К тому, что на просторах глобальной Сети пользователя поджидает изрядное количество угроз, всем уже давно известно. Известно и то, что ценную информацию лучше держать в зашифрованном и защищенном надежным паролем виде. Но вот то, что из программы, призванной заниматься шифрованием и генерацией паролей, можно “вытащить” все данные в виде простого текстового файла — стало неожиданностью для многих. Под угрозой оказался известный кроссплатформенный бесплатный менеджер паролей KeePass
Менеджер паролей KeePass продемонстрировал свою уязвимость
Эта программа для хранения паролей появилась в 2003 году. Сначала существовала только версия для Windows, позже менеджер паролей стал поддерживать и другие операционные системы: от Linux и Max OS X для стационарных компьютеров и ноутбуков — до мобильных платформ Android и Pocket PC. До недавнего времени KeePass считался практически неуязвимым и тот, кто использовал это приложение, мог считать себя в безопасности. Учитывая факторы кроссплатформенности, бесплатности и многолетней высокой репутации, можно представить количество пользователей, доверивших хранение паролей этой программе. А значит, возникшая проблема способна коснуться очень многих.
К счастью, уязвимость обнаружил не хакер, а сотрудник компании Security Assessment Денис Андзакович. Он опубликовал на GitHub бесплатный инструмент, названный им KeeFarce, способный дешифровать все данные (логины, пароли, заметки), которые хранятся в базе Keepass Password. Принцип действия этой разработки строится на внедрении на компьютер жертвы DLL-инъекции. Приложение-взломщик запускает во время работы программы функцию экспорта открытой в данный момент базы данных, расшифровывает ее и создает текстовый файл, который хакер сможет забрать впоследствии самостоятельно (в случае физического доступа к компьютеру жертвы) или получить удаленно.
Андзакович обращает внимание на то, что найденная уязвимость, которую имеет система защиты данных KeePass, не является проблемой только этой программы. DLL-инъекция может быть внедрена (с помощью троянского вируса, например) в любой менеджер для создания и шифрования паролей.
Как защитить данные, если менеджер паролей взломали
Как должна осуществляться защита данных с учетом выявленных рисков? Какое средство использовать, чтобы подстраховаться на случай взлома пароля? Ответ, как ни странно, довольно прост и давно всем известен: это — двухфакторная аутентификация.
Такие ставшие уже традиционными средства аутентификации как токены, специальные приложения для смартфонов, или одноразовые пароли, получаемые при помощи СМС, выступают в роли второго “рубежа обороны” аккаунтов пользователей. Их преимущество в том, что каждый создаваемый пароль уникален и действует только в течение определенного времени. Существуют способы дополнительно обезопасить одноразовый пароль — например, с помощью функции CWYS (подпись данных транзакции).
Имеющиеся на сегодня способы аутентификации позволяют защитить свой аккаунт даже в том случае, если пароль будет похищен. Достаточно только в любой учетной записи, где предоставляется такая возможность, подключить функцию 2FA. Некоторые затраты времени и незначительные неудобства, связанные с применением two factor authentication, будут компенсированы уверенностью в том, что злоумышленники не смогут взять под контроль ваш аккаунт. Даже если украдут зашифрованный пароль.
Subscribe To Our Newsletter
Join our mailing list to receive the latest news and updates from our team.
19-02-2017
Статья похвальна, новости об уязвимостях нужны миру, ведь только зная проблему найдём решение. Правда двухфакторная авторизация не спасёт от кражи из уже открытой базы данных. У нас тут не заурядный сайт, а приложение, работающее в системе пользователя, методы обязаны соответствовать. Решение проблемы? Технологии HIPS и Sandbox помогут. Первая контролирует каждое действие приложения, вторая изолирует его в отдельной, скажем так, виртуальной реальности. В итоге вредонос, к примеру, использовавший уязвимость Adobe Flash в завиртуализированном браузере, осуществит инъекцию успешно… но вот беда, в реальности её нет и работа программ, как KeePass, не нарушена. Единственное условие, что браузер отдельно, хранилище отдельно и без виртуализации, без HIPS и Sandbox.
Предлагать определённое приложение для реализации этих двух технологий защиты не стану, у каждого свои вкусы и решать не мне. Надеюсь что применять их будут чаще и мир станет безопаснее, ведь мы встречаем всё больше угроз, антивирусы как решето… наступило время проактивной защиты, судим не по одёжке, сигнатурам, а по содержанию, действиям, дамы и господа. Виртуализация — сила!