Менеджер паролей KeePass уязвим

К тому, что на просторах глобальной Сети пользователя поджидает изрядное количество угроз, всем уже давно известно. Известно и то, что ценную информацию лучше держать в зашифрованном и защищенном надежным паролем виде. Но вот то, что из программы, призванной заниматься шифрованием и генерацией паролей, можно “вытащить” все данные в виде простого текстового файла — стало неожиданностью для многих. Под угрозой оказался известный кроссплатформенный бесплатный менеджер паролей KeePass

Менеджер паролей KeePass продемонстрировал свою уязвимость

Менеджер паролей KeyPass

Эта программа для хранения паролей появилась в 2003 году. Сначала существовала только версия для Windows, позже менеджер паролей стал поддерживать и другие операционные системы: от Linux и Max OS X для стационарных компьютеров и ноутбуков — до мобильных платформ Android и Pocket PC. До недавнего времени KeePass считался практически неуязвимым и тот, кто использовал это приложение, мог считать себя в безопасности. Учитывая факторы кроссплатформенности, бесплатности и многолетней высокой репутации, можно представить количество пользователей, доверивших хранение паролей этой программе. А значит, возникшая проблема  способна коснуться очень многих.

К счастью, уязвимость обнаружил не хакер, а сотрудник компании Security Assessment Денис Андзакович. Он опубликовал на GitHub бесплатный инструмент, названный им KeeFarce, способный дешифровать все данные (логины, пароли, заметки), которые хранятся в базе Keepass Password. Принцип действия этой разработки строится на внедрении на компьютер жертвы DLL-инъекции. Приложение-взломщик запускает во время работы программы функцию экспорта открытой в данный момент базы данных, расшифровывает ее и создает текстовый файл, который хакер сможет забрать впоследствии самостоятельно (в случае физического доступа к компьютеру жертвы) или получить удаленно.

Андзакович обращает внимание на то, что найденная уязвимость, которую имеет система защиты данных KeePass, не является проблемой только этой программы.  DLL-инъекция может быть внедрена (с помощью троянского вируса, например) в любой менеджер для создания и шифрования паролей.

Как защитить данные, если менеджер паролей взломали

Как должна осуществляться защита данных с учетом выявленных рисков? Какое средство использовать, чтобы подстраховаться на случай взлома пароля? Ответ, как ни странно, довольно прост и давно всем известен: это — двухфакторная аутентификация.

Такие ставшие уже традиционными средства аутентификации как токены, специальные приложения для смартфонов, или одноразовые пароли, получаемые при помощи СМС,  выступают в роли второго “рубежа обороны” аккаунтов пользователей. Их преимущество в том, что каждый создаваемый пароль уникален и действует только в течение определенного времени. Существуют способы дополнительно обезопасить одноразовый пароль — например, с помощью функции CWYS (подпись данных транзакции).

Имеющиеся на сегодня способы аутентификации позволяют защитить свой аккаунт даже в том случае, если пароль будет похищен. Достаточно только в любой учетной записи, где предоставляется такая возможность, подключить функцию 2FA. Некоторые затраты времени и незначительные неудобства, связанные с применением two factor authentication, будут компенсированы уверенностью в том, что злоумышленники не смогут взять под контроль ваш аккаунт. Даже если украдут зашифрованный пароль.

Author: Olga Geo

Раньше была стопроцентным гуманитарием: преподавала фортепиано и синтезатор. Компьютер и интернет считала "мировым злом". Однако, познакомившись с ними поближе, кардинально изменила мнение. Освоив HTML, CSS и другие необходимые для работы навыки, сделала интернет основным местом приложения собственных усилий. Сегодня занимается разработкой сайтов и ведением собственного блога о программном обеспечении. Пишет статьи об IT-технологиях.

Share This Post On

Один комментарий

  1. Статья похвальна, новости об уязвимостях нужны миру, ведь только зная проблему найдём решение. Правда двухфакторная авторизация не спасёт от кражи из уже открытой базы данных. У нас тут не заурядный сайт, а приложение, работающее в системе пользователя, методы обязаны соответствовать. Решение проблемы? Технологии HIPS и Sandbox помогут. Первая контролирует каждое действие приложения, вторая изолирует его в отдельной, скажем так, виртуальной реальности. В итоге вредонос, к примеру, использовавший уязвимость Adobe Flash в завиртуализированном браузере, осуществит инъекцию успешно… но вот беда, в реальности её нет и работа программ, как KeePass, не нарушена. Единственное условие, что браузер отдельно, хранилище отдельно и без виртуализации, без HIPS и Sandbox.
    Предлагать определённое приложение для реализации этих двух технологий защиты не стану, у каждого свои вкусы и решать не мне. Надеюсь что применять их будут чаще и мир станет безопаснее, ведь мы встречаем всё больше угроз, антивирусы как решето… наступило время проактивной защиты, судим не по одёжке, сигнатурам, а по содержанию, действиям, дамы и господа. Виртуализация — сила!

    Ответить

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This