인기 있는 비밀번호 관리 회사인 LastPass가 펌프 아래 2022년 XNUMX월 네트워크 침입에 이어 올해.
공격자가 처음 어떻게 침입했는지에 대한 세부 정보는 아직 부족하며, LastPass의 첫 번째 공식 논평은 다음과 같이 조심스럽게 언급했습니다.
[A]n 권한이 없는 당사자가 손상된 단일 개발자 계정을 통해 LastPass 개발 환경의 일부에 대한 액세스 권한을 얻었습니다.
약 한 달 후의 후속 발표도 마찬가지로 결정적이지 않았습니다.
위협 행위자는 개발자의 손상된 엔드포인트를 사용하여 개발 환경에 대한 액세스 권한을 얻었습니다. 초기 엔드포인트 손상에 사용된 방법은 결정적이지 않지만, 위협 행위자는 개발자가 다단계 인증을 사용하여 성공적으로 인증한 후 개발자를 가장하기 위해 영구 액세스를 활용했습니다.
전문 용어를 빼면 이 단락에 남은 내용이 별로 없지만 핵심 문구는 "손상된 끝점"인 것 같습니다(평범한 영어로 다음을 의미할 수 있음). 악성코드에 감염된 컴퓨터) 및 "영구 액세스"(의미: 사기꾼은 나중에 여가 시간에 다시 들어올 수 있습니다.).
2FA가 항상 도움이 되는 것은 아닙니다.
안타깝게도 위에서 읽을 수 있듯이 이중 인증(2FA)은 이 특정 공격에 도움이 되지 않았습니다.
대부분의 회사 및 온라인 서비스와 마찬가지로 LastPass는 인증이 필요한 모든 연결에 문자 그대로 2FA를 요구하지 않고 기본 인증이라고 부르는 것에 대해서만 XNUMXFA를 요구하기 때문입니다.
공정하게 말하면, 아마도 귀하의 고용주를 포함하여 귀하가 사용하는 많은 또는 대부분의 서비스는 일반적으로 유사한 작업을 수행합니다.
불편함에 대해 너무 높은 비용을 지불하지 않고 대부분의 혜택을 거두는 것을 목표로 하는 일반적인 2FA 면제에는 다음이 포함됩니다.
- 가끔씩만 전체 2FA 인증을 수행하고, 예를 들어 며칠 또는 몇 주마다 새로운 일회성 코드를 요청합니다. 예를 들어 일부 2FA 시스템은 "X일 동안 나를 기억합니다" 옵션을 제공할 수 있습니다.
- 최초 로그인 시 2FA 인증만 요구, 그런 다음 일종의 "싱글 사인온" 시스템을 허용하여 광범위한 내부 서비스에 대해 자동으로 사용자를 인증합니다. 많은 회사에서 이메일에 로그인하면 종종 Zoom, GitHub 또는 자주 사용하는 기타 시스템과 같은 다른 서비스에도 액세스할 수 있습니다.
- 자동화된 소프트웨어 도구에 대한 "베어러 액세스 토큰" 발행, 개발자, 테스터 및 엔지니어링 직원의 가끔 2FA 인증을 기반으로 합니다. 프로세스의 다양한 지점에서 다양한 서버와 데이터베이스에 액세스해야 하는 자동화된 빌드 및 테스트 스크립트가 있는 경우 또 다른 2FA 코드를 입력할 때까지 스크립트가 계속 중단되는 것을 원하지 않을 것입니다.
우리는 증거를 보지 못했습니다…
LastPass가 이제 후회한다고 의심되는 확신에 따라 회사는 처음에 2022년 XNUMX월에 다음과 같이 말했습니다.
이 사고가 고객 데이터 또는 암호화된 암호 저장소에 대한 액세스와 관련되었다는 증거를 보지 못했습니다.
물론 "증거를 본 적이 없다"는 말은 그리 강력한 진술은 아닙니다(적어도 비타협적인 기업이 애초부터 고의로 증거를 찾지 않거나 다른 사람이 증거를 수집하게 함으로써 이를 실현할 수 있기 때문입니다. 의도적으로 보기를 거부함), 위반 직후에 회사가 진실되게 말할 수 있는 전부인 경우가 많음에도 불구하고.
그러나 LastPass는 조사를 했고 2022년 XNUMX월까지 결정적인 주장을 할 수 있다고 느꼈습니다.
위협 행위자가 개발 환경에 액세스할 수 있었지만 시스템 설계 및 제어를 통해 위협 행위자가 고객 데이터 또는 암호화된 암호 저장소에 액세스하지 못하도록 방지했습니다.
슬프게도 그 주장은 너무 대담한 것으로 판명되었습니다.
공격으로 이어진 공격
LastPass는 사기꾼들이 "소스 코드의 일부와 일부 독점 LastPass 기술 정보를 가져갔다"는 사실을 초기에 인정했습니다...
… 그리고 이제 도난당한 "기술 정보" 중 일부는 2022년 XNUMX월에 공개된 후속 공격을 용이하게 하기에 충분한 것으로 보입니다.
2022년 XNUMX월 사건에서 얻은 정보를 사용하여 승인되지 않은 당사자가 고객 정보의 특정 요소에 액세스할 수 있음을 확인했습니다.
LastPass에 공평하게 말하면, 회사는 단순히 "고객 정보"가 도용되었다는 것을 언급하면서 암호 저장소가 도난당하지 않았다는 원래 주장을 반복하지 않았습니다.
그러나 이전 위반 통지에서 회사는 다음과 같이 신중하게 말했습니다. 고객 데이터 (우리 대부분은 주소, 전화번호, 결제 카드 정보 등과 같은 정보를 생각하게 됨) 암호화된 암호 저장소 두 개의 별개 범주로.
그러나 이번에는 "고객 정보"에 위의 의미에서 고객 데이터와 암호 데이터베이스가 모두 포함되는 것으로 밝혀졌습니다.
말 그대로 크리스마스 전날 밤이 아니라 위험할 정도로 가까워진 LastPass는 다음과 같이 인정했습니다.
위협 행위자는 기본 고객 계정 정보와 회사 이름, 최종 사용자 이름, 청구 주소, 이메일 주소, 전화번호 및 고객이 LastPass 서비스에 액세스하는 IP 주소를 포함한 관련 메타데이터가 포함된 백업에서 정보를 복사했습니다.
대략적으로 말하면 사기꾼들은 이제 귀하가 누구인지, 어디에 살고 있는지, 인터넷에서 어떤 컴퓨터가 귀하의 컴퓨터인지, 전자적으로 귀하에게 연락하는 방법을 알고 있습니다.
입장은 계속됩니다:
공격자는 또한 고객 저장소 데이터의 백업을 복사할 수 있었습니다.
따라서 사기꾼은 결국 해당 암호 저장소를 훔쳤습니다.
흥미롭게도 LastPass는 이제 "비밀번호 보관소"라고 설명하는 것이 실제로 스크램블된 BLOB(재미있는 전문 용어 의미 바이너리 대형 객체) 전적으로 암호화된 데이터로만 구성되어 있으므로 이해할 수 없습니다.
이러한 "볼트"에는 암호화되지 않은 데이터가 포함되어 있으며, 각 암호화된 사용자 이름 및 암호와 함께 이동하는 웹 사이트의 URL을 포함하는 것으로 보입니다.
따라서 사기꾼들은 이제 위에서 언급한 유출된 청구 및 IP 주소 데이터 덕분에 귀하와 귀하의 컴퓨터가 어디에 살고 있는지 알 수 있을 뿐만 아니라 귀하가 온라인 상태일 때 어디로 가는지에 대한 자세한 지도도 가지고 있습니다.
[C]고객 볼트 데이터[...]는 웹사이트 URL과 같은 암호화되지 않은 데이터와 웹사이트 사용자 이름 및 암호, 보안 메모, 양식으로 채워진 데이터와 같은 완전히 암호화된 민감한 필드를 모두 포함하는 독점 바이너리 형식으로 저장됩니다. .
LastPass는 이러한 "볼트" 파일에 저장된 암호화되지 않은 데이터에 대한 다른 세부 정보를 제공하지 않았지만 "웹사이트 URL과 같은"이라는 단어는 확실히 URL이 사기꾼이 획득한 유일한 정보가 아님을 암시합니다.
좋은 소식
LastPass가 계속 주장하는 좋은 소식은 볼트 파일에 있는 백업 암호의 보안이 업로드하기 전에 자신의 컴퓨터에서 암호화한 다른 클라우드 백업의 보안과 다르지 않아야 한다는 것입니다.
LastPass에 따르면 사용자를 위해 백업하는 비밀 데이터는 LastPass 자체 서버에 암호화되지 않은 형태로 존재하지 않으며 LastPass는 사용자의 마스터 암호를 저장하거나 보지 않습니다.
따라서 LastPass에 따르면 백업된 암호 데이터는 항상 암호화된 형식으로 업로드, 저장, 액세스 및 다운로드되므로 사기꾼은 스크램블된 암호 데이터를 가지고 있더라도 여전히 마스터 암호를 해독해야 합니다.
우리가 알 수 있는 한, 최근 몇 년 동안 LastPass에 추가된 비밀번호는 자신의 추천, 랜덤 솔트가 있는 PBKDF2 알고리즘, 내부 해싱 시스템으로 SHA-256 사용, 100,100회 반복.
LastPass는 2022년 2002월 업데이트에서 XNUMX년 XNUMX월 개발 시스템에 대한 첫 번째 공격 이후 두 번째 도둑이 클라우드 서버에 침투하는 데 걸린 시간을 말하지 않았거나 말할 수 없었습니다.
그러나 두 번째 공격이 즉시 뒤따랐지만 나중까지 눈치채지 못했다고 가정하더라도 범죄자들은 누군가의 도난당한 금고의 마스터 암호를 해독하기 위해 기껏해야 XNUMX개월을 시도해야 했습니다.
따라서 의도적으로 추측하기 쉽거나 크랙하기 쉬운 암호를 선택한 사용자만 위험에 처해 있으며 침해 발표 이후 암호를 변경하는 데 어려움을 겪은 사람은 거의 확실하게 한발 앞서 있었다고 추론하는 것이 합리적입니다. 사기꾼들.
적절한 암호를 보장하기 위해 길이만으로는 충분하지 않다는 점을 잊지 마십시오. 사실, 일화적인 증거는 다음과 같이 제안합니다. 123456
, 12345678
및 123456789
요즘보다 더 일반적으로 사용됩니다. 1234
, 아마도 오늘날의 로그인 화면에서 부과하는 길이 제한 때문일 것입니다. 암호 크래킹 도구는 단순히 AAAA
영숫자 주행 거리계처럼 진행하여 ZZZZ...ZZZZ
. 그들은 암호가 선택될 가능성에 따라 순위를 매기려고 하므로 다음과 같이 길지만 사람에게 친숙한 암호를 "추측"할 것이라고 가정해야 합니다. BlueJays28RedSox5!
(18자) 도착하기 훨씬 전에 MAdv3aUQlHxL
(12자) 또는 심지어 ISM/RMXR3
(9자).
무엇을해야 하는가?
2022년 XNUMX월, 우리는 이 말을: “비밀번호의 일부 또는 전부를 변경하려는 경우, 우리는 귀하에게 말을 걸지 않을 것입니다. [... 그러나] 비밀번호를 변경할 필요가 없다고 생각합니다. (가치가 있는 만큼 LastPass도 마찬가지입니다.)”
이는 백업된 암호 저장소가 사용자만 알고 있는 암호로 암호화되었을 뿐만 아니라 해당 암호 저장소에 액세스할 수 없다는 LastPass의 주장에 근거한 것입니다.
그 이후로 발견한 내용을 기반으로 LastPass의 스토리가 변경되었음을 감안할 때 이제 다음을 수행할 것을 제안합니다. 합리적으로 가능한 경우 암호를 변경하십시오..
볼트 자체에 대한 마스터 암호는 물론 볼트 내부에 저장된 암호를 변경해야 합니다.
따라서 사기꾼이 미래에 이전 마스터 암호를 해독하더라도 더 이상 합법적이지 않은 지폐로 가득 찬 숨겨진 해적의 상자처럼 그들이 발견할 암호 데이터의 숨김은 오래되어 쓸모가 없습니다.
당신이 그것에 대해 생각하는 동안, 왜 당신이 동시에 목록에서 취약하거나 재사용된 비밀번호를 개선합니다., 어쨌든 변경하는 경우.
한가지 더 ...
아, 그리고 한 가지 더: 모든 곳의 X-Ops 팀, IT 직원, 시스템 관리자 및 기술 작가에게 호소력이 있습니다.
비밀번호를 변경했다고 말하거나 다른 사람에게 비밀번호를 변경하도록 권장할 때 오해의 소지가 있는 단어 사용을 중지할 수 있습니까? 회전, 훨씬 더 명확한 단어를 사용하십시오. 이전 단계로 돌아가기 대신에?
"자격 증명 교체" 또는 "비밀번호 교체"에 대해 이야기하지 마십시오. 회전, 특히 컴퓨터 과학에서 궁극적으로 반복을 포함하는 구조화된 프로세스를 의미합니다.
예를 들어, 순환 위원장이 있는 위원회에서는 모든 사람이 사전 결정된 주기로 주요 회의에 참석합니다. 예를 들어 Alice, Bob, Cracker, Dongle, Mallory, Susan…
그리고 기계 코드에서 ROTATE
명령어는 레지스터의 비트를 명시적으로 순환시킵니다.
만약 너라면 ROL
or ROR
(나타내는 왼쪽으로 가다 or 오른쪽으로 가다 Intel 표기법에서) 충분히 여러 번 해당 비트는 원래 값으로 돌아갑니다.
암호를 변경하려고 할 때 원하는 것은 전혀 아닙니다!
비밀번호 관리자가 해킹당하면 어떻게 하나요?
당신이 LastPass 사용자이든 아니든, 여기 우리가 만든 비디오 귀하 또는 귀하의 암호 관리자가 해킹당할 경우 재해 위험을 줄이는 방법에 대한 몇 가지 팁을 제공합니다. (재생 중 톱니바퀴를 클릭하면 자막이 나오거나 재생 속도가 빨라집니다.)
'회전'이 '변화'의 좋은 동의어가 아닌 이유
여기에 ROTATE
(더 정확하게는 ROL
) 64비트 Windows의 실생활 명령.
아래 코드를 어셈블하고 실행하면(우리는 Go도구) ...
...그러면 아래와 같은 결과가 나와야 합니다.
Rotated by 0 bits = C001D00DC0DEF11E Rotated by 4 bits = 001D00DC0DEF11EC Rotated by 8 bits = 01D00DC0DEF11EC0 Rotated by 12 bits = 1D00DC0DEF11EC00 Rotated by 16 bits = D00DC0DEF11EC001 Rotated by 20 bits = 00DC0DEF11EC001D Rotated by 24 bits = 0DC0DEF11EC001D0 Rotated by 28 bits = DC0DEF11EC001D00 Rotated by 32 bits = C0DEF11EC001D00D Rotated by 36 bits = 0DEF11EC001D00DC Rotated by 40 bits = DEF11EC001D00DC0 Rotated by 44 bits = EF11EC001D00DC0D Rotated by 48 bits = F11EC001D00DC0DE Rotated by 52 bits = 11EC001D00DC0DEF Rotated by 56 bits = 1EC001D00DC0DEF1 Rotated by 60 bits = EC001D00DC0DEF11 Rotated by 64 bits = C001D00DC0DEF11E
변경하여 회전 방향과 양을 변경할 수 있습니다. ROL
에 ROR
, 숫자 조정 4
해당 줄과 다음 줄에.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 출처: https://nakedsecurity.sophos.com/2022/12/23/lastpass-finally-admits-they-did-steal-your-password-vaults-after-all/
- 1
- 100
- 2022
- 28
- 2FA
- 70
- 9
- a
- 할 수 있는
- 소개
- IT에 대해
- 위의
- 절대
- ACCESS
- 액세스
- 액세스
- 계정
- 획득한
- 실제로
- 추가
- 주소
- 구애
- 들이다
- 인정 된
- 후
- 여파
- 앞으로
- 연산
- All
- 허용
- 혼자
- 항상
- 양
- 및
- 강의자료
- 다른
- 누군가
- 항소
- 공격
- 8월
- 인증
- 인증 된
- 인증
- 저자
- 자동
- 자동화
- 자동적으로
- 뒤로
- 배경 이미지
- 백업
- 지폐
- 기반으로
- 기본
- 때문에
- 전에
- 존재
- 이하
- 혜택
- 청구
- 일시: XNUMX년 XNUMX월 XNUMX일 화요일 XNUMX:XNUMXpm - XNUMX:XNUMXpm 장소: 여의도 페어몬트 앰배서더 서울 호텔 XNUMXF 아잘레아스 룸 [약도] 행사 문의: info.korea@rescale.com
- 경계
- 바닥
- 위반
- 전화
- 카드
- 면밀히
- 카테고리
- 조심성 있게
- 센터
- 어떤
- 확실히
- 이전 단계로 돌아가기
- 변화
- 문자
- 선택
- 크리스마스
- 청구
- 닫기
- 클라우드
- 암호
- 수집
- 색
- 왔다
- 본문
- 공통의
- 일반적으로
- 기업
- 회사
- 타협
- 손상된
- 컴퓨터
- 컴퓨터 과학
- 컴퓨터
- 자신
- 연결
- 구성
- CONTACT
- 이 포함되어 있습니다
- 함유량
- 지속적으로
- 계속
- 컨트롤
- 수
- 코스
- 엄호
- 갈라진 금
- 범죄자
- 고객
- 고객 데이터
- 고객
- 데이터
- 데이터베이스
- 일
- 결정적인
- 디자인
- 상세한
- 세부설명
- 결정된
- 개발자
- 개발자
- 개발
- DID
- 다른
- 방향
- 재앙
- 발견
- 디스플레이
- 뚜렷한
- 하지 않습니다
- 말라
- 마다
- 초기의
- 중
- 전자적으로
- 요소
- 이메일
- 임베디드
- 암호화
- 종점
- 엔지니어링
- 영어
- 충분히
- 확인
- 전적으로
- 환경
- 특히
- 조차
- 사람
- 증거
- 예
- 존재
- 용이하게하다
- 공정한
- 를
- Fields
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 최종적으로
- 먼저,
- 맞게
- 다음에
- 수행원
- 형태
- 체재
- 무료
- 에
- 가득 찬
- 미래
- 이득
- 일반적으로
- 얻을
- GitHub의
- 주어진
- 제공
- Go
- 가는
- 좋은
- 해킹
- 능숙한
- 해싱
- 신장
- 도움
- 숨겨진
- 높은
- 가져가
- 방법
- How To
- 그러나
- HTTPS
- 즉시
- 바로
- 부과
- in
- 사건
- 포함
- 포함
- 정보
- 처음에는
- 처음에는
- 를 받아야 하는 미국 여행자
- 인텔
- 내부의
- 인터넷
- 중단 된
- 조사
- 참여
- IP
- IP 주소
- IP 주소
- IT
- 반복
- 그 자체
- 특수 용어
- 키
- 알아
- 알려진
- 넓은
- 제작 : LastPass
- 지도
- 지도
- 이용약관
- 법화
- 길이
- 시키는
- 생활
- 아마도
- 라인
- 명부
- 작은
- 살고있다
- 긴
- 이상
- 보기
- 롯
- 기계
- 확인
- 제작
- 구축
- 매니저
- .
- 지도
- 한계
- 석사
- 최대 폭
- 의미
- 방법
- 회의
- 말하는
- 단지
- 메타 데이터
- 방법
- 수도
- 최소한의
- 달
- 개월
- 배우기
- 가장
- 이름
- 필요
- 요구
- ...도 아니고 ...도 아니다
- 네트워크
- 신제품
- news
- 밤
- 표준
- 노트
- 알림
- 십일월
- 번호
- 숫자
- 획득
- 가끔
- 제공
- 공무원
- 낡은
- ONE
- 온라인
- 기회
- 선택권
- 실물
- 기타
- 기타
- 자신의
- 특별한
- 파티
- 비밀번호
- 암호 관리
- 암호 관리자
- 암호
- 폴
- 지불하는
- 지불
- 지불 카드
- PBKDF2
- 전화
- 구문
- 장소
- 평원
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연주
- 전철기
- 위치
- 게시물
- 정밀하게
- 너무 이른
- 가격
- 일차
- 아마
- 방법
- 소유권
- 닥치는대로의
- 범위
- 읽기
- 현실
- 실생활
- 합리적인
- 최근
- 권하다
- 감소
- 거절하는
- 회원가입
- 후회
- 관련
- 기억
- 반복
- 필요
- 제한
- return
- 위험
- 달리기
- 말했다
- 같은
- 부족한
- 과학
- 화면
- 둘째
- 비밀
- 안전해야합니다.
- 보안
- 것
- 보고
- 감각
- 민감한
- XNUMX월
- 서비스
- 서비스
- 세트
- 영상을
- 비슷한
- 비슷하게
- 간단히
- 이후
- 단일
- So
- 소프트웨어
- 고체
- 일부
- 어떤 사람
- 무언가
- 출처
- 소스 코드
- 말하기
- 속도
- 직원
- 스타트
- Stash
- 성명서
- 아직도
- 훔친
- 중지
- 저장
- 저장
- 상점
- 이야기
- 강한
- 구조화
- 자막
- 성공적으로
- 이러한
- 제안
- SVG
- 동의어
- 체계
- 시스템은
- 받아
- 이야기
- 팀
- 테크니컬
- 부드러운
- XNUMXD덴탈의
- 볼트
- 그들의
- 따라서
- 맡은 일
- 올해
- 위협
- 을 통하여
- 시간
- 시대
- 도움말
- 에
- 오늘의
- 너무
- 검색을
- 상단
- 전이
- 투명한
- 수고
- 참된
- 회전
- 돌린
- 궁극적으로
- 폭로하다
- 업데이트
- 업로드
- URL
- us
- 사용
- 사용자
- 사용자
- 사용
- 가치
- 여러
- 둥근 천장
- 둥근 천장
- 기다리다
- 웨이브
- 웹 사이트
- 웹 사이트
- 주
- 뭐
- 어느
- 동안
- 누구
- 넓은
- 넓은 범위
- 의지
- 창
- 없이
- 워드
- 말
- 가치
- X
- year
- 년
- 너의
- 유튜브
- 제퍼 넷
- 줌