LastPass tunnistab lõpuks: need kelmid, kes sisse said? Lõppude lõpuks varastasid nad teie paroolihoidlad ...

Populaarne paroolihaldusfirma LastPass on olnud pumba all sel aastal pärast võrku sissetungi 2022. aasta augustis.

Üksikasjad selle kohta, kuidas ründajad esimest korda sisse said, on endiselt vähesed, LastPassi esimene ametlik kommentaar teatas ettevaatlikult, et:

Volitamata osapool sai juurdepääsu LastPassi arenduskeskkonna osadele ühe ohustatud arendajakonto kaudu.

Umbes kuu aega hiljem antud järelteade oli samamoodi ebaselge:

[Ohus osaleja sai juurdepääsu arenduskeskkonnale, kasutades arendaja ohustatud lõpp-punkti. Kuigi esialgse lõpp-punkti kompromissi jaoks kasutatud meetod on ebaselge, kasutas ohus osaleja oma püsivat juurdepääsu, et esineda arendajana, kui arendaja oli mitmefaktorilise autentimise abil edukalt autentinud.

Kui žargoonist loobuda, ei jää sellest lõigust eriti palju järele, kuid võtmefraasid tunduvad olevat "riskistatud lõpp-punkt" (lihtsas inglise keeles tähendab see tõenäoliselt: pahavaraga nakatunud arvuti) ja "püsiv juurdepääs" (tähendab: kelmid võiksid hiljem vabal ajal tagasi tulla).

2FA ei aita alati

Kahjuks, nagu eespool lugeda, ei aidanud kahefaktoriline autentimine (2FA) selle konkreetse rünnaku puhul.

Arvame, et selle põhjuseks on asjaolu, et LastPass, nagu enamik ettevõtteid ja võrguteenuseid, ei nõua sõna otseses mõttes 2FA-d iga ühenduse jaoks, kus on vaja autentimist, vaid ainult selle jaoks, mida võite nimetada esmaseks autentimiseks.

Ausalt öeldes pakuvad paljud või enamik teie kasutatavaid teenuseid, sealhulgas tõenäoliselt teie enda tööandja, tavaliselt midagi sarnast.

Tüüpilised 2FA erandid, mille eesmärk on saada suurem osa selle eelistest, ilma ebamugavuste eest liiga kõrget hinda maksmata, on järgmised:

• Tehes täielikku 2FA autentimist ainult aeg-ajalt, näiteks uute ühekordsete koodide taotlemine vaid iga paari päeva või nädala tagant. Mõned 2FA-süsteemid võivad teile pakkuda näiteks valikut „Jäta mind meelde X päevaks”.
• Esialgseks sisselogimiseks on vaja ainult 2FA autentimist, seejärel lubades mõnel "ühe sisselogimise" süsteemil teid paljude siseteenuste jaoks automaatselt autentida. Paljudes ettevõtetes annab e-posti sisselogimine sageli juurdepääsu ka teistele teenustele, nagu Zoom, GitHub või muudele palju kasutatavatele süsteemidele.
• "kandja juurdepääsulubade" väljastamine automatiseeritud tarkvaratööriistade jaoks, põhineb aeg-ajalt arendajate, testijate ja inseneritöötajate 2FA autentimisel. Kui teil on automaatne koostamis- ja testimisskript, mis peab protsessi eri punktides juurde pääsema erinevatele serveritele ja andmebaasidele, ei soovi te, et skript katkeks pidevalt, et oodata, kuni sisestate veel ühe 2FA-koodi.

Me pole näinud ühtegi tõendit…

Usalduses, et kahtlustame, et LastPass nüüd kahetseb, ütles ettevõte algselt augustis 2022:

Me pole näinud tõendeid selle kohta, et see juhtum oleks hõlmanud juurdepääsu kliendiandmetele või krüpteeritud paroolihoidlaid.

Muidugi ei ole "me pole tõendeid näinud" väga tugev väide (muidugi seetõttu, et järeleandmatud ettevõtted võivad selle tõeks teha, kui nad ei otsi kõigepealt tõendeid või lasevad kellelgi teisel tõendeid koguda ja seejärel sihikindlalt keeldudes seda vaatamast), kuigi sageli on see kõik, mida iga ettevõte saab vahetult pärast rikkumist ausalt öelda.

LastPass uuris siiski ja tundis, et suudab 2022. aasta septembriks esitada lõpliku väite:

Kuigi ohutegijal oli juurdepääs arenduskeskkonnale, takistasid meie süsteemikujundus ja juhtelemendid ohutegijal juurdepääsu mis tahes kliendiandmetele või krüptitud paroolihoidlatele.

Kahjuks osutus see väide pisut liiga julgeks.

Rünnak, mis viis rünnakuni

LastPass tunnistas varakult, et kelmid "võtsid osa lähtekoodist ja mõnest LastPassi patenteeritud tehnilisest teabest" ...

…ja nüüd tundub, et osa sellest varastatud "tehnilisest teabest" oli piisav, et hõlbustada 2022. aasta novembris avalikustatud järelrünnakut:

Oleme kindlaks teinud, et volitamata osapoolel oli 2022. aasta augusti intsidendi käigus saadud teavet kasutades juurdepääs meie klientide teabe teatud elementidele.

Et olla aus LastPassi suhtes, ei kordanud ettevõte oma algset väidet, et paroolihoidlaid pole varastatud, viidates pelgalt "klientide teabe" vargustele.

Kuid oma eelmistes rikkumise teatistes oli ettevõte sellest hoolikalt rääkinud kliendi andmed (mis paneb enamiku meist mõtlema sellisele teabele nagu aadress, telefoninumber, maksekaardi andmed jne) ja krüptitud paroolihoidlad kahe erineva kategooriana.

Seekord aga osutub “klientide info” hõlmavaks nii ülaltoodud tähenduses kliendiandmed kui ka paroolide andmebaasid.

LastPass on tunnistanud, et mitte sõna otseses mõttes jõulueelsel ööl, vaid sellele ohtlikult lähedal.

Ohustaja kopeeris varukoopiast teabe, mis sisaldas põhilist kliendikonto teavet ja seotud metaandmeid, sealhulgas ettevõtete nimesid, lõppkasutajate nimesid, arveldusaadresse, e-posti aadresse, telefoninumbreid ja IP-aadresse, millelt kliendid LastPassi teenusele juurde pääsesid.

Lihtsamalt öeldes teavad kelmid nüüd, kes te olete, kus te elate, millised Internetis olevad arvutid on teie omad ja kuidas teiega elektrooniliselt ühendust võtta.

Vastuvõtt jätkub:

Ohustaja suutis kopeerida ka kliendihoidla andmete varukoopia.

Niisiis, kelmid varastasid need paroolihoidlad.

Huvitaval kombel on LastPass nüüd tunnistanud ka seda, et see, mida ta kirjeldab kui "paroolihoidlat", ei ole tegelikult segatud BLOB (lõbusa žargooni sõna tähendus binaarne suur objekt), mis koosneb ainult ja täielikult krüptitud ja seetõttu arusaamatutest andmetest.

Need "hoidlad" sisaldavad krüptimata andmeid, sealhulgas ilmselt iga krüptitud kasutajanime ja parooliga kaasas olevate veebisaitide URL-e.

Tänu ülalmainitud lekkinud arveldus- ja IP-aadressi andmetele ei tea kelmid nüüd mitte ainult teie ja teie arvuti asukohta, vaid neil on ka üksikasjalik kaart selle kohta, kus te võrgus viibite:

[C]kliendihoidla andmed […] salvestatakse patenteeritud kahendvormingus, mis sisaldab nii krüptimata andmeid, nagu veebisaidi URL-id, kui ka täielikult krüptitud tundlikke välju, nagu veebisaidi kasutajanimed ja paroolid, turvalised märkmed ja vormiga täidetud andmed. .

LastPass ei ole andnud muid üksikasju krüptimata andmete kohta, mis nendesse "võlvla" failidesse salvestati, kuid sõnad "näiteks veebisaidi URL-id" viitavad kindlasti sellele, et URL-id pole ainus teave, mille kelmid omandasid.

Hea uudis

Hea uudis, mida LastPass jätkuvalt nõuab, on see, et teie varafailis olevate varundatud paroolide turvalisus ei tohiks erineda mis tahes muu pilvevarukoopia turvalisusest, mille krüpteerisite enne selle üleslaadimist oma arvutis.

LastPassi sõnul ei eksisteeri salaandmeid, mida see teie jaoks varundab, kunagi LastPassi enda serverites krüptimata kujul ning LastPass ei salvesta ega näe kunagi teie peamist parooli.

Seetõttu, ütleb LastPass, laaditakse teie varundatud parooliandmed alati üles, salvestatakse, neile pääseb juurde ja laaditakse alla krüpteeritud kujul, nii et kelmid peavad ikkagi teie peaparooli lahti murdma, kuigi neil on nüüd teie šifreeritud parooliandmed.

Niipalju kui oskame öelda, kasutavad LastPassi viimastel aastatel lisatud paroolid soola-räsi-ja venitussalvestussüsteemi, mis on meie süsteemile lähedal. enda soovitused, kasutades PBKDF2 algoritmi juhuslike sooladega, SHA-256 sisemise räsisüsteemina ja 100,100 XNUMX iteratsiooni.

---

---

LastPass ei selgitanud või ei osanud näiteks oma 2022. aasta novembri värskenduses öelda, kui kaua kulus teisel kelmide lainel pärast esimest rünnakut tema arendussüsteemile 2002. aasta augustis.

Kuid isegi kui eeldada, et teine ​​rünnak järgnes kohe, kuid seda märgati alles hiljem, on kurjategijatel olnud aega kuni neli kuud, et proovida murda kellegi varastatud varakambri peaparoolid.

Seetõttu on mõistlik järeldada, et ohus on ainult need kasutajad, kes olid tahtlikult valinud kergesti äraarvatavad või varakult purunevad paroolid, ning et kõik, kes on võtnud vaevaks oma paroole pärast rikkumise teadaannet muuta, on peaaegu kindlasti ette jäänud. kelmid.

Ärge unustage, et korraliku parooli tagamiseks ei piisa ainult pikkusest. Tegelikult viitavad sellele anekoodilised tõendid 123456, 12345678 ja 123456789 neid kasutatakse tänapäeval sagedamini kui 1234, ilmselt tänapäevaste sisselogimisekraanide kehtestatud pikkusepiirangute tõttu. Ja pidage meeles, et paroolimurdmise tööriistad ei alga lihtsalt algusest AAAA ja jätkake nagu tähtnumbriline läbisõidumõõdik ZZZZ...ZZZZ. Nad püüavad paroole järjestada nende valimise tõenäosuse järgi, nii et eeldage, et nad "arvavad ära" pikad, kuid inimsõbralikud paroolid, näiteks BlueJays28RedSox5! (18 tähemärki) ammu enne, kui nad jõuavad MAdv3aUQlHxL (12 tähemärki) või isegi ISM/RMXR3 (9 tähemärki).

Mida teha?

Veel augustis 2022, meie ütles: "Kui soovite mõnda või kõiki oma paroole muuta, ei räägi me teid sellest välja. [… Aga] me ei arva, et peate oma paroole muutma. (Mida see väärt on, ei tee seda ka LastPass.)”

See põhines LastPassi väidetel mitte ainult selle kohta, et varundatud paroolihoidlad olid krüpteeritud ainult teile teadaolevate paroolidega, vaid ka sellel, et nendele paroolihoidlatele ei pääsetud niikuinii juurde.

Arvestades LastPassi loo muutust selle põhjal, mida ta on sellest ajast peale avastanud, soovitame teil nüüd seda teha muutke oma paroole, kui see on mõistlik.

Pange tähele, et peate muutma oma varahoidlas olevaid paroole ja ka varahoidla enda peaparooli.

Seda selleks, et isegi kui kelmid murravad tulevikus teie vana peaparooli lahti, on nende avastatud parooliandmete varud vananenud ja seetõttu kasutud – nagu peidetud piraadikirst täis pangatähti, mis ei ole enam seaduslikud maksevahendid.

Kui asjaga tegelete, siis miks mitte kasutada võimalust ja veenduda, et olete parandada samal ajal oma loendis olevaid nõrku või taaskasutatud paroole, arvestades, et muudate neid niikuinii.

Üks asi veel…

Oh, ja veel üks asi: pöördumine X-Opsi meeskondadele, IT-töötajatele, süsteemiadministraatoritele ja tehnilistele kirjutajatele kõikjal.

Kui soovite öelda, et olete oma paroole muutnud, või soovitada teistel oma paroole muuta, kas saate lõpetada eksitava sõna kasutamise pöörlemaja kasutage lihtsalt palju selgemat sõna muutma selle asemel?

Ärge rääkige "mandaatide pöörlemisest" või "parooli pööramisest", sest sõna pöörlema, eriti arvutiteaduses, tähendab struktureeritud protsessi, mis lõppkokkuvõttes hõlmab kordamist.

Näiteks roteeruva esimehega komisjonis saavad kõik ettemääratud tsüklis koosolekutel osaleda, nt Alice, Bob, Cracker, Dongle, Mallory, Susan… ja siis veel kord Alice.

Ja masinkoodis on ROTATE käsk tsirkuleerib selgelt bitid registris.

Kui sa ROL or ROR (see tähendab mine vasakule or mine paremale Inteli tähistuses) piisavalt palju kordi, naasevad need bitid oma algsele väärtusele.

See pole sugugi see, mida sa paroole muutma asudes tahad!

---

MIS MIS ON KUI MINU PAROOLIHALDURI HÄKITUD?

Olenemata sellest, kas olete LastPassi kasutaja või mitte, on siin a meie tehtud video koos näpunäidetega, kuidas vähendada katastroofi ohtu, kui teie või teie paroolihaldur satub häkkimisele. (Subtiitrite sisselülitamiseks või taasesituse kiirendamiseks klõpsake esitamise ajal hammasrattal).

[Varjatud sisu]

---

MIKS EI OLE „PÖÖRATA” MUUTUSE HEA sünonüüm

Siin on ROTATE (täpsemalt ROL) juhiseid päriselus 64-bitises Windowsis.

Kui koostate ja käivitate alloleva koodi (kasutasime käepärast, minimalistlikku, tasuta komplekti ja linkerit GoTools) ...

…siis peaksite saama alloleva väljundi:

0 biti võrra pööratud = C001D00DC0DEF11E
4 biti võrra pööratud = 001D00DC0DEF11EC
8 biti võrra pööratud = 01D00DC0DEF11EC0
12 biti võrra pööratud = 1D00DC0DEF11EC00
Pööratud 16 bitti = D00DC0DEF11EC001
20 biti võrra pööratud = 00DC0DEF11EC001D
Pööratud 24 bitti = 0DC0DEF11EC001D0
Pööratud 28 bitti = DC0DEF11EC001D00
Pööratud 32 bitti = C0DEF11EC001D00D
Pööratud 36 bitti = 0DEF11EC001D00DC
Pööratud 40 bitti = DEF11EC001D00DC0
Pööratud 44 bitti = EF11EC001D00DC0D
Pööratud 48 bitti = F11EC001D00DC0DE
Pööratud 52 bitti = 11EC001D00DC0DEF
Pööratud 56 bitti = 1EC001D00DC0DEF1
Pööratud 60 bitti = EC001D00DC0DEF11
Pööratud 64 bitti = C001D00DC0DEF11E

Muutes saate muuta pöörlemise suunda ja kogust ROL et RORja numbri reguleerimine 4 sellel ja järgmisel real.

---