Παραβίαση πηγαίου κώδικα LastPass – Συνιστούμε ακόμα διαχειριστές κωδικών πρόσβασης;

Όπως αναμφίβολα γνωρίζετε ήδη, επειδή η ιστορία έχει κυκλοφορήσει σε όλες τις ειδήσεις και τα μέσα κοινωνικής δικτύωσης πρόσφατα, ο ευρέως γνωστός και ευρέως χρησιμοποιούμενος διαχειριστής κωδικών πρόσβασης LastPass την περασμένη εβδομάδα ανέφερε ένα παραβίαση ασφαλείας.

Η ίδια η παραβίαση συνέβη δύο εβδομάδες πριν από αυτό, είπε η εταιρεία, και περιλάμβανε εισβολείς στο σύστημα όπου το LastPass διατηρεί τον πηγαίο κώδικα του λογισμικού του.

Από εκεί, ανέφερε το LastPass, οι επιτιθέμενοι "Πήρε τμήματα του πηγαίου κώδικα και ορισμένες ιδιόκτητες τεχνικές πληροφορίες LastPass."

Δεν γράψαμε αυτό το περιστατικό την περασμένη εβδομάδα, γιατί δεν φαινόταν ότι θα μπορούσαμε να προσθέσουμε πολλά στην αναφορά περιστατικών του LastPass – οι απατεώνες χρησιμοποίησαν τον ιδιόκτητο πηγαίο κώδικα και την πνευματική ιδιοκτησία τους, αλλά προφανώς δεν κατάλαβαν τυχόν δεδομένα πελάτη ή υπαλλήλου.

Με άλλα λόγια, το είδαμε αυτό ως ένα βαθύτατα ενοχλητικό ζήτημα δημοσίων σχέσεων για το ίδιο το LastPass, δεδομένου ότι όλος ο σκοπός του προϊόντος της εταιρείας είναι να βοηθήσει τους πελάτες να διατηρήσουν τους διαδικτυακούς τους λογαριασμούς για τον εαυτό τους, αλλά όχι ως περιστατικό που έθεσε άμεσα σε κίνδυνο τους διαδικτυακούς λογαριασμούς των πελατών.

Ωστόσο, το περασμένο Σαββατοκύριακο είχαμε αρκετές ανησυχητικές ερωτήσεις από τους αναγνώστες (και είδαμε κάποιες παραπλανητικές συμβουλές στα μέσα κοινωνικής δικτύωσης), οπότε σκεφτήκαμε να εξετάσουμε τις κύριες ερωτήσεις που έχουμε λάβει μέχρι στιγμής.

Εξάλλου, προτείνουμε τακτικά στους αναγνώστες μας και ακροατές podcast να εξετάσετε το ενδεχόμενο να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης, παρόλο που έχουμε επίσης γράψει πολυάριθμες ασφάλεια σφάλματα στον κωδικό πρόσβασης διευθυντής εργαλεία πάνω από το χρόνια.

Έτσι, συγκεντρώσαμε έξι ερωτήσεις και απαντήσεις παρακάτω, για να σας βοηθήσουμε να πάρετε μια τεκμηριωμένη απόφαση σχετικά με το μέλλον των διαχειριστών κωδικών πρόσβασης στη δική σας ψηφιακή ζωή.

Q1. Τι γίνεται αν ο διαχειριστής κωδικών πρόσβασης μου παραβιαστεί;

A1. Αυτή είναι μια απολύτως λογική ερώτηση: εάν βάλετε όλα τα αυγά του κωδικού πρόσβασής σας σε ένα καλάθι, δεν γίνεται αυτό το καλάθι ένα μόνο σημείο αποτυχίας;

Στην πραγματικότητα, αυτή είναι μια ερώτηση που μας έχουν κάνει τόσο συχνά που έχετε ένα βίντεο ειδικά για να το απαντήσετε (κάντε κλικ στο γρανάζι κατά την αναπαραγωγή για να ενεργοποιήσετε τους υπότιτλους ή για να επιταχύνετε την αναπαραγωγή):

[Ενσωματωμένο περιεχόμενο]

---

Q2. Εάν χρησιμοποιώ το LastPass, πρέπει να αλλάξω όλους τους κωδικούς πρόσβασής μου;

A2. Εάν θέλετε να αλλάξετε ορισμένους ή όλους τους κωδικούς πρόσβασής σας, δεν πρόκειται να σας αποτρέψουμε.

(Ένα εύχρηστο πράγμα σχετικά με έναν διαχειριστή κωδικών πρόσβασης, όπως εξηγούμε στο παραπάνω βίντεο, είναι ότι είναι πολύ πιο γρήγορο, πιο εύκολο και ασφαλές να αλλάζετε κωδικούς πρόσβασης, επειδή δεν κολλάτε στην προσπάθεια να επινοήσετε και να θυμάστε δεκάδες νέες και περίπλοκες συμβολοσειρές κειμένου σε βιασύνη.)

Από όλους τους λογαριασμούς, ωστόσο, αυτό το περιστατικό ασφαλείας δεν έχει καμία σχέση με τους απατεώνες που λαμβάνουν προσωπικά δεδομένα, τουλάχιστον τους κωδικούς πρόσβασής σας, οι οποίοι ούτως ή άλλως δεν είναι αποθηκευμένοι στους διακομιστές του LastPass σε χρησιμοποιήσιμη μορφή. (Βλέπε Ε5.)

Αυτή η επίθεση δεν φαίνεται να περιλαμβάνει ευπάθεια ή εκμετάλλευση έναντι του λογισμικού LastPass μέσω της οποίας απατεώνες θα μπορούσαν να επιτεθούν στους κρυπτογραφημένους κωδικούς πρόσβασης στο θησαυροφυλάκιο κωδικών πρόσβασης ή να εμπλέκουν κακόβουλο λογισμικό που ξέρει πώς να υπαινίσσεται τη διαδικασία αποκρυπτογράφησης κωδικού πρόσβασης στους δικούς σας υπολογιστές .

Επιπλέον, δεν περιλαμβάνει την κλοπή οποιωνδήποτε προσωπικών αναγνωρίσιμων πληροφοριών πελατών «πραγματικής ζωής», όπως αριθμοί τηλεφώνου, ταχυδρομικοί κώδικες ή μεμονωμένοι αριθμοί ταυτότητας που μπορεί να βοηθήσουν τους εισβολείς να πείσουν τις διαδικτυακές υπηρεσίες να επαναφέρουν τους κωδικούς πρόσβασής σας χρησιμοποιώντας κόλπα κοινωνικής μηχανικής.

Επομένως, δεν πιστεύουμε ότι χρειάζεται να αλλάξετε τους κωδικούς πρόσβασής σας. (Για ό,τι αξίζει, ούτε το LastPass.)

---

Q3. Πρέπει να εγκαταλείψω το LastPass και να στραφώ σε έναν ανταγωνιστή;

A3. Αυτή είναι μια ερώτηση που θα πρέπει να απαντήσετε μόνοι σας.

Όπως είπαμε παραπάνω, όσο ντροπιαστικό κι αν είναι αυτό το περιστατικό για το LastPass, φαίνεται ότι δεν παραβιάστηκαν προσωπικά δεδομένα και δεν κλάπηκαν δεδομένα σχετικά με τον κωδικό πρόσβασης (κρυπτογραφημένα ή άλλα), παρά μόνο ο πηγαίος κώδικας και οι ιδιόκτητες πληροφορίες της εταιρείας.

Ξεχάσατε το Chrome όταν η Google ήταν πρόσφατη στην άγρια ​​ημέρα μηδέν ανακοινώθηκε το exploit; Ή τα προϊόντα της Apple μετά το νεότερο διπλό παιχνίδι μηδενικής ημέρας? Ή τα Windows μετά από οποιοδήποτε Ενημέρωση ενημερωμένης έκδοσης της Τρίτης σε ποια σφάλματα μηδενικής ημέρας διορθώθηκαν;

Εάν όχι, τότε υποθέτουμε ότι είστε διατεθειμένοι να κρίνετε την πιθανή μελλοντική αξιοπιστία μιας εταιρείας στον κυβερνοχώρο από τον τρόπο με τον οποίο αντέδρασε την τελευταία φορά που παρουσιάστηκε ένα σφάλμα ή μια παραβίαση, ειδικά εάν η γκάφα της εταιρείας δεν σας έθεσε άμεσα και άμεσα σε κίνδυνο.

Σας προτείνουμε να διαβάσετε το LastPass αναφορά περιστατικού και συχνές ερωτήσεις για τον εαυτό σας και αποφασίστε σε αυτή τη βάση εάν εξακολουθείτε να έχετε την τάση να εμπιστεύεστε την εταιρεία.

---

Q4. Ο κλεμμένος πηγαίος κώδικας δεν σημαίνει ότι θα ακολουθήσουν τα hacks και τα exploits;

A4. Αυτή είναι μια λογική ερώτηση και η απάντηση δεν είναι απλή.

Σε γενικές γραμμές, ο πηγαίος κώδικας είναι πολύ πιο εύκολο να διαβαστεί και να κατανοηθεί ότι το μεταγλωττισμένο, «δυαδικό» ισοδύναμό του, ειδικά αν είναι καλά σχολιασμένο και χρησιμοποιεί ουσιαστικά ονόματα για πράγματα όπως μεταβλητές και συναρτήσεις μέσα στο λογισμικό.

Ως ένα κάπως συνθετικό αλλά εύκολο στην παρακολούθηση παράδειγμα, συγκρίνετε τον πηγαίο κώδικα Lua στα αριστερά παρακάτω με τον μεταγλωττισμένο bytecode (όπως η Java, το Lua εκτελείται σε μια εικονική μηχανή) στα δεξιά:

Θεωρητικά, επομένως, ο πηγαίος κώδικας σημαίνει ότι θα πρέπει να είναι πιο γρήγορο και πιο εύκολο να προσδιοριστεί πώς ακριβώς λειτουργεί το λογισμικό, συμπεριλαμβανομένου του εντοπισμού τυχόν σφαλμάτων προγραμματισμού ή λαθών ασφάλειας στον κυβερνοχώρο, και ως εκ τούτου τα τρωτά σημεία θα πρέπει να είναι πιο εύκολο να εντοπιστούν και οι εκμεταλλεύσεις να επινοηθούν πιο γρήγορα.

Στην πράξη, είναι αλήθεια ότι η απόκτηση πηγαίου κώδικα σε συνδυασμό με τα μεταγλωττισμένα δυαδικά αρχεία που προσπαθείτε να δημιουργήσετε αντίστροφη μηχανική σπάνια, έως ποτέ, θα κάνει τη δουλειά πιο δύσκολη και συχνά θα την κάνει πιο εύκολη.

Τούτου λεχθέντος, πρέπει να θυμάστε ότι τα Microsoft Windows είναι ένα λειτουργικό σύστημα κλειστού κώδικα, και ωστόσο πολλές, αν όχι οι περισσότερες, από τις οπές ασφαλείας που διορθώνονταν κάθε μήνα την Τρίτη της ενημέρωσης κώδικα αναστράφηκαν απευθείας από προμεταγλωττισμένα δυαδικά αρχεία.

Με άλλα λόγια, το να διατηρείτε μυστικό τον πηγαίο κώδικα δεν πρέπει ποτέ να θεωρείται ζωτικό μέρος οποιασδήποτε διαδικασίας ασφάλειας στον κυβερνοχώρο.

Πρέπει επίσης να θυμάστε ότι πολλά έργα βασίζονται ρητά στη δημοσιοποίηση του πηγαίου κώδικα τους, όχι απλώς για να μπορεί ο καθένας να τον ελέγχει, αλλά και για να μπορεί όποιος θέλει να τον χρησιμοποιήσει, να τον τροποποιήσει και να συνεισφέρει για το γενικότερο καλό όλων.

Ωστόσο, ακόμη και τα κύρια έργα ανοιχτού κώδικα με άδειες φιλελεύθερης χρήσης και με δυνητικά πολλά μάτια στραμμένα σε αυτόν τον πηγαίο κώδικα για πολλά χρόνια, απαιτούσαν κρίσιμες ενημερώσεις κώδικα ασφαλείας για σφάλματα που θα μπορούσαν να είχαν εντοπιστεί πολλές φορές, αλλά δεν ήταν.

Τέλος, πολλά έργα ιδιόκτητου λογισμικού αυτές τις μέρες (παραδείγματα περιλαμβάνουν το πρόγραμμα περιήγησης Chrome της Google, το λειτουργικό σύστημα iOS της Apple, το τείχος προστασίας Sophos XG και χιλιάδες ακόμη ευρέως χρησιμοποιούμενα εργαλεία υλικού και λογισμικού) ωστόσο κάνουν εκτενή χρήση πολλών στοιχείων ανοιχτού κώδικα.

Με απλά λόγια, τα περισσότερα σύγχρονα έργα κλειστού κώδικα περιλαμβάνουν σημαντικά μέρη για τα οποία ο πηγαίος κώδικας μπορεί να ληφθεί ούτως ή άλλως (επειδή το απαιτεί η αδειοδότηση) ή μπορεί να συναχθεί (επειδή η αδειοδότηση απαιτεί την τεκμηρίωση της χρήσης του, ακόμη και αν έγιναν κάποιες τροποποιήσεις στον κώδικα στη συνέχεια έγινε).

Με άλλα λόγια, αυτή η διαρροή πηγαίου κώδικα μπορεί να βοηθήσει ελαφρώς τους πιθανούς επιτιθέμενους, αλλά σχεδόν σίγουρα [a] όχι τόσο όσο νομίζατε αρχικά και [b] όχι σε σημείο που θα καταστούν δυνατές νέες εκμεταλλεύσεις που δεν θα μπορούσαν ποτέ να καταλάβουν χωρίς τον πηγαίο κώδικα.

---

Q5. Πρέπει να εγκαταλείψω εντελώς τους διαχειριστές κωδικών πρόσβασης;

A5. Το επιχείρημα εδώ είναι ότι αν ακόμη και μια εταιρεία που υπερηφανεύεται για την παροχή εργαλείων για το κλείδωμα των προσωπικών και εταιρικών σας μυστικών με μεγαλύτερη ασφάλεια δεν μπορεί να κλειδώσει με ασφάλεια τη δική της πνευματική ιδιοκτησία, σίγουρα αυτό είναι μια προειδοποίηση ότι οι διαχειριστές κωδικών πρόσβασης είναι «ανόητη δουλειά»;

Τελικά, τι θα συμβεί αν οι απατεώνες εισβάλουν ξανά και την επόμενη φορά δεν είναι ο πηγαίος κώδικας που έχουν στην κατοχή τους, αλλά κάθε μεμονωμένος κωδικός πρόσβασης που είναι αποθηκευμένος από κάθε μεμονωμένο χρήστη;

Αυτή είναι μια ανησυχία – μπορείτε να την αποκαλέσετε σχεδόν μιμίδιο – που εμφανίζεται τακτικά στα μέσα κοινωνικής δικτύωσης, ειδικά μετά από παραβίαση αυτού του είδους: «Τι θα γινόταν αν οι απατεώνες είχαν κατεβάσει όλους τους κωδικούς πρόσβασης μου; Τι σκεφτόμουν, ούτως ή άλλως μοιράζομαι όλους τους κωδικούς μου;»

Αυτά θα ήταν γνήσια ανησυχία εάν οι διαχειριστές κωδικών πρόσβασης δούλευαν διατηρώντας ακριβή αντίγραφα όλων των κωδικών πρόσβασής σας στους δικούς τους διακομιστές, όπου θα μπορούσαν να εξαχθούν από τους εισβολείς ή να απαιτηθούν από τις αρχές επιβολής του νόμου.

Αλλά κανένας αξιοπρεπής διαχειριστής κωδικών πρόσβασης που βασίζεται σε σύννεφο δεν λειτουργεί με αυτόν τον τρόπο.

Αντίθετα, αυτό που είναι αποθηκευμένο στους διακομιστές τους είναι μια κρυπτογραφημένη βάση δεδομένων ή "blob" (συντομογραφία του δυαδικό μεγάλο αντικείμενο) που αποκρυπτογραφείται μόνο αφού μεταφερθεί στη συσκευή σας και αφού παρέχετε τοπικά τον κύριο κωδικό πρόσβασης, ίσως με κάποιο είδος ελέγχου ταυτότητας δύο παραγόντων για τη μείωση του κινδύνου τοπικού συμβιβασμού.

Κανένας κωδικός πρόσβασης στο θησαυροφυλάκιο κωδικών πρόσβασης δεν αποθηκεύεται ποτέ σε μορφή που μπορεί να χρησιμοποιηθεί άμεσα στους διακομιστές του διαχειριστή κωδικών πρόσβασης και ο κύριος κωδικός πρόσβασης ιδανικά δεν αποθηκεύεται ποτέ καθόλου, ούτε ως κατακερματισμένος κωδικός πρόσβασης.

Με άλλα λόγια, μια αξιόπιστη εταιρεία διαχείρισης κωδικών πρόσβασης δεν χρειάζεται να είναι αξιόπιστη για να μην διαρρεύσει τους κωδικούς πρόσβασής σας σε περίπτωση παραβίασης των βάσεων δεδομένων της ή να αρνηθεί να τους αποκαλύψει σε περίπτωση εντάλματος από τις αρχές επιβολής του νόμου…

…επειδή δεν μπορούσε να τα αποκαλύψει, ακόμα κι αν ήθελε, δεδομένου ότι δεν διατηρεί αρχείο του κύριου κωδικού πρόσβασης ή οποιωνδήποτε άλλων κωδικών πρόσβασης, σε καμία βάση δεδομένων από την οποία θα μπορούσε να τους εξαγάγει χωρίς τη συμφωνία και τη συνεργασία σας.

(Ο ιστότοπος LastPass έχει μια περιγραφή και ένα διάγραμμα –ομολογουμένως μάλλον βασικό– του τρόπου οι κωδικοί πρόσβασης προστατεύονται από συμβιβασμό από την πλευρά του διακομιστή, χωρίς να αποκρυπτογραφείται παρά μόνο στη δική σας συσκευή, υπό τον άμεσο έλεγχό σας.)

---

Q6. Θυμίστε μου ξανά – γιατί να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης;

A6. Ας συνοψίσουμε τα οφέλη ενώ το συζητάμε:

• Ένας καλός διαχειριστής κωδικών πρόσβασης απλοποιεί την καλή χρήση κωδικού πρόσβασης για εσάς. Μετατρέπει το πρόβλημα της επιλογής και της απομνημόνευσης δεκάδων, ή ίσως και εκατοντάδων, κωδικών πρόσβασης σε πρόβλημα επιλογής ενός πραγματικά ισχυρού κωδικού πρόσβασης, προαιρετικά ενισχυμένου με 2FA. Δεν χρειάζεται πλέον να κόβετε τις γωνίες χρησιμοποιώντας «εύκολους» ή μαντέψιμους κωδικούς πρόσβασης σε οποιονδήποτε από τους λογαριασμούς σας, ακόμη και σε αυτούς που θεωρούν ότι δεν είναι σημαντικοί.
• Ένας καλός διαχειριστής κωδικών πρόσβασης δεν θα σας επιτρέψει να χρησιμοποιήσετε τον ίδιο κωδικό πρόσβασης δύο φορές. Να θυμάστε ότι εάν οι απατεώνες ανακτήσουν έναν από τους κωδικούς πρόσβασής σας, ίσως λόγω συμβιβασμού σε έναν ιστότοπο που χρησιμοποιείτε, θα δοκιμάσουν αμέσως τους ίδιους (ή παρόμοιους) κωδικούς πρόσβασης σε όλους τους άλλους λογαριασμούς που μπορούν να σκεφτούν. Αυτό μπορεί να μεγεθύνει πολύ τη ζημιά που προκλήθηκε από κάτι που διαφορετικά θα μπορούσε να ήταν ένας περιορισμένος κωδικός πρόσβασης.
• Ένας καλός διαχειριστής κωδικών πρόσβασης μπορεί να επιλέξει και να θυμηθεί εκατοντάδες, ακόμη και χιλιάδες, μεγάλους, ψευδοτυχαίους, σύνθετους, εντελώς διαφορετικούς κωδικούς πρόσβασης. Πράγματι, μπορεί να το κάνει τόσο εύκολα όσο μπορείτε να θυμηθείτε το όνομά σας. Ακόμη και όταν προσπαθείτε πολύ σκληρά, είναι δύσκολο να επιλέξετε μόνοι σας έναν πραγματικά τυχαίο και αδύνατον κωδικό πρόσβασης, ειδικά αν βιάζεστε, γιατί υπάρχει πάντα ο πειρασμός να ακολουθήσετε κάποιο είδος προβλέψιμου μοτίβου, π.χ. φωνήεν, πάνω-μεσαία-κάτω σειρά ή όνομα γάτας με -99 στο τέλος.
• Ένας καλός διαχειριστής κωδικών πρόσβασης δεν θα σας επιτρέψει να βάλετε τον σωστό κωδικό πρόσβασης σε λάθος ιστότοπο. Οι διαχειριστές κωδικών πρόσβασης δεν «αναγνωρίζουν» τους ιστότοπους απλώς και μόνο επειδή «φαίνονται σωστά» και έχουν τα σωστά λογότυπα και τις εικόνες φόντου πάνω τους. Αυτό βοηθά στην προστασία σας από το ηλεκτρονικό ψάρεμα (phishing), όπου παραλείπετε να παρατηρήσετε ότι η διεύθυνση URL δεν είναι σωστή και τοποθετείτε τον κωδικό πρόσβασής σας (και ακόμα και τον κωδικό 2FA) σε έναν ψεύτικο ιστότοπο.

---

Μην βιάζεστε να βγάλετε συμπεράσματα

Λοιπόν, υπάρχει η συμβουλή μας για το θέμα.

Παραμένουμε ουδέτεροι σχετικά με το ίδιο το LastPass και δεν προτείνουμε συγκεκριμένα κανένα προϊόν ή υπηρεσία διαχείρισης κωδικών πρόσβασης εκεί έξω, συμπεριλαμβανομένου του LastPass, πάνω ή κάτω από οποιοδήποτε άλλο.

Αλλά όποια απόφαση κι αν πάρετε για το αν θα είστε καλύτερα ή χειρότερα υιοθετώντας έναν διαχειριστή κωδικών πρόσβασης…

…θα θέλαμε να διασφαλίσουμε ότι θα το φτιάξετε για καλά ενημερωμένους λόγους.

Εάν έχετε περισσότερες ερωτήσεις, ρωτήστε στα παρακάτω σχόλια – θα κάνουμε ό,τι καλύτερο μπορούμε για να απαντήσουμε άμεσα.

---