Perusahaan pengelola kata sandi yang populer, LastPass, pernah ada di bawah pompa tahun ini, menyusul intrusi jaringan pada Agustus 2022.
Detail tentang bagaimana penyerang pertama kali masuk masih langka, dengan komentar resmi pertama LastPass dengan hati-hati menyatakan bahwa:
[A]n pihak yang tidak berwenang memperoleh akses ke bagian dari lingkungan pengembangan LastPass melalui satu akun pengembang yang disusupi.
Pengumuman lanjutan sekitar sebulan kemudian juga tidak meyakinkan:
[P]aktor ancaman mendapatkan akses ke lingkungan Pengembangan menggunakan titik akhir pengembang yang telah disusupi. Meskipun metode yang digunakan untuk kompromi titik akhir awal tidak meyakinkan, pelaku ancaman menggunakan akses persisten mereka untuk menyamar sebagai pengembang setelah pengembang berhasil mengautentikasi menggunakan autentikasi multi-faktor.
Tidak banyak yang tersisa di paragraf ini jika Anda kehabisan jargon, tetapi frasa kuncinya tampaknya menjadi "titik akhir yang dikompromikan" (dalam bahasa Inggris sederhana, ini mungkin berarti: komputer yang terinfeksi malware), dan "akses tetap" (artinya: para penjahat bisa kembali nanti di waktu senggang mereka).
2FA tidak selalu membantu
Sayangnya, seperti yang Anda baca di atas, autentikasi dua faktor (2FA) tidak membantu dalam serangan khusus ini.
Kami menduga itu karena LastPass, yang sama dengan sebagian besar perusahaan dan layanan online, tidak benar-benar memerlukan 2FA untuk setiap koneksi yang memerlukan autentikasi, tetapi hanya untuk apa yang Anda sebut autentikasi primer.
Agar adil, banyak atau sebagian besar layanan yang Anda gunakan, mungkin termasuk perusahaan Anda sendiri, umumnya melakukan hal serupa.
Pengecualian umum 2FA, yang ditujukan untuk menuai sebagian besar manfaatnya tanpa membayar harga yang terlalu tinggi untuk ketidaknyamanan, meliputi:
- Melakukan otentikasi 2FA penuh hanya sesekali, seperti meminta kode satu kali baru hanya setiap beberapa hari atau minggu. Beberapa sistem 2FA mungkin menawarkan opsi "ingat saya selama X hari", misalnya.
- Hanya membutuhkan otentikasi 2FA untuk login awal, kemudian mengizinkan semacam sistem "masuk tunggal" untuk mengautentikasi Anda secara otomatis untuk berbagai layanan internal. Di banyak perusahaan, sering masuk ke email juga memberi Anda akses ke layanan lain seperti Zoom, GitHub, atau sistem lain yang sering Anda gunakan.
- Menerbitkan "token akses pembawa" untuk alat perangkat lunak otomatis, berdasarkan otentikasi 2FA sesekali oleh pengembang, penguji, dan staf teknik. Jika Anda memiliki skrip build-and-test otomatis yang perlu mengakses berbagai server dan database di berbagai titik dalam proses, Anda tidak ingin skrip terus-menerus diinterupsi untuk menunggu Anda mengetikkan kode 2FA lagi.
Kami belum melihat bukti…
Dalam keyakinan yang kami curigai bahwa LastPass sekarang menyesal, perusahaan awalnya mengatakan, pada Agustus 2022:
Kami tidak melihat bukti bahwa insiden ini melibatkan akses apa pun ke data pelanggan atau brankas kata sandi terenkripsi.
Tentu saja, "kami tidak melihat bukti" bukanlah pernyataan yang sangat kuat (paling tidak karena perusahaan yang keras kepala dapat mewujudkannya dengan sengaja tidak mencari bukti sejak awal, atau dengan membiarkan orang lain mengumpulkan bukti dan kemudian sengaja menolak untuk melihatnya), meskipun seringkali hanya itu yang dapat dikatakan oleh perusahaan mana pun dengan jujur segera setelah pelanggaran.
Namun, LastPass menyelidiki, dan merasa dapat membuat klaim definitif pada September 2022:
Meskipun pelaku ancaman dapat mengakses lingkungan Pengembangan, desain dan kontrol sistem kami mencegah pelaku ancaman mengakses data pelanggan atau brankas kata sandi terenkripsi.
Sayangnya, klaim itu ternyata sedikit terlalu berani.
Serangan yang berujung serangan
LastPass memang mengakui sejak awal bahwa para penjahat “mengambil bagian dari kode sumber dan beberapa informasi teknis hak milik LastPass”…
… dan sekarang tampaknya beberapa “informasi teknis” yang dicuri itu cukup untuk memfasilitasi serangan lanjutan yang diungkapkan pada November 2022:
Kami telah menentukan bahwa pihak yang tidak berwenang, dengan menggunakan informasi yang diperoleh pada insiden Agustus 2022, dapat memperoleh akses ke elemen tertentu dari informasi pelanggan kami.
Agar adil bagi LastPass, perusahaan tidak mengulangi klaim awalnya bahwa tidak ada brankas kata sandi yang dicuri, merujuk hanya pada "informasi pelanggan" yang dicuri.
Namun dalam pemberitahuan pelanggaran sebelumnya, perusahaan telah membicarakannya dengan hati-hati data pelanggan (yang membuat sebagian besar dari kita memikirkan informasi seperti alamat, nomor telepon, detail kartu pembayaran, dan sebagainya) dan brankas kata sandi terenkripsi sebagai dua kategori yang berbeda.
Namun kali ini, "informasi pelanggan" ternyata mencakup data pelanggan, dalam pengertian di atas, dan basis data kata sandi.
Tidak secara harfiah pada malam sebelum Natal, tetapi sangat dekat dengannya, LastPass telah mengakui bahwa:
Pelaku ancaman menyalin informasi dari cadangan yang berisi informasi dasar akun pelanggan dan metadata terkait termasuk nama perusahaan, nama pengguna akhir, alamat penagihan, alamat email, nomor telepon, dan alamat IP tempat pelanggan mengakses layanan LastPass.
Singkatnya, para penjahat sekarang tahu siapa Anda, di mana Anda tinggal, komputer mana di internet milik Anda, dan cara menghubungi Anda secara elektronik.
Pengakuan berlanjut:
Pelaku ancaman juga dapat menyalin cadangan data brankas pelanggan.
Jadi, para penjahat memang mencuri brankas kata sandi itu.
Menariknya, LastPass kini juga mengakui bahwa apa yang digambarkannya sebagai "gudang kata sandi" sebenarnya bukanlah gumpalan acak (kata jargon lucu yang berarti objek besar biner) hanya terdiri dari dan seluruhnya dari data terenkripsi, dan karenanya tidak dapat dipahami.
"Vaults" itu termasuk data yang tidak terenkripsi, tampaknya termasuk URL untuk situs web yang menggunakan setiap nama pengguna dan kata sandi terenkripsi.
Oleh karena itu, para penjahat sekarang tidak hanya tahu di mana Anda dan komputer Anda tinggal, berkat data tagihan dan alamat IP yang bocor yang disebutkan di atas, tetapi juga memiliki peta terperinci ke mana Anda pergi saat online:
[C]data kubah pelanggan […] disimpan dalam format biner berpemilik yang berisi data tidak terenkripsi, seperti URL situs web, serta bidang sensitif yang dienkripsi sepenuhnya seperti nama pengguna dan kata sandi situs web, catatan aman, dan data yang diisi formulir .
LastPass belum memberikan detail lain tentang data tidak terenkripsi yang disimpan dalam file "vault" tersebut, tetapi kata-kata "seperti URL situs web" jelas menyiratkan bahwa URL bukan satu-satunya informasi yang diperoleh penjahat.
Kabar baiknya
Kabar baiknya, LastPass terus bersikeras, adalah bahwa keamanan kata sandi yang dicadangkan di file vault Anda tidak boleh berbeda dengan keamanan cadangan cloud lainnya yang Anda enkripsi di komputer Anda sendiri sebelum Anda mengunggahnya.
Menurut LastPass, data rahasia yang dicadangkan untuk Anda tidak pernah ada dalam bentuk tidak terenkripsi di server LastPass sendiri, dan LastPass tidak pernah menyimpan atau melihat kata sandi utama Anda.
Oleh karena itu, kata LastPass, data kata sandi cadangan Anda selalu diunggah, disimpan, diakses, dan diunduh dalam bentuk terenkripsi, sehingga penjahat masih perlu memecahkan kata sandi utama Anda, meskipun mereka sekarang memiliki data kata sandi acak Anda.
Sejauh yang kami tahu, kata sandi yang ditambahkan ke LastPass dalam beberapa tahun terakhir menggunakan sistem penyimpanan salt-hash-and-stretch yang dekat dengan kami rekomendasi sendiri, menggunakan algoritma PBKDF2 dengan garam acak, SHA-256 sebagai sistem hashing internal, dan 100,100 iterasi.
LastPass tidak, atau tidak bisa, katakanlah, dalam pembaruan November 2022, berapa lama waktu yang dibutuhkan gelombang kedua penjahat untuk masuk ke server cloudnya setelah serangan pertama pada sistem pengembangannya pada Agustus 2002.
Tetapi bahkan jika kita berasumsi bahwa serangan kedua segera menyusul tetapi tidak diketahui sampai nanti, para penjahat memiliki waktu paling lama empat bulan untuk mencoba memecahkan kata sandi utama dari brankas siapa pun yang dicuri.
Oleh karena itu masuk akal untuk menyimpulkan bahwa hanya pengguna yang dengan sengaja memilih kata sandi yang mudah ditebak atau mudah diretas yang berisiko, dan bahwa siapa pun yang bersusah payah untuk mengubah kata sandi mereka sejak pengumuman pelanggaran hampir pasti tetap berada di depan. para penjahat.
Jangan lupa bahwa panjang saja tidak cukup untuk memastikan kata sandi yang layak. Faktanya, bukti anecodal menunjukkan hal itu 123456, 12345678 dan 123456789 semua lebih umum digunakan hari ini daripada 1234, mungkin karena batasan panjang yang diberlakukan oleh layar login saat ini. Dan ingat bahwa alat pembobol kata sandi tidak dimulai begitu saja AAAA dan lanjutkan seperti odometer alfanumerik ZZZZ...ZZZZ. Mereka mencoba mengurutkan kata sandi berdasarkan seberapa besar kemungkinannya untuk dipilih, jadi Anda harus berasumsi bahwa mereka akan "menebak" kata sandi yang panjang tapi ramah manusia seperti BlueJays28RedSox5! (18 karakter) jauh sebelum mereka sampai MAdv3aUQlHxL (12 karakter), atau bahkan ISM/RMXR3 (9 karakter).
Apa yang harus dilakukan?
Kembali pada Agustus 2022, kami mengatakan ini: “Jika Anda ingin mengubah beberapa atau semua kata sandi Anda, kami tidak akan meminta Anda untuk tidak melakukannya. [… Tapi] menurut kami Anda tidak perlu mengubah kata sandi. (Untuk apa nilainya, LastPass juga tidak.)”
Itu didasarkan pada pernyataan LastPass tidak hanya bahwa brankas kata sandi yang dicadangkan dienkripsi dengan kata sandi yang hanya diketahui oleh Anda, tetapi juga bahwa brankas kata sandi itu tidak diakses.
Mengingat perubahan dalam cerita LastPass berdasarkan apa yang telah ditemukannya sejak saat itu, kami sekarang menyarankan Anda melakukannya ubah kata sandi Anda jika Anda cukup bisa.
Perhatikan bahwa Anda perlu mengubah kata sandi yang disimpan di dalam lemari besi Anda, serta kata sandi utama untuk lemari besi itu sendiri.
Itu agar meskipun penjahat berhasil memecahkan kata sandi master lama Anda di masa mendatang, simpanan data kata sandi yang akan mereka temukan akan basi dan karena itu tidak berguna – seperti peti bajak laut tersembunyi yang penuh dengan uang kertas yang tidak lagi menjadi alat pembayaran yang sah.
Sementara Anda tentang hal itu, mengapa tidak mengambil kesempatan untuk memastikan bahwa Anda tingkatkan kata sandi yang lemah atau digunakan kembali dalam daftar Anda secara bersamaan, mengingat Anda tetap mengubahnya.
Satu hal lagi…
Oh, dan satu hal lagi: daya tarik bagi tim X-Ops, staf TI, sysadmin, dan penulis teknis di mana saja.
Saat Anda ingin mengatakan bahwa Anda telah mengubah kata sandi Anda, atau menyarankan orang lain untuk mengubah kata sandi mereka, bisakah Anda berhenti menggunakan kata yang menyesatkan memutar, dan cukup gunakan kata yang lebih jelas perubahan sebagai gantinya?
Jangan bicara tentang "memutar kredensial" atau "rotasi kata sandi", karena kata itu memutar, terutama dalam ilmu komputer, menyiratkan proses terstruktur yang pada akhirnya melibatkan pengulangan.
Misalnya, dalam sebuah komite dengan ketua yang bergilir, setiap orang dapat memimpin rapat, dalam siklus yang telah ditentukan, misalnya Alice, Bob, Cracker, Dongle, Mallory, Susan… dan kemudian Alice sekali lagi.
Dan dalam kode mesin, file ROTATE instruksi secara eksplisit mengedarkan bit dalam register.
Jika kamu ROL or ROR (yang menandakan pergi ke kiri or pergi ke kanan dalam notasi Intel) berkali-kali, bit tersebut akan kembali ke nilai aslinya.
Itu sama sekali bukan yang Anda inginkan ketika Anda ingin mengubah kata sandi Anda!
BAGAIMANA JIKA PENGELOLA PASSWORD SAYA DIHACK?
Baik Anda pengguna LastPass atau bukan, berikut adalah a video yang kami buat dengan beberapa tip tentang cara mengurangi risiko bencana jika Anda atau pengelola kata sandi Anda diretas. (Klik roda gigi sambil memutar untuk mengaktifkan subtitle atau untuk mempercepat pemutaran).
MENGAPA 'ROTATE' BUKAN SINONIM YANG BAIK UNTUK 'GANTI'
Ini dia ROTATE (lebih tepatnya, file ROL) instruksi dalam kehidupan nyata pada Windows 64-bit.
Jika Anda merakit dan menjalankan kode di bawah ini (kami menggunakan assember dan linker yang praktis, minimalis, gratis dari GoTools) ...
… maka Anda harus mendapatkan output di bawah ini:
Diputar 0 bit = C001D00DC0DEF11E Diputar 4 bit = 001D00DC0DEF11EC Diputar 8 bit = 01D00DC0DEF11EC0 Diputar 12 bit = 1D00DC0DEF11EC00 Diputar 16 bit = D00DC0DEF11EC001 Diputar 20 bit = 00DC 0DEF11EC001D Diputar sebanyak 24 bit = 0DC0DEF11EC001D0 Diputar sebanyak 28 bit = DC0DEF11EC001D00 Diputar sebanyak 32 bit = C0DEF11EC001D00D Diputar sebanyak 36 bit = 0DEF11EC001D00DC Diputar sebanyak 40 bit = DEF11EC001D00DC0 Diputar sebanyak 44 bit = EF11EC001D00DC0D Diputar sebanyak 48 bit = F11EC001D00DC0DE Diputar sebanyak 52 bit = 11EC001 00D0DC56DEF Diputar sebanyak 1 bit = 001EC00D0DC1DEF60 Diputar sebanyak 001 bit = EC00D0DC11DEF64 Diputar sebanyak 001 bit = C00D0DC11DEFXNUMXE
Anda dapat mengubah arah dan jumlah rotasi dengan mengubah ROL untuk ROR, dan menyesuaikan nomor 4 pada baris itu dan yang berikutnya.
- blockchain
- pelanggaran
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- kehilangan data
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Kaspersky
- LastPass
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- pribadi
- VPN
- website security
- zephyrnet.dll
