkumise teatistes oli ettevõte sellest hoolikalt rääkinud kliendi andmed (mis paneb enamiku meist mõtlema sellisele teabele nagu aadress, telefoninumber, maksekaardi andmed jne) ja krüptitud paroolihoidlad kahe erineva kategooriana.
Seekord aga osutub “klientide info” hõlmavaks nii ülaltoodud tähenduses kliendiandmed kui ka paroolide andmebaasid.
LastPass on tunnistanud, et mitte sõna otseses mõttes jõulueelsel ööl, vaid sellele ohtlikult lähedal.
Ohustaja kopeeris varukoopiast teabe, mis sisaldas põhilist kliendikonto teavet ja seotud metaandmeid, sealhulgas ettevõtete nimesid, lõppkasutajate nimesid, arveldusaadresse, e-posti aadresse, telefoninumbreid ja IP-aadresse, millelt kliendid LastPassi teenusele juurde pääsesid.
Lihtsamalt öeldes teavad kelmid nüüd, kes te olete, kus te elate, millised Internetis olevad arvutid on teie omad ja kuidas teiega elektrooniliselt ühendust võtta.
Vastuvõtt jätkub:
Ohustaja suutis kopeerida ka kliendihoidla andmete varukoopia.
Niisiis, kelmid varastasid need paroolihoidlad.
Huvitaval kombel on LastPass nüüd tunnistanud ka seda, et see, mida ta kirjeldab kui "paroolihoidlat", ei ole tegelikult segatud BLOB (lõbusa žargooni sõna tähendus binaarne suur objekt), mis koosneb ainult ja täielikult krüptitud ja seetõttu arusaamatutest andmetest.
Need "hoidlad" sisaldavad krüptimata andmeid, sealhulgas ilmselt iga krüptitud kasutajanime ja parooliga kaasas olevate veebisaitide URL-e.
Tänu ülalmainitud lekkinud arveldus- ja IP-aadressi andmetele ei tea kelmid nüüd mitte ainult teie ja teie arvuti asukohta, vaid neil on ka üksikasjalik kaart selle kohta, kus te võrgus viibite:
[C]kliendihoidla andmed […] salvestatakse patenteeritud kahendvormingus, mis sisaldab nii krüptimata andmeid, nagu veebisaidi URL-id, kui ka täielikult krüptitud tundlikke välju, nagu veebisaidi kasutajanimed ja paroolid, turvalised märkmed ja vormiga täidetud andmed. .
LastPass ei ole andnud muid üksikasju krüptimata andmete kohta, mis nendesse "võlvla" failidesse salvestati, kuid sõnad "näiteks veebisaidi URL-id" viitavad kindlasti sellele, et URL-id pole ainus teave, mille kelmid omandasid.
Hea uudis
Hea uudis, mida LastPass jätkuvalt nõuab, on see, et teie varafailis olevate varundatud paroolide turvalisus ei tohiks erineda mis tahes muu pilvevarukoopia turvalisusest, mille krüpteerisite enne selle üleslaadimist oma arvutis.
LastPassi sõnul ei eksisteeri salaandmeid, mida see teie jaoks varundab, kunagi LastPassi enda serverites krüptimata kujul ning LastPass ei salvesta ega näe kunagi teie peamist parooli.
Seetõttu, ütleb LastPass, laaditakse teie varundatud parooliandmed alati üles, salvestatakse, neile pääseb juurde ja laaditakse alla krüpteeritud kujul, nii et kelmid peavad ikkagi teie peaparooli lahti murdma, kuigi neil on nüüd teie šifreeritud parooliandmed.
Niipalju kui oskame öelda, kasutavad LastPassi viimastel aastatel lisatud paroolid soola-räsi-ja venitussalvestussüsteemi, mis on meie süsteemile lähedal. enda soovitused, kasutades PBKDF2 algoritmi juhuslike sooladega, SHA-256 sisemise räsisüsteemina ja 100,100 XNUMX iteratsiooni.
LastPass ei selgitanud või ei osanud näiteks oma 2022. aasta novembri värskenduses öelda, kui kaua kulus teisel kelmide lainel pärast esimest rünnakut tema arendussüsteemile 2002. aasta augustis.
Kuid isegi kui eeldada, et teine rünnak järgnes kohe, kuid seda märgati alles hiljem, on kurjategijatel olnud aega kuni neli kuud, et proovida murda kellegi varastatud varakambri peaparoolid.
Seetõttu on mõistlik järeldada, et ohus on ainult need kasutajad, kes olid tahtlikult valinud kergesti äraarvatavad või varakult purunevad paroolid, ning et kõik, kes on võtnud vaevaks oma paroole pärast rikkumise teadaannet muuta, on peaaegu kindlasti ette jäänud. kelmid.
Ärge unustage, et korraliku parooli tagamiseks ei piisa ainult pikkusest. Tegelikult viitavad sellele anekoodilised tõendid 123456
, 12345678
ja 123456789
neid kasutatakse tänapäeval sagedamini kui 1234
, ilmselt tänapäevaste sisselogimisekraanide kehtestatud pikkusepiirangute tõttu. Ja pidage meeles, et paroolimurdmise tööriistad ei alga lihtsalt algusest AAAA
ja jätkake nagu tähtnumbriline läbisõidumõõdik ZZZZ...ZZZZ
. Nad püüavad paroole järjestada nende valimise tõenäosuse järgi, nii et eeldage, et nad "arvavad ära" pikad, kuid inimsõbralikud paroolid, näiteks BlueJays28RedSox5!
(18 tähemärki) ammu enne, kui nad jõuavad MAdv3aUQlHxL
(12 tähemärki) või isegi ISM/RMXR3
(9 tähemärki).
Mida teha?
Veel augustis 2022, meie ütles: "Kui soovite mõnda või kõiki oma paroole muuta, ei räägi me teid sellest välja. [… Aga] me ei arva, et peate oma paroole muutma. (Mida see väärt on, ei tee seda ka LastPass.)”
See põhines LastPassi väidetel mitte ainult selle kohta, et varundatud paroolihoidlad olid krüpteeritud ainult teile teadaolevate paroolidega, vaid ka sellel, et nendele paroolihoidlatele ei pääsetud niikuinii juurde.
Arvestades LastPassi loo muutust selle põhjal, mida ta on sellest ajast peale avastanud, soovitame teil nüüd seda teha muutke oma paroole, kui see on mõistlik.
Pange tähele, et peate muutma oma varahoidlas olevaid paroole ja ka varahoidla enda peaparooli.
Seda selleks, et isegi kui kelmid murravad tulevikus teie vana peaparooli lahti, on nende avastatud parooliandmete varud vananenud ja seetõttu kasutud – nagu peidetud piraadikirst täis pangatähti, mis ei ole enam seaduslikud maksevahendid.
Kui asjaga tegelete, siis miks mitte kasutada võimalust ja veenduda, et olete parandada samal ajal oma loendis olevaid nõrku või taaskasutatud paroole, arvestades, et muudate neid niikuinii.
Üks asi veel…
Oh, ja veel üks asi: pöördumine X-Opsi meeskondadele, IT-töötajatele, süsteemiadministraatoritele ja tehnilistele kirjutajatele kõikjal.
Kui soovite öelda, et olete oma paroole muutnud, või soovitada teistel oma paroole muuta, kas saate lõpetada eksitava sõna kasutamise pöörlemaja kasutage lihtsalt palju selgemat sõna muutma selle asemel?
Ärge rääkige "mandaatide pöörlemisest" või "parooli pööramisest", sest sõna pöörlema, eriti arvutiteaduses, tähendab struktureeritud protsessi, mis lõppkokkuvõttes hõlmab kordamist.
Näiteks roteeruva esimehega komisjonis saavad kõik ettemääratud tsüklis koosolekutel osaleda, nt Alice, Bob, Cracker, Dongle, Mallory, Susan… ja siis veel kord Alice.
Ja masinkoodis on ROTATE
käsk tsirkuleerib selgelt bitid registris.
Kui sa ROL
or ROR
(see tähendab mine vasakule or mine paremale Inteli tähistuses) piisavalt palju kordi, naasevad need bitid oma algsele väärtusele.
See pole sugugi see, mida sa paroole muutma asudes tahad!
MIS MIS ON KUI MINU PAROOLIHALDURI HÄKITUD?
Olenemata sellest, kas olete LastPassi kasutaja või mitte, on siin a meie tehtud video koos näpunäidetega, kuidas vähendada katastroofi ohtu, kui teie või teie paroolihaldur satub häkkimisele. (Subtiitrite sisselülitamiseks või taasesituse kiirendamiseks klõpsake esitamise ajal hammasrattal).
MIKS EI OLE „PÖÖRATA” MUUTUSE HEA sünonüüm
Siin on ROTATE
(täpsemalt ROL
) juhiseid päriselus 64-bitises Windowsis.
Kui koostate ja käivitate alloleva koodi (kasutasime käepärast, minimalistlikku, tasuta komplekti ja linkerit GoTools) ...
…siis peaksite saama alloleva väljundi:
Rotated by 0 bits = C001D00DC0DEF11E Rotated by 4 bits = 001D00DC0DEF11EC Rotated by 8 bits = 01D00DC0DEF11EC0 Rotated by 12 bits = 1D00DC0DEF11EC00 Rotated by 16 bits = D00DC0DEF11EC001 Rotated by 20 bits = 00DC0DEF11EC001D Rotated by 24 bits = 0DC0DEF11EC001D0 Rotated by 28 bits = DC0DEF11EC001D00 Rotated by 32 bits = C0DEF11EC001D00D Rotated by 36 bits = 0DEF11EC001D00DC Rotated by 40 bits = DEF11EC001D00DC0 Rotated by 44 bits = EF11EC001D00DC0D Rotated by 48 bits = F11EC001D00DC0DE Rotated by 52 bits = 11EC001D00DC0DEF Rotated by 56 bits = 1EC001D00DC0DEF1 Rotated by 60 bits = EC001D00DC0DEF11 Rotated by 64 bits = C001D00DC0DEF11E
Muutes saate muuta pöörlemise suunda ja kogust ROL
et ROR
ja numbri reguleerimine 4
sellel ja järgmisel real.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://nakedsecurity.sophos.com/2022/12/23/lastpass-finally-admits-they-did-steal-your-password-vaults-after-all/
- 1
- 100
- 2022
- 28
- 2FA
- 70
- 9
- a
- Võimalik
- MEIST
- sellest
- üle
- absoluutne
- juurdepääs
- pääses
- Ligipääs
- konto
- omandatud
- tegelikult
- lisatud
- aadress
- aadressid
- tunnistama
- tunnistas
- pärast
- pärast
- eespool
- algoritm
- Materjal: BPA ja flataatide vaba plastik
- Lubades
- üksi
- alati
- summa
- ja
- Teadaanne
- Teine
- keegi
- kaebus
- rünnak
- AUGUST
- autentida
- autenditud
- Autentimine
- autor
- auto
- Automatiseeritud
- automaatselt
- tagasi
- background-image
- Varundamine
- Pangatähed
- põhineb
- põhiline
- sest
- enne
- on
- alla
- Kasu
- arvete
- julge
- piir
- põhi
- rikkumine
- helistama
- kaart
- hoolikalt
- kategooriad
- ettevaatlikult
- keskus
- kindel
- kindlasti
- muutma
- muutuv
- märki
- valitud
- jõulud
- nõudma
- lähedal
- Cloud
- kood
- koguma
- värv
- Tulema
- kommentaar
- ühine
- tavaliselt
- Ettevõtted
- ettevõte
- kompromiss
- Kompromissitud
- arvuti
- Arvutiteadus
- arvutid
- usaldus
- ühendus
- Koosneb
- kontakt
- sisaldab
- sisu
- jätkuvalt
- pidev
- kontrolli
- võiks
- kursus
- cover
- pragu
- Kurjategijad
- klient
- kliendi andmed
- Kliendid
- andmed
- andmebaasid
- Päeva
- lõplik
- Disain
- üksikasjalik
- detailid
- kindlaksmääratud
- arendaja
- Arendajad
- & Tarkvaraarendus
- DID
- erinev
- suund
- katastroof
- avastasin
- Ekraan
- eristatav
- Ei tee
- Ära
- iga
- Varajane
- kumbki
- elektrooniliselt
- elemendid
- varjatud
- krüpteeritud
- Lõpp-punkt
- Inseneriteadus
- Inglise
- piisavalt
- tagama
- täielikult
- keskkond
- eriti
- Isegi
- igaüks
- tõend
- näide
- olemas
- hõlbustada
- õiglane
- vähe
- Valdkonnad
- fail
- Faile
- Lõpuks
- esimene
- sobima
- Järgneb
- Järel
- vorm
- formaat
- tasuta
- Alates
- täis
- tulevik
- kasu
- üldiselt
- saama
- GitHub
- antud
- annab
- Go
- läheb
- hea
- häkkinud
- mugav
- räsimine
- kõrgus
- aitama
- varjatud
- Suur
- hõljuma
- Kuidas
- Kuidas
- aga
- HTTPS
- Vahetu
- kohe
- kehtestatud
- in
- juhtum
- sisaldama
- Kaasa arvatud
- info
- esialgne
- esialgu
- selle asemel
- Intel
- sisemine
- Internet
- katkenud
- uurima
- seotud
- IP
- IP-aadress
- IP-aadressid
- IT
- kordused
- ise
- erikeel
- Võti
- Teadma
- teatud
- suur
- LastPass
- juhtivate
- Led
- Õigus
- ÕIGUSLIK PAKKUMINE
- Pikkus
- väljaüürimine
- elu
- Tõenäoliselt
- joon
- nimekiri
- vähe
- elama
- Pikk
- enam
- Vaata
- Partii
- masin
- tegema
- TEEB
- juhtimine
- juht
- palju
- kaart
- Varu
- meister
- max laiuse
- tähendus
- vahendid
- kohtumised
- mainitud
- ainult
- Metaandmed
- meetod
- võib
- minimalistlik
- kuu
- kuu
- rohkem
- kõige
- nimed
- Vajadus
- vajadustele
- kumbki
- võrk
- Uus
- uudised
- öö
- normaalne
- märkused
- teated
- November
- number
- numbrid
- saadud
- juhuslik
- pakkuma
- ametlik
- Vana
- ONE
- Internetis
- Võimalus
- valik
- originaal
- Muu
- teised
- enda
- eriline
- partei
- Parool
- Paroolide haldamine
- Password Manager
- paroolid
- Paul
- pöörates
- makse
- Maksekaart
- PBKDF2
- telefon
- fraasid
- Koht
- tavaline
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängimine
- võrra
- positsioon
- Postitusi
- täpselt
- eelmine
- hind
- esmane
- tõenäoliselt
- protsess
- varaline
- juhuslik
- valik
- Lugenud
- reaalne
- päris elu
- mõistlik
- hiljuti
- soovitama
- vähendama
- keeldumine
- registreerima
- kahetsust
- seotud
- meeles pidama
- kordama
- nõudma
- piirangud
- tagasipöördumine
- Oht
- jooks
- Ütlesin
- sama
- Napp
- teadus
- ekraanid
- Teine
- Saladus
- kindlustama
- turvalisus
- tundub
- näeb
- tunne
- tundlik
- September
- teenus
- Teenused
- komplekt
- peaks
- sarnane
- Samamoodi
- lihtsalt
- alates
- ühekordne
- So
- tarkvara
- tahke
- mõned
- Keegi
- midagi
- allikas
- lähtekoodi
- rääkimine
- kiirus
- Personal
- algus
- VARANDUS
- väljavõte
- Veel
- varastatud
- Peatus
- ladustamine
- ladustatud
- kauplustes
- Lugu
- tugev
- struktureeritud
- subtiitrid
- Edukalt
- selline
- Soovitab
- SVG
- Sünonüüm
- süsteem
- süsteemid
- Võtma
- rääkima
- meeskonnad
- Tehniline
- pakkumus
- .
- Vault
- oma
- seetõttu
- asi
- Sel aastal
- oht
- Läbi
- aeg
- korda
- nõuanded
- et
- tänane
- liiga
- töövahendid
- ülemine
- üleminek
- läbipaistev
- häda
- tõsi
- Pöörake
- Pöördunud
- lõpuks
- paljastama
- Värskendused
- laetud
- URL
- us
- kasutama
- Kasutaja
- Kasutajad
- kasutatud
- väärtus
- eri
- võlvkelder
- võlvid
- ootama
- Wave
- veebisait
- veebilehed
- nädalat
- M
- mis
- kuigi
- WHO
- lai
- Lai valik
- will
- aknad
- ilma
- sõna
- sõnad
- väärt
- X
- aasta
- aastat
- Sinu
- youtube
- sephyrnet
- zoom