Dziura w LastPass naraża miliony internautów

[KopalniaWiedzy.pl 320]

Tavis Ormandy z Google'a informuje o znalezieniu dziury typu zero-day w popularnym menedżerze haseł LastPass. Dziura pozwala na całkowite przejęcie kontroli nad kontem użytkownika. Miliony internautów mogą narazić się na niebezpieczeństwo jeśli wejdą na witrynę zarażoną przez cyberprzestępców.

Na razie niewiele wiadomo o samej dziurze. Ormandy'emu można jednak wierzyć, gdyż jest to utytułowany specjalista ds. bezpieczeństwa. W przeszłości odkrył poważne dziury w oprogramowaniu antywirusowym takich firm jak Symantec, Avast czy Kaspersky.

Teraz Ormandy chce sprawdzić kolejnego popularnego menedżera haseł, 1Password.

Na razie nie zauważono, by przestępcy zaatakowali LastPass.

« powrót do artykułu

[wilk 103]

E, wiemy. Wystarczy spreparowany URI. LastPass ujawnia wszystko wówczas, myśląc, że jest na zupełnie innej stronie. Przedszkolny błąd. Brr, nie wiem jak można tego w ogóle używać.

[Krzychoo 29]

To co używać? Jakiego menadżera haseł?

[thikim 117]

Brr, nie wiem jak można tego w ogóle używać.

Normalnie

 

 

Wystarczy spreparowany URI

A to skąd wiesz? Dla człowieka z pewnością wystarczy spreparowany URI a dla LastPass?

 

Na razie nie zauważono, by przestępcy zaatakowali LastPass.

Zaraz, zaraz. Dziura zero day a przestępcy nie używają?

Edytowane 29 lipca 2016 przez thikim

[wilk 103]

To co używać? Jakiego menadżera haseł?

 

Tylko lokalne. Nie chcę reklamować, ale dla mnie jest tylko jeden sensowny — KeePass. A sam plik z hasłami możemy sobie ewentualnie synchronizować. Oczywiście jeśli używamy „key file”, to nie trzymamy tego razem.

 

A to skąd wiesz?

 

Bo została opublikowana. https://bugs.chromium.org/p/project-zero/issues/detail?id=884

 

Oraz jest też coś takiego:https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/

 

Dziura zero day a przestępcy nie używają?

 

Został załatany. Kto nie zaktualizował sobie dodatku, ten będzie płakał.

[thikim 117]

https://pl.wikipedia.org/wiki/Zero-day_exploit

[wilk 103]

Niestety, ale termin 0-day się nieco zdewaluował, od kiedy zaczęto robić marketingowo-PR-owy szum z dziur, przy których trzeba zrobić poczwórne salto, żeby poskutkowały, po wydmuszki, które muszą mieć chwytliwą nazwę i koniecznie ładne logo. W tym przypadku wydaje się, że to jedynie nietechniczni dziennikarze (źródło) określili to jako 0-day.

[Gość Astro]

Panowie, może tak szczerze. Nie to, kto się podciera

https://www.youtube.com/watch?v=iCURyzxmP5w

ale kto zapisuje hasła? Na czymkolwiek?

[thikim 117]

Znaczy się w mózgu też?

[Gość Astro]

No ja zapisuję tylko tam.

[thikim 117]

A że tak zapytam o jakich ilościach haseł mniej więcej mówimy?

[Gość Astro]

Raczej niewielkiej. Niecałe trzydzieści. Niektóre muszę zmieniać regularnie. Wystarczają mi własne, tentegowane w głowie algorytmy.

[thikim 117]

Rzeczywiście - niewielkiej.

[wilk 103]

 

 

Wystarczają mi własne, tentegowane w głowie algorytmy.

 

Pewnie zatem tworzysz w oparciu o pewien rdzeń plus znaczki zależne od serwisu. W przypadku ogólnych wycieków ma to jeszcze sens, bo nawet jeśli zostanie odtworzone, to wyglądać może dość losowo, ale przy ataku personalnym wyciek jednego może oznaczać wyciek wszystkich.

[Gość Astro]

Pewnie zatem tworzysz w oparciu o pewien rdzeń

 

Rdzeni jest kilka.

Podobnie jak algorytmów.

 

Ed. Przypomniał mi się sposób na najlepszy immobilizer. Sam zrobiłem coś takiego (nie pytajcie tylko jaki, bo nie będzie już najlepszy).

Edytowane 1 sierpnia 2016 przez Astro

[pogo 102]

Najlepszy jest taki, który wszyscy znają, a i tak nie potrafią obejść 

[Gość Astro]

Świnta prawda, ale nie zdarzył się chyba jeszcze samochód na miarę AES256.

[thikim 117]

 

 

Pewnie zatem tworzysz w oparciu o pewien rdzeń plus znaczki zależne od serwisu

Widzę że wiele osób wpadło na ten pomysł

ale można go trochę udoskonalić

[Jajcenty 314]

Pewnie zatem tworzysz w oparciu o pewien rdzeń plus znaczki zależne od serwisu

Niektórzy jako rdzenia używają pinu karty karty bankowej, bo i tak muszą go pamiętać. Żeby złodziejowi było łatwiej. Już tak nie robię

 

Dodam, że to IT security sprowadziło na ludzi ten los. Minimalna długość hasła 8 znaków (a mogłoby być 32) wymuszona zmiana co 90 dni, wymagane użycie wielkich i małych liter, cyfr i znaków specjalnych skutkuje karteczką z hasłem. Pół biedy jeśli przyklejoną pod klawiaturą, bo zwykle jest gdzieś na widoku

Edytowane 2 sierpnia 2016 przez Jajcenty

[ww296 10]

Kurcze - wiecie, że nie wpadłem na to z tym rdzeniem - genialne - ale człowiek coraz starszy, dzięki temu da radę odciążyć trochę mózg.

Co do samych haseł - statystycznie człowiek może zapamiętać na raz około 7 znaków - wydłużenie haseł do 8 i kombinacje cyfrowo-literowe plus znaki specjalne spowodowały konieczność zapisywania.

stosowanie takich zabezpieczeń na mało istotnych portalach spowodowało, uważam spadek skuteczności zabezpieczeń z uwagi na dublowanie haseł i zapisywanie ich. To klasyczny przypadek "wylania dziecka z kąpielą"

[thikim 117]

Dodam, że to IT security sprowadziło na ludzi ten los. Minimalna długość hasła 8 znaków (a mogłoby być 32) wymuszona zmiana co 90 dni, wymagane użycie wielkich i małych liter, cyfr i znaków specjalnych skutkuje karteczką z hasłem. Pół biedy jeśli przyklejoną pod klawiaturą, bo zwykle jest gdzieś na widoku

Dokładnie.

Większość ludzi patrzy dość "wąsko".

Administrator widzi tylko swój serwis: nakazałem użytkownikom hasło 15 znaków, małe i wielkie, cyfry i znak specjalny, zmieniane co miesiąc. Jest bardzo bezpiecznie.

Użytkownik widzi wiele serwisów: nakazano mi pamiętać 25 różnych haseł, po 15 znaków, małe i wielkie litery, cyfry i znak specjalny i muszę to zmieniać. A w d*pie to mam. Naklejam kartkę (BTW. Jak widzę kobietę przy komputerze to jakoś automatycznie szukam kartki ) Panie są mądre, robią po swojemu, i nie zajmują się pierdołami.

Rdzenie są pewnym rozwiązaniem. Nawet bardzo dobrym w porównaniu do haseł sporej części populacji w rodzaju: tatata, qwerty1, aaaaaa, 12345

Kiedyś pewien admin dał mi hasło do mojego zasobu na ftp: bodajże 12345

No to spróbowałem: user: admin, password: 12345 - poszło

Ludzie są leniwi i słusznie (do tego mamy mocno ograniczone poza wyjątkami możliwości zapamiętywania). Bo to oznacza postęp. A nie biurokracja.

Ale generalnie chyba nie unikniemy biometrii, bo to jest w miarę wygodne i jednak bezpieczniejsze niż hasła: aaaaaa

BTW2. A w sieciach akademickich to jeden pies czy hasło jest aaaaa czy ;jkfdsbvjdpoifj8o0dsugae98fue09gerjjg9reifwerp0g9erkjgf9iregejag

sniffer da radę tzn. dawniej dawał radę

Edytowane 2 sierpnia 2016 przez thikim

[wilk 103]

Problem z biometrią jest taki, że jak „ukradną ci palec” czy cokolwiek innego, na czym dostęp jest oparty (czyli zdobędą wzorzec i technologia pozwoli na odtworzenie modelu), to jesteś przegrany już do końca życia.

[Jajcenty 314]

 

 

;jkfdsbvjdpoifj8o0dsugae98fue09gerjjg9reifwerp0g9erkjgf9iregejag

Miałem do wifi 31415926535897932384626433832795 rodzina mnie przeklinała bo trzeba mieć odpowiedni calc.exe. Taka tam zemsta geeka:)

[Krzychoo 29]

 

 

Problem z biometrią jest taki, że jak „ukradną ci palec” czy cokolwiek innego, na czym dostęp jest oparty (czyli zdobędą wzorzec i technologia pozwoli na odtworzenie modelu), to jesteś przegrany już do końca życia.

Pomógłby dostęp dwu etapowy - biometria i np. karta dostępu - taki klucz z "Limes Inferior".

[wilk 103]

Jak ukradną „palec”, to nie będzie już taki dwuetapowy. A niech no wycieknie (na wzór dyskusji w innym temacie) baza kilku milionów skanów… Token czy hasło można wymienić. Ponowne zeskanowanie palca czy siatkówki do bazy nie zmieni już niczego.