人気のあるパスワード管理会社 LastPass は、 ポンプの下 今年は、2022 年 XNUMX 月にネットワークに侵入された後です。
攻撃者が最初に侵入した方法の詳細はまだ不足しており、LastPass の最初の公式コメントでは慎重に次のように述べられています。
[A]n 権限のない当事者が、侵害された XNUMX つの開発者アカウントを介して、LastPass 開発環境の一部にアクセスしました。
約 XNUMX か月後のフォローアップの発表も同様に決定的なものではありませんでした。
[T]攻撃者は、侵害された開発者のエンドポイントを使用して開発環境へのアクセスを取得しました。 最初のエンドポイント侵害に使用された方法は決定的ではありませんが、攻撃者は、開発者が多要素認証を使用して認証に成功すると、永続的なアクセスを利用して開発者になりすます.
専門用語を抜き出すと、この段落にそれほど多くは残っていませんが、重要なフレーズは「侵害されたエンドポイント」のように見えます (平易な英語では、これはおそらく次のことを意味します。 マルウェアに感染したコンピューター)、および「永続的なアクセス」(意味: 詐欺師は後で暇なときに戻ってくる可能性があります).
2FA が常に役立つとは限らない
残念ながら、上記のように、2 要素認証 (XNUMXFA) はこの特定の攻撃では役に立ちませんでした。
これは、LastPass が、ほとんどの企業やオンライン サービスと同様に、認証が必要なすべての接続に対して文字通り 2FA を要求するのではなく、プライマリ認証と呼ばれるものに対してのみ要求するためであると推測しています。
公平を期すために、あなたが使用するサービスの多くまたはほとんどは、おそらくあなた自身の雇用主を含め、一般的に同様のことを行います.
不便さのために高すぎる代償を払うことなく、その利点のほとんどを享受することを目的とした典型的な2FA免除には、次のものがあります。
- 完全な 2FA 認証をたまに行うだけで、 たとえば、数日または数週間ごとに新しいワンタイム コードをリクエストするなどです。 たとえば、一部の 2FA システムでは、「X 日間記憶する」オプションが提供される場合があります。
- 最初のログインに 2FA 認証のみを要求し、 次に、ある種の「シングル サインオン」システムを使用して、さまざまな内部サービスに対して自動的に認証できるようにします。 多くの企業では、電子メールにログオンすると、Zoom、GitHub、または頻繁に使用する他のシステムなどの他のサービスにもアクセスできることがよくあります。
- 自動化されたソフトウェア ツールの「ベアラー アクセス トークン」を発行し、 開発者、テスター、エンジニアリング スタッフによる不定期の 2FA 認証に基づいています。 プロセスのさまざまな時点でさまざまなサーバーやデータベースにアクセスする必要がある自動化されたビルドおよびテスト スクリプトがある場合、さらに別の 2FA コードを入力するのを待つためにスクリプトが継続的に中断されることは望ましくありません。
証拠は見られませんでした…
LastPass が現在後悔しているのではないかと疑う自信を持って、同社は 2022 年 XNUMX 月に最初に次のように述べました。
このインシデントに、顧客データまたは暗号化されたパスワード ボールトへのアクセスが含まれていたという証拠は確認されていません。
もちろん、「私たちは証拠を見たことがない」というのはあまり強い主張ではありません (特に、妥協しない企業は、最初から意図的に証拠を探すのを怠ったり、他の誰かに証拠を収集させてから、故意にそれを見ることを拒否している)、それは多くの場合、侵害の直後に正直に言うことができるすべての企業である.
ただし、LastPass は調査を行い、2022 年 XNUMX 月までに決定的な主張を行うことができると感じました。
攻撃者は開発環境にアクセスできましたが、当社のシステム設計と制御により、攻撃者は顧客データや暗号化されたパスワード ボールトにアクセスできませんでした。
悲しいことに、その主張は少し大胆すぎることが判明しました.
攻撃につながった攻撃
LastPass は、詐欺師が「ソース コードの一部と LastPass の独自の技術情報の一部を盗んだ」ことを早い段階で認めていました…
…そして、盗まれた「技術情報」の一部は、2022 年 XNUMX 月に公開された後続の攻撃を促進するのに十分だったようです。
2022 年 XNUMX 月のインシデントで得られた情報を使用して、権限のない第三者がお客様の情報の特定の要素にアクセスできたと判断しました。
LastPass に公平を期すために、同社はパスワード保管庫が盗まれていないという当初の主張を繰り返さず、単に「顧客情報」が盗まれていることに言及した.
しかし、以前の侵害通知で、同社は慎重に次のことについて話していました。 顧客データ (住所、電話番号、支払いカードの詳細などの情報を思い浮かべる方も多いでしょう) 暗号化されたパスワード保管庫 XNUMX つの異なるカテゴリとして。
しかし、今回の「顧客情報」には、上記の意味での顧客データとパスワード データベースの両方が含まれていることがわかりました。
文字通りクリスマスの前夜ではなく、危険なほどクリスマスに近いことを、LastPass は次のように認めています。
攻撃者は、基本的な顧客アカウント情報と関連するメタデータ (会社名、エンドユーザー名、請求先住所、電子メール アドレス、電話番号、顧客が LastPass サービスにアクセスする際に使用した IP アドレスなど) を含む情報をバックアップからコピーしました。
大まかに言えば、詐欺師は、あなたが誰で、どこに住んでいて、インターネット上のどのコンピューターがあなたのもので、電子的に連絡する方法を知っています。
入場は続く:
脅威アクターは、顧客のボールト データのバックアップをコピーすることもできました。
結局のところ、詐欺師はそれらのパスワード保管庫を盗んだのです。
興味深いことに、LastPass は、「パスワード保管庫」と呼ばれるものが、実際にはスクランブルされた BLOB (面白い専門用語の意味) ではないことも認めています。 バイナリ ラージ オブジェクト) 暗号化されたデータのみで完全に構成されているため、理解できないデータ。
これらの「ボールト」には暗号化されていないデータが含まれており、暗号化された各ユーザー名とパスワードに対応する Web サイトの URL が含まれているようです。
したがって、詐欺師は、上記の請求と IP アドレスのデータが漏洩したおかげで、ユーザーとユーザーのコンピューターがどこに住んでいるかを知るだけでなく、ユーザーがオンラインになったときにどこに行ったかの詳細な地図も持っています。
[顧客のボールト データ […] は、ウェブサイトの URL などの暗号化されていないデータと、ウェブサイトのユーザー名とパスワード、安全なメモ、フォーム入力データなどの完全に暗号化された機密フィールドの両方を含む独自のバイナリ形式で保存されます。 .
LastPass は、これらの「ボールト」ファイルに保存された暗号化されていないデータに関する詳細を明らかにしていませんが、「Web サイトの URL など」という言葉は、詐欺師が取得した情報が URL だけではないことを示唆しています。
良いニュース
LastPass が主張し続けている良いニュースは、vault ファイルにバックアップされたパスワードのセキュリティは、アップロードする前に自分のコンピューターで暗号化された他のクラウド バックアップのセキュリティと変わらないはずだということです。
LastPass によると、LastPass がバックアップする秘密データは、LastPass 自身のサーバーに暗号化されていない形式で存在することはなく、LastPass がマスター パスワードを保存したり参照したりすることもありません。
したがって、LastPass によると、バックアップされたパスワード データは常に暗号化された形式でアップロード、保存、アクセス、ダウンロードされるため、詐欺師はマスター パスワードを解読する必要があります。
私たちが知る限り、近年 LastPass に追加されたパスワードは、ソルト ハッシュ アンド ストレッチ ストレージ システムを使用しています。 独自の推奨事項ランダム ソルトを使用した PBKDF2 アルゴリズム、内部ハッシュ システムとしての SHA-256、および 100,100 回の反復を使用します。
LastPass は、2022 年 2002 月の更新で、XNUMX 年 XNUMX 月の開発システムへの最初の攻撃に続いて、詐欺師の第 XNUMX 波が同社のクラウド サーバーに侵入するのにどれくらいの時間がかかったかを明らかにしていませんでした。
しかし、XNUMX 回目の攻撃がすぐに行われたものの、後になって初めて気付かれたと仮定したとしても、犯罪者が誰かの盗まれた保管庫のマスター パスワードを解読しようとするのに、せいぜい XNUMX か月しかかかりませんでした。
したがって、推測しやすいパスワードや解読しやすいパスワードを意図的に選択したユーザーのみが危険にさらされていると推測するのが合理的であり、侵害の発表以降、手間をかけてパスワードを変更した人はほぼ確実に一歩先を行っていると推測できます。詐欺師。
適切なパスワードを確保するには、長さだけでは不十分であることを忘れないでください。 実際、逸話的な証拠は次のことを示唆しています。 123456, 12345678 および 123456789 これらはすべて、最近ではより一般的に使用されています 1234、おそらく今日のログイン画面によって課せられた長さの制限のためです。 また、パスワード クラッキング ツールは単純に AAAA 英数字の走行距離計のように進みます ZZZZ...ZZZZ. 彼らはパスワードが選ばれる可能性に基づいてランク付けしようとします。 BlueJays28RedSox5! (18 文字) 彼らが到達するずっと前に MAdv3aUQlHxL (12 文字)、または ISM/RMXR3 (9文字)。
何をするか?
2022年XNUMX月に戻って、私たちは これは言った: 「パスワードの一部または全部を変更したい場合、私たちはそれをやめさせるつもりはありません。 [… しかし] パスワードを変更する必要はないと思います。 (価値があるのは、LastPass も同様です。)」
これは、バックアップされたパスワード保管庫があなただけが知っているパスワードで暗号化されているだけでなく、それらのパスワード保管庫にはアクセスされなかったという LastPass の主張に基づいていました.
それ以降の発見に基づいて LastPass のストーリーが変更されたことを考えると、次のことをお勧めします。 合理的に可能であればパスワードを変更する.
ボールト内に保存されているパスワードと、ボールト自体のマスター パスワードを変更する必要があることに注意してください。
これにより、詐欺師が将来古いマスター パスワードを解読したとしても、彼らが明らかにするパスワード データの隠し場所は古くなり、役に立たなくなります。
あなたがそれについている間、あなたがあなたを確実にする機会を利用してみませんか リスト内の脆弱なパスワードや再利用されているパスワードを同時に改善する、とにかくそれらを変更していることを考えると。
もう一つ…
ああ、もう XNUMX つ: 世界中の X-Ops チーム、IT スタッフ、システム管理者、およびテクニカル ライターへのアピールです。
パスワードを変更したと言いたいとき、または他の人にパスワードを変更するよう勧めたいとき、誤解を招く言葉を使うのをやめてもらえますか 回転させる、そして単にはるかに明確な言葉を使用してください 変化する 代わりに?
「認証情報のローテーション」や「パスワードのローテーション」について話さないでください。 回転させる、特にコンピューター サイエンスでは、最終的に繰り返しを含む構造化されたプロセスを意味します。
たとえば、持ち回りの委員長がいる委員会では、アリス、ボブ、クラッカー、ドングル、マロリー、スーザンなど、全員が事前に決められたサイクルで主要な会議に参加し、アリスがもう一度参加します。
そしてマシンコードでは、 ROTATE 命令はレジスタ内のビットを明示的に循環させます。
もしあなた ROL or ROR (つまり 左に行く or 右に行く Intel 記法で) 十分な回数、それらのビットは元の値に戻ります。
これは、パスワードを変更しようとしているときに望んでいることではありません。
パスワードマネージャーがハッキングされた場合はどうなりますか?
あなたが LastPass ユーザーであろうとなかろうと、ここに 私たちが作ったビデオ あなたまたはあなたのパスワード マネージャーがハッキングされた場合に災害のリスクを軽減する方法に関するいくつかのヒントをご覧ください。 (再生中に歯車をクリックすると、字幕がオンになったり、再生速度が速くなります)。
「回転」が「変更」の同義語にならない理由
ここに ROTATE (より正確には、 ROL) 64 ビット Windows での実生活での命令。
以下のコードをアセンブルして実行すると、 Goツール)...
…次に、以下の出力が得られるはずです。
0 ビット回転 = C001D00DC0DEF11E 4 ビット回転 = 001D00DC0DEF11EC 8 ビット回転 = 01D00DC0DEF11EC0 12 ビット回転 = 1D00DC0DEF11EC00 16 ビット回転 = D00DC0DEF11EC001 20 ビット回転s = 00DC0DEF11EC001D 24 ビット回転 = 0DC0DEF11EC001D0 28 ビット回転 = DC0DEF11EC001D00 回転32 ビット = C0DEF11EC001D00D 36 ビット回転 = 0DEF11EC001D00DC 40 ビット回転 = DEF11EC001D00DC0 44 ビット回転 = EF11EC001D00DC0D 48 ビット回転 = F11EC001D00DC0DE 52 ビット回転 = 11EC001D00DC0DEF 56 ビット回転 = 1EC001D00DC0DEF1 60 ビット回転 = EC001D00DC0DEF11 64 ビット回転= C001D00DC0DEF11E
変えることで回転方向と量を変えることができます ROL 〜へ ROR、および数の調整 4 その行と次の行で。
![シーズン 3 Ep124: いわゆるセキュリティ アプリが不正になるとき [音声 + テキスト]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-300x157.png "シーズン 3 Ep124: いわゆるセキュリティ アプリが不正になるとき [音声 + テキスト]")
![S3 Ep92: Log4Shell4Ever、旅行のヒント、詐欺 [オーディオ + テキスト] PlatoBlockchain Data Intelligence. 垂直検索。 あい。](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92:Log4Shell4Ever、旅行のヒント、および猥褻さ[オーディオ+テキスト]")