A popular empresa de gerenciamento de senhas LastPass foi sob a bomba este ano, após uma invasão de rede em agosto de 2022.
Os detalhes de como os invasores entraram ainda são escassos, com o primeiro comentário oficial do LastPass afirmando cautelosamente que:
[A]n parte não autorizada obteve acesso a partes do ambiente de desenvolvimento do LastPass por meio de uma única conta de desenvolvedor comprometida.
Um anúncio de acompanhamento cerca de um mês depois foi igualmente inconclusivo:
[O] agente da ameaça obteve acesso ao ambiente de desenvolvimento usando o endpoint comprometido de um desenvolvedor. Embora o método usado para o comprometimento inicial do endpoint seja inconclusivo, o agente da ameaça utilizou seu acesso persistente para representar o desenvolvedor depois que o desenvolvedor foi autenticado com sucesso usando a autenticação multifator.
Não sobra muito neste parágrafo se você esgotar o jargão, mas as frases-chave parecem ser “endpoint comprometido” (em inglês simples, isso provavelmente significa: computador infectado por malware) e “acesso persistente” (significa: os bandidos podem voltar mais tarde quando quiserem).
2FA nem sempre ajuda
Infelizmente, como você pode ler acima, a autenticação de dois fatores (2FA) não ajudou nesse ataque específico.
Acreditamos que seja porque o LastPass, em comum com a maioria das empresas e serviços online, não requer literalmente 2FA para cada conexão em que a autenticação é necessária, mas apenas para o que você pode chamar de autenticação primária.
Para ser justo, muitos ou a maioria dos serviços que você usa, provavelmente incluindo seu próprio empregador, geralmente fazem algo semelhante.
As isenções típicas do 2FA, destinadas a colher a maior parte de seus benefícios sem pagar um preço muito alto pela inconveniência, incluem:
- Fazer autenticação 2FA completa apenas ocasionalmente, como solicitar novos códigos únicos apenas a cada poucos dias ou semanas. Alguns sistemas 2FA podem oferecer a opção “lembre-se de mim por X dias”, por exemplo.
- Exigindo apenas autenticação 2FA para login inicial, em seguida, permitindo que algum tipo de sistema de “logon único” o autentique automaticamente para uma ampla gama de serviços internos. Em muitas empresas, o login no e-mail também dá acesso a outros serviços, como Zoom, GitHub ou outros sistemas que você usa muito.
- Emitir “tokens de acesso ao portador” para ferramentas de software automatizadas, baseado em autenticação 2FA ocasional por desenvolvedores, testadores e equipe de engenharia. Se você tem um script de construção e teste automatizado que precisa acessar vários servidores e bancos de dados em vários pontos do processo, não deseja que o script seja continuamente interrompido para esperar que você digite outro código 2FA.
Não vimos nenhuma evidência…
Em um acesso de confiança que suspeitamos que o LastPass agora se arrepende, a empresa disse inicialmente, em agosto de 2022:
Não vimos nenhuma evidência de que este incidente envolveu qualquer acesso aos dados do cliente ou cofres de senhas criptografadas.
É claro que “não vimos nenhuma evidência” não é uma afirmação muito forte (até porque empresas intransigentes podem torná-la realidade deixando deliberadamente de procurar evidências em primeiro lugar ou deixando alguém coletar as evidências e depois recusando-se propositalmente a analisá-lo), embora muitas vezes seja tudo o que qualquer empresa pode dizer com sinceridade logo após uma violação.
O LastPass investigou, no entanto, e sentiu-se capaz de fazer uma reclamação definitiva até setembro de 2022:
Embora o agente da ameaça tenha conseguido acessar o ambiente de desenvolvimento, o design e os controles de nosso sistema impediram que o agente da ameaça acessasse quaisquer dados do cliente ou cofres de senha criptografados.
Infelizmente, essa afirmação acabou sendo um pouco ousada demais.
O ataque que levou a um ataque
O LastPass admitiu desde o início que os bandidos “pegaram partes do código-fonte e algumas informações técnicas proprietárias do LastPass”…
… e agora parece que algumas dessas “informações técnicas” roubadas foram suficientes para facilitar um ataque subsequente que foi divulgado em novembro de 2022:
Determinamos que uma parte não autorizada, usando as informações obtidas no incidente de agosto de 2022, conseguiu obter acesso a determinados elementos das informações de nossos clientes.
Para ser justo com o LastPass, a empresa não repetiu sua alegação original de que nenhum cofre de senhas havia sido roubado, referindo-se apenas ao furto de “informações de clientes”.
Mas em suas notificações de violação anteriores, a empresa havia falado cuidadosamente sobre dados do cliente (o que faz a maioria de nós pensar em informações como endereço, número de telefone, detalhes do cartão de pagamento e assim por diante) e cofres de senha criptografada como duas categorias distintas.
Desta vez, no entanto, as “informações dos clientes” incluem tanto os dados dos clientes, no sentido acima, quanto os bancos de dados de senhas.
Não literalmente na noite anterior ao Natal, mas perigosamente perto dele, o LastPass admitiu que:
O agente da ameaça copiou informações do backup que continham informações básicas da conta do cliente e metadados relacionados, incluindo nomes de empresas, nomes de usuários finais, endereços de cobrança, endereços de e-mail, números de telefone e endereços IP dos quais os clientes acessavam o serviço LastPass.
Falando vagamente, os bandidos agora sabem quem você é, onde você mora, quais computadores na internet são seus e como contatá-lo eletronicamente.
A admissão continua:
O agente da ameaça também conseguiu copiar um backup dos dados do cofre do cliente.
Afinal, os bandidos roubaram esses cofres de senhas.
Curiosamente, o LastPass agora também admitiu que o que descreve como um “cofre de senha” não é realmente um BLOB embaralhado (um jargão divertido que significa objeto grande binário) consistindo apenas e inteiramente de dados criptografados e, portanto, ininteligíveis.
Esses “cofres” incluem dados não criptografados, aparentemente incluindo os URLs dos sites que acompanham cada nome de usuário e senha criptografados.
Os bandidos, portanto, agora não apenas sabem onde você e seu computador moram, graças aos dados vazados de faturamento e endereço IP mencionados acima, mas também têm um mapa detalhado de onde você vai quando está online:
[Dados do cofre do cliente [...] são armazenados em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como nomes de usuário e senhas de sites, notas seguras e dados preenchidos em formulários .
O LastPass não forneceu nenhum outro detalhe sobre os dados não criptografados que foram armazenados nesses arquivos de “cofre”, mas as palavras “como URLs de sites” certamente implicam que os URLs não são as únicas informações que os criminosos adquiriram.
A boa notícia
A boa notícia, LastPass continua a insistir, é que a segurança de suas senhas de backup em seu arquivo de cofre não deve ser diferente da segurança de qualquer outro backup em nuvem que você criptografou em seu próprio computador antes de carregá-lo.
De acordo com o LastPass, os dados secretos que ele faz backup para você nunca existem de forma não criptografada nos próprios servidores do LastPass, e o LastPass nunca armazena ou vê sua senha mestra.
Portanto, diz o LastPass, seus dados de senha de backup são sempre carregados, armazenados, acessados e baixados em formato criptografado, para que os bandidos ainda precisem quebrar sua senha mestra, mesmo que agora tenham seus dados de senha embaralhados.
Tanto quanto podemos dizer, as senhas adicionadas ao LastPass nos últimos anos usam um sistema de armazenamento salt-hash-and-stretch que é próximo ao nosso próprias recomendações, usando o algoritmo PBKDF2 com sais aleatórios, SHA-256 como sistema de hash interno e 100,100 iterações.
O LastPass não disse, ou não poderia dizer, em sua atualização de novembro de 2022, quanto tempo levou para a segunda onda de criminosos entrar em seus servidores em nuvem após o primeiro ataque a seu sistema de desenvolvimento em agosto de 2002.
Mas mesmo se assumirmos que o segundo ataque ocorreu imediatamente, mas não foi percebido até mais tarde, os criminosos tiveram no máximo quatro meses para tentar quebrar as senhas mestras do cofre roubado de alguém.
Portanto, é razoável inferir que apenas os usuários que escolheram deliberadamente senhas fáceis de adivinhar ou fáceis de quebrar estão em risco, e que qualquer pessoa que se deu ao trabalho de alterar suas senhas desde o anúncio da violação quase certamente se manteve à frente de os bandidos.
Não se esqueça que apenas o comprimento não é suficiente para garantir uma senha decente. Na verdade, a evidência anecodal sugere que 123456, 12345678 e 123456789 são mais comumente usados hoje em dia do que 1234, provavelmente devido às restrições de tamanho impostas pelas telas de login atuais. E lembre-se de que as ferramentas de quebra de senha não começam simplesmente em AAAA e proceder como um hodômetro alfanumérico para ZZZZ...ZZZZ. Eles tentam classificar as senhas de acordo com a probabilidade de serem escolhidas, então você deve presumir que eles irão “adivinhar” senhas longas, mas amigáveis, como BlueJays28RedSox5! (18 caracteres) muito antes de chegarem MAdv3aUQlHxL (12 caracteres), ou mesmo ISM/RMXR3 (9 caracteres).
O que fazer?
Em agosto de 2022, nós disse isso: “Se você quiser alterar algumas ou todas as suas senhas, não vamos dissuadi-lo. [… Mas] não achamos que você precise alterar suas senhas. (Pelo que vale a pena, o LastPass também não.)”
Isso foi baseado nas afirmações do LastPass não apenas de que os cofres de senhas com backup foram criptografados com senhas conhecidas apenas por você, mas também de que esses cofres de senhas não foram acessados de qualquer maneira.
Dada a mudança na história do LastPass com base no que descobriu desde então, agora sugerimos que você faça altere suas senhas se puder razoavelmente.
Observe que você precisa alterar as senhas armazenadas em seu cofre, bem como a senha mestra do próprio cofre.
Isso é para que, mesmo que os bandidos quebrem sua antiga senha mestra no futuro, o estoque de dados de senha que eles descobrirão seja obsoleto e, portanto, inútil - como um baú de pirata escondido cheio de notas que não são mais legais.
Enquanto você está nisso, por que não aproveitar a oportunidade para garantir que você melhore as senhas fracas ou reutilizadas em sua lista ao mesmo tempo, visto que você os está alterando de qualquer maneira.
Mais uma coisa ...
Ah, e mais uma coisa: um apelo às equipes X-Ops, equipe de TI, administradores de sistemas e escritores técnicos em todos os lugares.
Quando você quiser dizer que mudou suas senhas ou recomendar que outras pessoas mudem as delas, você pode parar de usar a palavra enganosa rodar, e simplesmente use a palavra muito mais clara alterar em vez de?
Não fale sobre “rotação de credenciais” ou “rotação de senha”, porque a palavra rodar, especialmente na ciência da computação, implica um processo estruturado que, em última análise, envolve repetição.
Por exemplo, em um comitê com presidente rotativo, todos participam das reuniões de liderança, em um ciclo predeterminado, por exemplo, Alice, Bob, Cracker, Dongle, Mallory, Susan… e depois Alice novamente.
E no código de máquina, o ROTATE A instrução explicitamente circula os bits em um registrador.
Se você ROL or ROR (que denota vá para a esquerda or vá para a direita na notação Intel) muitas vezes, esses bits retornarão ao seu valor original.
Isso não é nada do que você deseja quando pretende alterar suas senhas!
E SE MEU GERENCIADOR DE SENHAS FOR HACKEADO?
Seja você um usuário do LastPass ou não, aqui está uma vídeo que fizemos com algumas dicas sobre como reduzir o risco de desastre se você ou seu gerenciador de senhas forem invadidos. (Clique na engrenagem durante a reprodução para ativar as legendas ou acelerar a reprodução).
POR QUE 'GIRAR' NÃO É UM BOM SINÔNIMO PARA 'MUDAR'
Aqui está o ROTATE (mais precisamente, o ROL) na vida real no Windows de 64 bits.
Se você montar e executar o código abaixo (usamos o prático, minimalista e gratuito assembler e linker de GoTools) ...
… então você deve obter a saída abaixo:
Girado em 0 bits = C001D00DC0DEF11E Girado em 4 bits = 001D00DC0DEF11EC Girado em 8 bits = 01D00DC0DEF11EC0 Girado em 12 bits = 1D00DC0DEF11EC00 Girado em 16 bits = D00DC0DEF11EC001 Girado em 20 bits = 00DC0DEF11EC001D Girado em 24 bits = 0DC0DEF11EC001D0 Girado em 28 bits = DC0DEF11EC001D00 Girado em 32 bits = C0DEF11EC001D00D Girado em 36 bits = 0DEF11EC001D00DC Girado em 40 bits = DEF11EC001D00DC0 Girado em 44 bits = EF11EC001D00DC0D Girado em 48 bits = F11EC001D00DC0DE Girado em 52 bits = 11EC001D00DC0DEF Girado em 56 bits = 1EC001D00DC0DEF1 Girado em 60 bits = EC001D00DC0DEF11 Girado em 64 bits = C001D00DC0DEF11E
Você pode alterar a direção e a quantidade de rotação alterando ROL para ROR, e ajustando o número 4 nessa linha e na seguinte.
- blockchain
- violação
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Perda de Dados
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- LastPass
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- política de privacidade
- VPN
- a segurança do website
- zefirnet
