Vijesti

Stručnjaci za sigurnost rasturaju LastPass otkriće o procurjelim trezorima lozinki

Prošle sedmice, neposredno prije Božića, LastPass je izdao bombašku najavu: kao rezultat proboja u avgustu, koji je doveo do još jednog proboja u novembru, hakeri su se dočepali korisničkih trezora lozinki. Iako kompanija insistira da su vaši podaci za prijavu i dalje sigurni, neki stručnjaci za kibernetičku sigurnost žestoko kritiziraju njenu objavu, govoreći da bi to moglo učiniti da se ljudi osjećaju sigurnije nego što zapravo jesu i ističući da je ovo samo posljednji u nizu incidenata koji izazivaju teško je vjerovati upravitelju lozinki.

LastPass-ova izjava od 22. decembra bila je “puna propusta, poluistina i otvorenih laži”, stoji u blogu Vladimira Palanta, istraživača sigurnosti poznatog po tome što je, između ostalog, pomogao u originalnom razvoju AdBlock Pro-a. Neke od njegovih kritika odnose se na to kako je kompanija uokvirila incident i koliko je transparentan; on optužuje kompaniju da je pokušala da prikaže incident u avgustu u kojem LastPass kaže da su “ukradeni neki izvorni kod i tehničke informacije” kao zasebna povreda kada kaže da u stvarnosti kompanija “nije uspjela suzbiti” kršenje.

“LastPassova tvrdnja o ‘nultom znanju’ je laž bezobrazna.”

On također naglašava priznanje LastPass-a da su procurjeli podaci uključivali “IP adrese sa kojih su korisnici pristupali LastPass usluzi”, rekavši da bi to moglo omogućiti akteru prijetnje da “napravi potpuni profil kretanja” kupaca ako LastPass evidentira svaku IP adresu koju ste koristili sa svojom uslugom.

Drugi istraživač sigurnosti, Jeremi Gosney, napisao je dugu objavu na Mastodonu objašnjavajući svoju preporuku da pređete na drugi menadžer lozinki. “LastPassova tvrdnja o ‘nultom znanju’ je laž bezobrazna”, kaže on, navodeći da kompanija ima “otprilike onoliko znanja koliko se menadžer lozinki može izvući.”

LastPass tvrdi da njegova arhitektura “neznanja” štiti korisnike jer kompanija nikada nema pristup vašoj glavnoj lozinki, što je ono što bi hakeri trebali da otključaju ukradene trezore. Iako Gosney ne osporava tu konkretnu tačku, on kaže da je ta fraza pogrešna. “Mislim da većina ljudi zamišlja svoj trezor kao neku vrstu šifrirane baze podataka u kojoj je cijela datoteka zaštićena, ali ne – uz LastPass, vaš trezor je datoteka otvorenog teksta i samo nekoliko odabranih polja je šifrirano.”

Palant također napominje da vam šifriranje koristi samo ako hakeri ne mogu probiti vašu glavnu lozinku, što je glavna odbrana LastPass-a u njegovom postu: ako koristite njegove zadane vrijednosti za dužinu i jačanje lozinke i niste je ponovo upotrijebili na drugom sajtu, „trebalo bi milioni godina da se pogodi vaša glavna lozinka korišćenjem opšte dostupne tehnologije za razbijanje lozinki“, napisao je Karim Toubba, izvršni direktor kompanije.

„Ovo priprema teren za okrivljavanje kupaca“, piše Palant, rekavši da „LastPass treba biti svjestan da lozinke će biti dešifrovani za barem neke od svojih kupaca. I već imaju zgodno objašnjenje: ovi kupci očigledno nisu slijedili svoje najbolje prakse.” Međutim, on također ističe da LastPass nije nužno nametnuo te standarde. Uprkos činjenici da je 2018. godine postavio lozinke od 12 znakova kao zadane, Palant kaže: “Mogu se prijaviti sa svojom lozinkom od osam znakova bez ikakvih upozorenja ili upita da je promijenim.”

“Oni u suštini počine svaki grijeh ‘crypto 101’”

I Gosney i Palant također imaju problem sa LastPass-ovom stvarnom kriptografijom, iako iz različitih razloga. Gosney optužuje kompaniju da je u osnovi počinila „svaki grijeh ‘kripto 101’” načinom na koji je implementirana njegova enkripcija i kako upravlja podacima nakon što se učitaju u memoriju vašeg uređaja.

U međuvremenu, Palant kritikuje objavu kompanije jer je svoj algoritam za jačanje lozinki, poznat kao PBKDF2, oslikao kao „jači od tipičnog“. Ideja koja stoji iza standarda je da otežava nagađanje vaših lozinki grubom silom, jer biste morali izvršiti određeni broj kalkulacija pri svakom pogađanju. „Ozbiljno se pitam šta LastPass smatra tipičnim“, piše Palant, „s obzirom da je 100.000 PBKDF2 iteracija najmanji broj koji sam video u bilo kom trenutnom menadžeru lozinki.“

Bitwarden, još jedan popularan menadžer lozinki, kaže da njegova aplikacija koristi 100.001 iteraciju i da dodaje još 100.000 iteracija kada je vaša lozinka pohranjena na serveru za ukupno 200.001. 1Password kaže da koristi 100.000 iteracija, ali njegova šema šifriranja znači da morate imati i tajni ključ i glavnu lozinku da biste otključali svoje podatke. Ta funkcija „osigurava da, ako bilo ko dobije kopiju vašeg trezora, jednostavno mu ne može pristupiti samo sa glavnom lozinkom, što ga čini neprobojnim“, kaže Gosney.

Palant također ističe da LastPass nije uvijek imao taj nivo sigurnosti i da stariji nalozi mogu imati samo 5.000 iteracija ili manje – nešto The Verge potvrđeno prošle sedmice. To, zajedno sa činjenicom da vam i dalje omogućava da imate lozinku od osam znakova, otežava ozbiljno shvatanje LastPassovih tvrdnji da su mu potrebni milioni godina da bi se razbila glavna lozinka. Čak i ako to važi za nekoga ko je postavio novi nalog, šta je sa ljudima koji su godinama koristili softver? Ako LastPass nije izdao upozorenje ili prisilio nadogradnju na te bolje postavke (što Palant kaže da se nije dogodilo za njega), onda njegove „podrazumevane postavke“ nisu nužno korisne kao pokazatelj koliko bi korisnici trebali biti zabrinuti.

Još jedna ključna tačka je činjenica da je LastPass godinama ignorirao molbe za šifriranje podataka kao što su URL-ovi. Palant ističe da bi saznanje gdje ljudi imaju račune moglo pomoći hakerima da posebno ciljaju pojedince. “Glumci prijetnji bi ljubav da znate čemu imate pristup. Tada bi mogli proizvesti dobro ciljane phishing mejlove samo za ljude koji su vrijedni njihovog truda”, napisao je. On također ističe da ponekad URL-ovi sačuvani u LastPass-u mogu ljudima dati više pristupa nego što je predviđeno, koristeći primjer veze za poništavanje lozinke koja nije ispravno istekla.

Tu je i ugao privatnosti; možete reći a puno o osobi na osnovu toga koje web stranice koristi. Šta ako koristite LastPass za pohranu podataka o vašem računu za nišu porno stranicu? Da li bi neko mogao da otkrije u kojoj oblasti živite na osnovu vaših računa davaoca komunalnih usluga? Da li bi informacije da koristite aplikaciju za gej sastanke dovele vašu slobodu ili život u opasnost?

Jedna stvar oko koje se čini da se nekoliko stručnjaka za sigurnost, uključujući Gosneyja i Palanta, slaže je činjenica da ovo probijanje nije pozitivan dokaz da su upravitelji lozinki zasnovani na oblaku loša ideja. Čini se da je ovo odgovor ljudima koji evangeliziraju prednosti potpuno offline menadžera lozinki (ili čak samo zapisuju nasumično generirane lozinke u bilježnicu, kao što sam vidio da sugerira jedan komentator). Postoje, naravno, očigledne prednosti ovog pristupa – kompanija koja čuva milione lozinki ljudi će dobiti više pažnje od hakera nego računar pojedinca, a doći do nečega što nije u oblaku je mnogo teže.

Ali, poput obećanja kriptovaluta da će vam dozvoliti da budete vlastita banka, pokretanje vlastitog upravitelja lozinki može dovesti do više izazova nego što ljudi shvaćaju. Gubitak vašeg trezora zbog pada tvrdog diska ili nekog drugog incidenta mogao bi biti katastrofalan, ali njegovo sigurnosno kopiranje uvodi rizik da ga učinite ranjivijim na krađu. (A zapamtili ste da svom softveru za automatsko pravljenje rezervnih kopija u oblaku kažete da ne prenosi vaše lozinke, zar ne?) Plus, sinhronizacija vanmrežnog trezora između uređaja je, blago rečeno, mala muka.

Što se tiče onoga što bi ljudi trebali učiniti u vezi sa svim ovim, i Palant i Gosney preporučuju barem razmatranje prelaska na drugi upravitelj lozinki, dijelom zbog načina na koji je LastPass riješio ovo kršenje i činjenice da je to sedmi sigurnosni incident kompanije u nešto više od deset godina. . „Potpuno je jasno da im nije stalo do vlastite sigurnosti, a još manje do vaše sigurnosti“, piše Gosney, dok Palant postavlja pitanje zašto LastPass nije otkrio da su hakeri kopirali trezore iz njegovog skladišta u oblaku treće strane dok je bilo dešava. (U objavi kompanije se kaže da je „dodala dodatne mogućnosti evidentiranja i upozorenja kako bi se otkrila svaka daljnja neovlaštena aktivnost.“)

LastPass je rekao da većina korisnika neće morati poduzeti nikakve radnje da se osiguraju nakon ovog kršenja. Palant se ne slaže, nazivajući preporuku “grubom nemarom”. Umjesto toga, on kaže da bi svako ko je imao jednostavnu glavnu lozinku, mali broj iteracija (evo kako možete provjeriti) ili ko je potencijalno “meta visoke vrijednosti” trebao odmah razmisliti o promjeni svih svojih lozinki.

Je li to najzabavnija stvar za raditi tokom praznika? Ne. Ali nije ni čišćenje nakon što je neko pristupio vašim računima s ukradenom lozinkom.

Leave a Reply

Your email address will not be published. Required fields are marked *