Порушення вихідного коду LastPass – ми все ще рекомендуємо менеджери паролів?

Як ви, безсумнівно, вже знаєте, оскільки останнім часом ця історія була в усіх новинах і соціальних мережах, широко відомий і широко використовуваний менеджер паролів LastPass минулого тижня повідомив про порушення безпеки.

За словами компанії, саме порушення сталося за два тижні до цього, і зловмисники проникли в систему, де LastPass зберігає вихідний код свого програмного забезпечення.

Звідти, як повідомляє LastPass, нападники «взяв частини вихідного коду та деяку пропрієтарну технічну інформацію LastPass».

Ми не писали про цей інцидент минулого тижня, тому що, здавалося, ми не могли багато додати до звіту про інцидент LastPass – шахраї перебирали їхній запатентований вихідний код та інтелектуальну власність, але, очевидно, не дісталися будь-які дані клієнтів або співробітників.

Іншими словами, ми бачили це як дуже незручна проблема PR для самого LastPass, враховуючи, що ціль власного продукту компанії полягає в тому, щоб допомогти клієнтам зберегти свої онлайн-акаунти при собі, але а не як інцидент, який безпосередньо ставить під загрозу онлайн-акаунти клієнтів.

Однак протягом минулих вихідних ми отримали кілька стурбованих запитів від читачів (і ми бачили кілька оманливих порад у соціальних мережах), тому ми вирішили розглянути основні запитання, які ми отримали на цей момент.

Адже ми регулярно рекомендуємо своїм читачам і слухачі подкастів розглянути можливість використання менеджера паролів, хоча ми також писали про це численний безпеку промахи в паролі менеджер інструменти над років.

Отже, ми зібрали нижче шість запитань і відповідей, щоб допомогти вам прийняти обґрунтоване рішення щодо майбутнього менеджерів паролів у вашому цифровому житті.

Q1 Що робити, якщо мій менеджер паролів зламали?

A1. Це цілком резонне запитання: якщо ви покладете всі свої паролі в один кошик, чи не стане цей кошик єдиною точкою відмови?

Насправді це питання нам так часто задають, що ми є відео спеціально, щоб відповісти на нього (клацніть на гвинтик під час відтворення, щоб увімкнути субтитри або прискорити відтворення):

[Вбудоване вміст]

---

Q2 Якщо я використовую LastPass, чи повинен я змінити всі свої паролі?

A2. Якщо ви хочете змінити деякі або всі свої паролі, ми не будемо відмовляти вас від цього.

(Одна зручна особливість менеджера паролів, як ми пояснюємо у відео вище, полягає в тому, що змінювати паролі набагато швидше, легше та безпечніше, тому що ви не застрягли в спробах придумати та запам’ятати десятки нових і складних текстових рядків у поспішай.)

Однак, судячи з усього, цей інцидент із безпекою не має нічого спільного з тим, що шахраї заволоділи будь-якими вашими особистими даними, найменше вашими паролями, які все одно не зберігаються на серверах LastPass у зручній формі. (Див. Q5.)

Схоже, що ця атака не пов’язана з уразливістю чи експлойтом у програмному забезпеченні LastPass, за допомогою якого шахраї можуть атакувати зашифровані паролі у вашому сховищі паролів, або зловмисне програмне забезпечення, яке знає, як проникнути в процес дешифрування паролів на ваших власних комп’ютерах. .

Крім того, це не передбачає викрадення будь-якої особистої «реальної» інформації про клієнта, як-от номери телефонів, поштові індекси чи індивідуальні ідентифікаційні номери, які можуть допомогти зловмисникам переконати онлайн-сервіси скинути ваші паролі за допомогою прийомів соціальної інженерії.

Тому ми не вважаємо, що вам потрібно змінювати свої паролі. (Наскільки це варте, LastPass також не робить.)

---

Q3 Чи варто мені відмовитися від LastPass і перейти до конкурента?

A3. Це питання, на яке ви повинні відповісти самі.

Як ми вже говорили вище, незважаючи на те, що цей інцидент був незручним для LastPass, схоже, що жодні особисті дані не були зламані та жодні дані, пов’язані з паролями (зашифровані чи інші), були викрадені, лише власний вихідний код компанії та конфіденційна інформація.

Ви відмовилися від Chrome, коли нещодавно Google нульовий день у природі був оголошений експлойт? Або продукти Apple після останньої подвійна гра нульового дня? Або Windows після будь-якої Виправлення вівторкового оновлення в яких були виправлені помилки нульового дня?

Якщо ні, то ми припускаємо, що ви бажаєте судити про ймовірну майбутню надійність кібербезпеки компанії за тим, як вона відреагувала на останню помилку чи злом, особливо якщо помилка компанії не поставила вас під загрозу безпосередньо.

Ми пропонуємо вам прочитати LastPass звіт про інцидент і поширені запитання для себе та вирішіть на основі цього, чи готові ви все ще довіряти компанії.

---

Q4. Хіба вкрадений вихідний код не означає, що обов’язково послідують хаки та експлойти?

A4. Це резонне запитання, і відповідь не є однозначною.

Загалом, вихідний код набагато легше читати та розуміти, ніж його скомпільований, «двійковий» еквівалент, особливо якщо він добре прокоментований і використовує значущі імена для таких речей, як змінні та функції всередині програмного забезпечення.

Як дещо синтетичний, але легкий для наслідування приклад, порівняйте вихідний код Lua ліворуч нижче зі скомпільованим байт-кодом (як Java, Lua працює у віртуальній машині) праворуч:

Теоретично, вихідний код означає, що має бути швидше та легше визначити, як саме працює програмне забезпечення, включаючи виявлення будь-яких помилок у програмуванні чи помилок кібербезпеки, а отже, має бути легше знаходити вразливості та швидше розробляти експлойти.

На практиці це правда, що отримання вихідного коду разом із скомпільованими двійковими файлами, які ви намагаєтеся виконати зворотне проектування, рідко, якщо взагалі колись, ускладнить роботу, а часто полегшить її.

Зважаючи на це, ви повинні пам’ятати, що Microsoft Windows є операційною системою із закритим вихідним кодом, і все ж багато, якщо не більшість, дірок у безпеці, що виправляються щомісяця у вівторок із оновленням, були зворотно спроектовані безпосередньо з попередньо скомпільованих двійкових файлів.

Іншими словами, збереження вихідного коду в таємниці ніколи не повинно розглядатися як життєво важлива частина будь-якого процесу кібербезпеки.

Ви також повинні пам’ятати, що багато проектів явно покладаються на те, щоб їхні вихідні коди були публічними, не лише для того, щоб будь-хто міг їх уважно вивчити, але й для того, щоб будь-хто, хто бажає, міг використовувати його, модифікувати та зробити свій внесок на благо всіх.

Проте навіть основні проекти з відкритим вихідним кодом із ліберальними ліцензіями на використання та з потенційно багатьма очима на цей вихідний код протягом багатьох років вимагали критичних виправлень безпеки для помилок, які могли бути помічені багато разів, але не були.

І нарешті, сьогодні багато проектів пропрієтарного програмного забезпечення (приклади включають браузер Chrome від Google; операційну систему iOS від Apple; брандмауер Sophos XG; тисячі більш широко використовуваних апаратних і програмних засобів) все ж широко використовують численні компоненти з відкритим кодом.

Простіше кажучи, більшість сучасних проектів із закритим вихідним кодом включають значні частини, для яких вихідний код можна завантажити в будь-якому випадку (оскільки цього вимагає ліцензування) або можна зробити висновок (оскільки ліцензування вимагає документування його використання, навіть якщо деякі зміни коду були згодом зроблено).

Іншими словами, цей витік вихідного коду може трохи допомогти потенційним зловмисникам, але майже напевно [a] не так сильно, як ви могли б спочатку подумати, і [b] не настільки, що стануть можливими нові експлойти, які ніколи не могли бути зрозумілі без вихідного коду.

---

Q5 Чи варто взагалі відмовитися від менеджерів паролів?

A5. Аргумент тут полягає в тому, що якщо навіть компанія, яка пишається тим, що надає інструменти для надійнішого захисту ваших особистих і корпоративних таємниць, не може безпечно захистити свою власну інтелектуальну власність, це, безсумнівно, попередження про те, що менеджери паролів — це «дурна справа»?

Зрештою, що, якщо шахраї знову зламаються, і наступного разу вони потраплять не до вихідного коду, а до кожного окремого пароля, який зберігає кожен окремий користувач?

Це викликає занепокоєння – можна назвати це майже мемом – який регулярно можна побачити в соціальних мережах, особливо після такого зламу: «А що, якби шахраї завантажили всі мої паролі? Про що я думав, все-таки надавши всі свої паролі?»

Це викликало б щире занепокоєння, якби менеджери паролів працювали, зберігаючи точні копії всіх ваших паролів на власних серверах, де їх могли б видобути зловмисники або вимагати правоохоронні органи.

Але жоден пристойний хмарний менеджер паролів не працює таким чином.

Натомість те, що зберігається на їхніх серверах, є зашифрованою базою даних, або «blob» (скорочення від двійковий великий об'єкт), який розшифровується лише після передачі на ваш пристрій і після того, як ви надали свій головний пароль локально, можливо, за допомогою певної двофакторної автентифікації, щоб зменшити ризик локального зламу.

Жодні паролі у вашому сховищі паролів ніколи не зберігаються у формі, придатній для безпосереднього використання на серверах менеджера паролів, а ваш головний пароль в ідеалі взагалі ніколи не зберігається, навіть як підсолений і розтягнутий хеш пароля.

Іншими словами, не варто довіряти надійній компанії-менеджеру паролів, щоб уникнути витоку ваших паролів у разі злому її баз даних або відмовитися розкрити їх у разі ордеру від правоохоронних органів…

…оскільки він не міг би розкрити їх, навіть якби цього захотів, враховуючи, що він не зберігає запису вашого головного пароля чи будь-яких інших паролів у будь-якій базі даних, з якої він міг би витягнути їх без вашої згоди та співпраці.

(На веб-сайті LastPass є опис і схема – правда, досить проста – того, як ваш паролі захищені від компрометації на стороні сервера, оскільки розшифровується лише на вашому власному пристрої, під вашим прямим контролем.)

---

Q6 Нагадайте ще раз – навіщо використовувати менеджер паролів?

A6. Давайте підсумуємо переваги, поки ми вже про це:

• Хороший менеджер паролів спрощує вам ефективне використання пароля. Це перетворює проблему вибору та запам’ятовування десятків або навіть сотень паролів на проблему вибору одного справді надійного пароля, додатково посиленого 2FA. Більше немає потреби зрізати кути, використовуючи «прості» паролі або паролі, які можна вгадати, для будь-яких облікових записів, навіть тих, які здаються неважливими.
• Хороший менеджер паролів не дозволить вам використовувати той самий пароль двічі. Пам’ятайте, що якщо шахраї відновлять один із ваших паролів, можливо, через компрометацію на одному веб-сайті, яким ви користуєтеся, вони негайно спробують ті самі (або подібні) паролі для всіх інших облікових записів, які їм спадають на думку. Це може значно збільшити шкоду, завдану тим, що інакше могло б бути зламаним паролем.
• Хороший менеджер паролів може вибрати та запам’ятати сотні, навіть тисячі довгих, псевдовипадкових, складних, абсолютно різних паролів. Дійсно, він може зробити це так само легко, як ви можете запам'ятати своє власне ім'я. Навіть коли ви дуже стараєтеся, важко самостійно вибрати справді випадковий пароль, який неможливо вгадати, особливо якщо ви поспішаєте, тому що завжди є спокуса слідувати якомусь передбачуваному шаблону, наприклад, ліва рука, потім права, потім приголосна голосний, верхній-середній-нижній рядок або ім'я кота з -99 на кінці.
• Хороший менеджер паролів не дозволить вам розмістити правильний пароль на неправильному сайті. Менеджери паролів не «розпізнають» веб-сайти лише тому, що вони «виглядають правильно» і мають правильні логотипи та фонові зображення. Це допомагає захистити вас від фішингу, коли ви не помічаєте, що URL-адреса неправильна, і не вводите свій пароль (і навіть ваш код 2FA) на фіктивний сайт.

---

Не поспішайте з висновками

Отже, наші поради з цього питання.

Ми зберігаємо нейтралітет щодо самого LastPass і не рекомендуємо жодного продукту чи послуги менеджера паролів, у тому числі LastPass, вище або нижче інших.

Але яке б ви рішення не прийняли про те, чи стане вам краще чи гірше, якщо застосувати менеджер паролів…

…ми хочемо бути впевненими, що ви зробите це з міркувань, пов’язаних із достатньою інформацією.

Якщо у вас виникнуть додаткові запитання, задавайте їх у коментарях нижче – ми зробимо все можливе, щоб швидко відповісти.

---