Populære passordadministrasjonsselskap LastPass har vært under pumpen i år, etter et nettverksinnbrudd i august 2022.
Detaljer om hvordan angriperne først kom inn er fortsatt knappe, med LastPass sin første offisielle kommentar som forsiktig sier at:
[En] uautorisert part fikk tilgang til deler av LastPass-utviklingsmiljøet gjennom en enkelt kompromittert utviklerkonto.
En oppfølgingskunngjøring omtrent en måned senere var på samme måte usikker:
Trusselaktøren fikk tilgang til utviklingsmiljøet ved å bruke en utvikleres kompromitterte endepunkt. Selv om metoden som ble brukt for det innledende endepunktkompromisset ikke er entydig, brukte trusselaktøren sin vedvarende tilgang til å etterligne utvikleren når utvikleren hadde vellykket autentisert ved hjelp av multifaktorautentisering.
Det er ikke så mye igjen i dette avsnittet hvis du tapper ut sjargongen, men nøkkelsetningene ser ut til å være "kompromittert endepunkt" (på vanlig engelsk betyr dette sannsynligvis: skadelig programvare-infisert datamaskin), og "vedvarende tilgang" (som betyr: skurkene kunne komme inn igjen senere på fritiden).
2FA hjelper ikke alltid
Dessverre, som du kan lese ovenfor, hjalp ikke tofaktorautentisering (2FA) i dette spesielle angrepet.
Vi tipper det er fordi LastPass, til felles med de fleste selskaper og netttjenester, ikke bokstavelig talt krever 2FA for hver tilkobling der autentisering er nødvendig, men bare for det du kan kalle primær autentisering.
For å være rettferdig, mange eller de fleste av tjenestene du bruker, sannsynligvis inkludert din egen arbeidsgiver, gjør vanligvis noe lignende.
Typiske 2FA-unntak, som tar sikte på å høste de fleste fordelene uten å betale for høy pris for ulempen, inkluderer:
- Gjør full 2FA-autentisering bare av og til, som å be om nye engangskoder bare med noen få dager eller uker. Noen 2FA-systemer kan for eksempel tilby deg et "husk meg i X dager".
- Krever bare 2FA-autentisering for første pålogging, deretter tillate et slags «single sign-on»-system for å autentisere deg automatisk for et bredt spekter av interne tjenester. I mange bedrifter gir pålogging på e-post deg ofte også tilgang til andre tjenester som Zoom, GitHub eller andre systemer du bruker mye.
- Utstedelse av «bærertilgangstokens» for automatiserte programvareverktøy, basert på sporadisk 2FA-autentisering av utviklere, testere og ingeniører. Hvis du har et automatisert bygg-og-test-skript som trenger tilgang til ulike servere og databaser på ulike punkter i prosessen, vil du ikke at skriptet kontinuerlig avbrytes for å vente på at du skriver inn enda en 2FA-kode.
Vi har ikke sett noen bevis...
I et anfall av tillit som vi mistenker at LastPass nå angrer på, sa selskapet først i august 2022:
Vi har ikke sett noen bevis for at denne hendelsen involverte tilgang til kundedata eller krypterte passordhvelv.
Selvfølgelig er "vi har ikke sett noen bevis" ikke en veldig sterk uttalelse (ikke minst fordi uforsonlige selskaper kan gjøre det til virkelighet ved bevisst å unnlate å lete etter bevis i utgangspunktet, eller ved å la noen andre samle bevisene og deretter målbevisst nekter å se på det), selv om det ofte er alt et selskap med sannhet kan si i umiddelbar etterkant av et brudd.
LastPass undersøkte imidlertid og følte seg i stand til å fremsette et definitivt krav innen september 2022:
Selv om trusselaktøren var i stand til å få tilgang til utviklingsmiljøet, forhindret vår systemdesign og kontroll trusselaktøren fra å få tilgang til kundedata eller krypterte passordhvelv.
Dessverre viste den påstanden seg å være litt for dristig.
Angrepet som førte til et angrep
LastPass innrømmet tidlig at skurkene "tok deler av kildekoden og noe proprietær LastPass teknisk informasjon" ...
…og det ser nå ut til at noe av den stjålne "tekniske informasjonen" var nok til å lette et oppfølgingsangrep som ble avslørt i november 2022:
Vi har fastslått at en uautorisert part, ved å bruke informasjon innhentet i august 2022-hendelsen, var i stand til å få tilgang til visse elementer av våre kunders informasjon.
For å være rettferdig overfor LastPass, gjentok ikke selskapet sin opprinnelige påstand om at ingen passordhvelv hadde blitt stjålet, og refererte bare til "kundenes informasjon" som ble stjålet.
Men i sine tidligere bruddvarsler hadde selskapet snakket nøye om kunde Data (noe som får de fleste av oss til å tenke på informasjon som adresse, telefonnummer, betalingskortdetaljer og så videre) og krypterte passordhvelv som to forskjellige kategorier.
Denne gangen viser imidlertid «kundenes informasjon» seg å inkludere både kundedata, i betydningen ovenfor, og passorddatabaser.
Ikke bokstavelig talt natten før jul, men farlig nær det, har LastPass innrømmet at:
Trusselaktøren kopierte informasjon fra sikkerhetskopi som inneholdt grunnleggende kundekontoinformasjon og relaterte metadata, inkludert firmanavn, sluttbrukernavn, faktureringsadresser, e-postadresser, telefonnumre og IP-adressene som kundene fikk tilgang til LastPass-tjenesten fra.
Løst sett vet skurkene nå hvem du er, hvor du bor, hvilke datamaskiner på internett som er dine, og hvordan de kan kontakte deg elektronisk.
Opptaket fortsetter:
Trusselaktøren var også i stand til å kopiere en sikkerhetskopi av kundehvelvdata.
Så skurkene stjal tross alt disse passordhvelvene.
Spennende nok har LastPass nå også innrømmet at det den beskriver som et "passordhvelv" faktisk ikke er en kryptert BLOB (et morsomt sjargongord som betyr binært stort objekt) som kun består av krypterte, og derfor uforståelige, data.
Disse "hvelvene" inkluderer ukrypterte data, tilsynelatende inkludert URL-ene for nettstedene som følger med hvert kryptert brukernavn og passord.
Skurkene vet derfor nå ikke bare hvor du og datamaskinen din bor, takket være de lekkede fakturerings- og IP-adressedataene nevnt ovenfor, men har også et detaljert kart over hvor du går når du er online:
[K]kundehvelvdata […] lagres i et proprietært binært format som inneholder både ukrypterte data, for eksempel nettadresser, samt fullstendig krypterte sensitive felt som brukernavn og passord for nettstedet, sikre notater og skjemautfylte data .
LastPass har ikke gitt noen andre detaljer om de ukrypterte dataene som ble lagret i disse "hvelv"-filene, men ordene "som nettstedsadresser" antyder absolutt at nettadresser ikke er den eneste informasjonen skurkene har skaffet seg.
Den gode nyheten
Den gode nyheten, LastPass fortsetter å insistere på, er at sikkerheten til dine sikkerhetskopierte passord i hvelvfilen ikke bør være forskjellig fra sikkerheten til enhver annen skysikkerhetskopiering som du krypterte på din egen datamaskin før du lastet den opp.
I følge LastPass eksisterer aldri de hemmelige dataene den sikkerhetskopierer for deg i ukryptert form på LastPass sine egne servere, og LastPass lagrer eller ser aldri hovedpassordet ditt.
Derfor, sier LastPass, blir dine sikkerhetskopierte passorddata alltid lastet opp, lagret, åpnet og lastet ned i kryptert form, slik at skurkene fortsatt trenger å knekke hovedpassordet ditt, selv om de nå har de krypterte passorddataene dine.
Så vidt vi kan se, bruker passord lagt til LastPass de siste årene et salt-hash-og-strekk-lagringssystem som er nært vårt egne anbefalinger, ved å bruke PBKDF2-algoritmen med tilfeldige salter, SHA-256 som det interne hashing-systemet og 100,100 XNUMX iterasjoner.
LastPass sa ikke, eller kunne ikke si, i november 2022-oppdateringen, hvor lang tid det tok før den andre bølgen av kjeltringer kom inn på skyserverne etter det første angrepet på utviklingssystemet i august 2002.
Men selv om vi antar at det andre angrepet fulgte umiddelbart, men ikke ble lagt merke til før senere, har de kriminelle hatt maksimalt fire måneder på seg til å prøve å knekke hovedpassordene til noens stjålne hvelv.
Det er derfor rimelig å konkludere med at bare brukere som bevisst hadde valgt passord som er enkle å gjette eller tidlig å knekke, er i faresonen, og at alle som har tatt seg bryet med å endre passordet siden kunngjøringen om brudd nesten helt sikkert har holdt seg i forkant av kjeltringene.
Ikke glem at lengden alene ikke er nok til å sikre et anstendig passord. Faktisk tyder anekodale bevis på det 123456, 12345678 og 123456789 er alle mer vanlig i disse dager enn 1234, sannsynligvis på grunn av lengdebegrensninger pålagt av dagens påloggingsskjermer. Og husk at verktøy for å knekke passord ikke bare starter kl AAAA og fortsett som en alfanumerisk kilometerteller til ZZZZ...ZZZZ. De prøver å rangere passord etter hvor sannsynlig det er at de blir valgt, så du må anta at de vil "gjette" lange, men menneskevennlige passord som f.eks. BlueJays28RedSox5! (18 tegn) lenge før de kommer til MAdv3aUQlHxL (12 tegn), eller til og med ISM/RMXR3 (9 tegn).
Hva gjør jeg?
Tilbake i august 2022, vi sa dette: "Hvis du vil endre noen eller alle passordene dine, kommer vi ikke til å snakke deg fra det. [... Men] vi tror ikke du trenger å endre passordene dine. (For hva det er verdt, gjør ikke LastPass det heller.)
Det var basert på LastPass sine påstander, ikke bare om at sikkerhetskopierte passordhvelv ble kryptert med passord kjent bare for deg, men også at disse passordhvelvene ikke ble åpnet uansett.
Gitt endringen i LastPass sin historie basert på hva den har oppdaget siden den gang, foreslår vi nå at du gjør det endre passordene dine hvis du med rimelighet kan.
Merk at du må endre passordene som er lagret inne i hvelvet ditt, samt hovedpassordet for selve hvelvet.
Det er slik at selv om skurkene knekker det gamle hovedpassordet ditt i fremtiden, vil bunken med passorddata de vil avdekke være foreldet og derfor ubrukelig – som en skjult piratkiste full av sedler som ikke lenger er lovlig betalingsmiddel.
Mens du er i ferd med det, hvorfor ikke benytte anledningen til å sikre at du forbedre eventuelle svake eller gjenbrukte passord på listen din samtidig, gitt at du endrer dem uansett.
En ting til…
Å, og en ting til: en appell til X-Ops-team, IT-ansatte, systemadministratorer og tekniske skribenter overalt.
Når du vil si at du har endret passord, eller anbefale andre å endre deres, kan du slutte å bruke det villedende ordet rotere, og bare bruk det mye klarere ordet endring i stedet?
Ikke snakk om "roterende legitimasjon" eller "passordrotasjon", fordi ordet rotere, spesielt innen informatikk, innebærer en strukturert prosess som til slutt involverer repetisjon.
For eksempel, i en komité med en roterende leder, får alle en sjanse til å lede møter, i en forhåndsbestemt syklus, f.eks. Alice, Bob, Cracker, Dongle, Mallory, Susan... og så Alice igjen.
Og i maskinkode, den ROTATE instruksjon sirkulerer eksplisitt bitene i et register.
Hvis du ROL or ROR (det betyr gå til venstre or gå til høyre i Intel-notasjon) tilstrekkelig mange ganger, vil disse bitene gå tilbake til sin opprinnelige verdi.
Det er slett ikke det du ønsker når du skal endre passordene dine!
HVA HVIS PASSORDBEHANDLEREN MIN BLIVER HACKET?
Enten du er LastPass-bruker eller ikke, her er en videoen vi har laget med noen tips om hvordan du kan redusere risikoen for katastrofe hvis enten du eller passordbehandleren din skulle bli hacket. (Klikk på tannhjulet mens du spiller for å slå på undertekster eller for å øke hastigheten på avspillingen).
HVORFOR "ROTERER" IKKE ER ET GOD SYNONYM FOR "ENDRING"
Her er ROTATE (mer presist ROL) instruksjon i det virkelige liv på 64-bits Windows.
Hvis du setter sammen og kjører koden nedenfor (vi brukte den praktiske, minimalistiske, gratis monteringen og linkeren fra GoTools) ...
...da bør du få utdataene nedenfor:
Rotert med 0 bits = C001D00DC0DEF11E Rotert med 4 bits = 001D00DC0DEF11EC Rotert med 8 bits = 01D00DC0DEF11EC0 Rotert med 12 bits = 1D00DC0DEF11EC00 Rotert med 16DC00DEs = D0DC11DEs rotert med 001DC20DEs = 00DC0DEs 11DEF001EC24D Rotert med 0 biter = 0DC11DEF001EC0D28 Rotert med 0 bits = DC11DEF001EC00D32 Rotert med 0 biter = C11DEF001EC00D36D Rotert med 0 biter = 11DEF001EC00D40DC Rotert med 11 biter = DEF001EC00D0DC44 Rotert med 11 biter = EF001EC00D0DC48D Rotert med 11EC001D00D Rotert med 0EC bits 52 DEF11EC001D 00 bits = 0 DC56D1 bits 001DE00 = 0 1D60DC001DEF Rotert med 00 biter = 0EC11D64DC001DEF00 Rotert med 0 bits = EC11DXNUMXDCXNUMXDEFXNUMX Rotert med XNUMX biter = CXNUMXDXNUMXDCXNUMXDEFXNUMXE
Du kan endre rotasjonsretning og mengde ved å endre ROL til ROR, og justere tallet 4 på den linjen og den følgende.
- blockchain
- brudd
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- Data Loss
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- LastPass
- malware
- Mcafee
- Naken sikkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- privatliv
- VPN
- nettside sikkerhet
- zephyrnet
![S3 Ep124: Når såkalte sikkerhetsapper blir useriøse [lyd + tekst]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-300x157.png "S3 Ep124: Når såkalte sikkerhetsapper blir useriøse [lyd + tekst]")
![S3 Ep92: Log4Shell4Ever, reisetips og svindel [Lyd + tekst] PlatoBlockchain Data Intelligence. Vertikalt søk. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92: Log4Shell4Ever, reisetips og svindel [lyd + tekst]")