UUSIMMAT

Suosittu LastPass-salasanapalvelu osataan murtaa, tutkijat paljastavat metodit Black Hat Europessa *Päivitetty*

15.09.2015 20:38 | Petrus Laine | 16

Hakkereiden Black Hat Europe 2015 -tapahtuma pidetään Amsterdamissa 10. – 13. marraskuuta. Luvassa on jälleen tänä vuonna useita mielenkiintoisia puheita ja esityksiä, joissa muun muassa paljastetaan eri palvelujen ja ohjelmistojen haavoittuvuuksia.

Yksi huolestuttavimmista puheista koskee suosittua salasanapalvelua LastPass. Mikä pahinta, LastPassiin tallennetaan salasanojen lisäksi myös muun muassa pankki- ja henkilötietoja. Tutkijat Alberto Garcia ja Martin Vigo pitävät Black Hat Europessa esityksen, jossa he paljastavat miten hyökkääjä voi varastaa kohteen pääsalasanan ja purkaa sen salauksen, sekä miten palvelun tilinpalautuspalvelua voidaan hyödyntää itse tietosäilön salausavaimen saamiseksi.

Haavoittuvuudet löydettiin takaisinmallintamalla palvelun tietokoneelle asennettavat lisäosat. Tietojensa avulla parivaljakko kirjoitti ohjelmistomoduulin, joka osaa etsiä automaattisesti kohdetitetokoneelta kaikki LastPassiin liittyvät datat ja tilit, varastaa ja purkaa niiden salasanat, etsiä 2FA-luottoavaimen sekä varastaa koko LastPass-tietosäilön sisällön purettavaksi, ja lopulta tulostaa kaikki tililtä löytyvät tiedot.

Päivitys 16.9 klo 17.30:

Uusien tietojen mukaan haavoittuvuuksista on raportoitu LastPassille jo viime vuonna, ja ne on jo korjattu.

gHacks Tech News, Researchers to reveal critical LastPass issues in November 2015

Black Hat Europe 2015, Briefings, Even the LastPass will be stolen, deal with it!

MuroBBS, Päivän tietoturvauutinen *postaa tänne*, Yksittäinen viesti (escalibur)

Keskustelu

Ainoastaan idiootti tallentaa salasanansa pilveen, sitä saa mitä tilaa.

Yllättävää. Mitäpä nykypäivänä ei osattaisi murtaa.

En silti lopeta Lastpassin käyttöä, se helpottaa elämää liikaa.

"With all this information, we where finally able to obtain master passwords in cleartext. Woo hoo! Our attack only covers users that click the “Store my password” option though so, don’t store your master password!"

rud1

Ainoastaan idiootti tallentaa salasanansa pilveen, sitä saa mitä tilaa.

Ensinnäkään, tässä ei ole kyse pilvipalvelun murtamisesta, vaan LastPass-käyttäjän omalla koneella tapahtuvasta hyökkäyksestä LastPassin selainpluginia vastaan. Se, että LastPass tallentaa salasanat kryptattuna myös verkkopalvelimelle ei tee sen käytöstä yhtään sen turvattomampaa, kuin esimerkiksi kaikkiin nykyselaimiin sisäänrakennetun salasanojen tallennustoiminnon käyttämisestä. Jos joku onnistuu ujuttamaan koneellesi hyökkäysohjelman, olet joka tapauksessa kusessa täysin riippumatta siitä, missä salasanatietokanta fyysisesti sijaitsee. Olisit ollut aavistuksen verran oikeammassa, jos olisit sanonut että "ainoastaan idiootti tallentaa salasanansa tietokoneelle". Jos salasanat ovat esim. vain paperilla tai muistissasi, niiden varastaminen vaikkapa keyloggerin avulla on ainakin hieman hitaampaa.

Toiseksi, nämä nyt puheena olevat turva-aukot on ilmeisesti paikattu jo vuosi sitten.

Kolmanneksi, tietoturvatutkijat jotka kehittivät menetelmät LastPass-pluginin murtamiseen, käyttävät itsekin LastPassia. Ovatko he mielestäsi idiootteja?

Helvetin clickbait paskaa taas vaihteeksi.

Atorox

Ensinnäkään, tässä ei ole kyse pilvipalvelun murtamisesta, vaan LastPass-käyttäjän omalla koneella tapahtuvasta hyökkäyksestä LastPassin selainpluginia vastaan. Se, että LastPass tallentaa salasanat kryptattuna myös verkkopalvelimelle ei tee sen käytöstä yhtään sen turvattomampaa, kuin esimerkiksi kaikkiin nykyselaimiin sisäänrakennetun salasanojen tallennustoiminnon käyttämisestä. Jos joku onnistuu ujuttamaan koneellesi hyökkäysohjelman, olet joka tapauksessa kusessa täysin riippumatta siitä, missä salasanatietokanta fyysisesti sijaitsee. Olisit ollut aavistuksen verran oikeammassa, jos olisit sanonut että "ainoastaan idiootti tallentaa salasanansa tietokoneelle". Jos salasanat ovat esim. vain paperilla tai muistissasi, niiden varastaminen vaikkapa keyloggerin avulla on ainakin hieman hitaampaa.

Toiseksi, nämä nyt puheena olevat turva-aukot on ilmeisesti paikattu jo vuosi sitten.

Jep, ei mitään pilvipalvelun murtamista. Jos joku idiootti klikkaa että muista master password niin sitten olet kusessa tosin silloinkin pitäisi olla jotenkin pääsy koneelle että pääsee siihen käsiksi.

Lastpass foorumin admin

One thing to keep in mind is that the attack is not against our cloud servers, it requires access to your machine. If your machine is pwned, then you have problems no matter which password manager you're using.

GHacksin uutinen päivitetty

Update: LastPass contacted us with the following clarification:

  • These reports were responsibly disclosed to our team over a year ago
  • All reports were addressed immediately at that time and do not pose an ongoing risk to LastPass users
  • Users do not need to wait to understand what the reports were about – all of them are covered in Martin's post from last year with the exception of the account recovery report, which was addressed at that time but was not covered in his original blog post
  • It's also worth noting that we explicitly warn users not to use the Remember Password option

It appears that the demonstration is indeed about the vulnerability that was disclosed last year by the researchers.

http://www.martinvigo.com/a-look-into-lastpass/

Eli siis paljon melua tyhjästä taas?

Aika tyhmä pitää olla, jos tuollaista master passwordin muistamistoimintoa käyttää muutenkin… tai ehkä vaan aika laiska.

… niin, käyttäjän muut loginit, yms ovat turvassa jos kone on kaapattu niin että sieltä voi alkaa noita salasanoja etsimään / purkamaan. /sarkasmi

Paljonko tässä kohtaa auttaa esim. paperille kirjoitettu pankkitunnari jos sen joutuu näpyttelemään koneelle josta se voidaan lukea näppikseltä ja/tai injektoida koneen ja pankin väliin "siirtomato"?

Hohhoijjaa…

Tuon master passwordin muistamistoiminto on vaan niin paljon helpompi kuin naputella 10-20 kertaa päivässä sitä useamman kymmentä sekalaista merkkiä aina kun selaimen avaa.

Olisi aika pop, jos olisi saatavilla ihmisen aivoihin asennettava ulkoinen muistisysteemi. Normaalit aivot kun ei tunnu oikein mihinkään kunnolla taipuvan.

Eli edelleen olisi tarvetta usb-tikulle, joka toimii näppäimistönä ja "kirjoittaa" automaattisesti vaikka sata merkkiä pitkän salasanan yhtä nappia painamalla. Onko sellaisia saatavilla, vai pitäisikö itse tehdä?

Itsellä on tuo lastpassin master passwordin muistamistoiminto käytössä kotona pöytäkoneessa. Läppärissä ja mobiliilaitteissa sitten ei ole kun ne helpompi hukata. Tuolla lastpassissa itsellä kaikkia höpöhöpö tunnuksia kuten muropaketti jne. foorumi tunnuksia. Sähköposti ja muut tärkeät tunnukset sitten ilman lastpassia.

jak_pdgm

Eli edelleen olisi tarvetta usb-tikulle, joka toimii näppäimistönä ja "kirjoittaa" automaattisesti vaikka sata merkkiä pitkän salasanan yhtä nappia painamalla. Onko sellaisia saatavilla, vai pitäisikö itse tehdä?

Yubikey ( https://www.yubico.com/products/services-software/personalization-tools/static-password/ ) sisältää kaksi "muisti slottia", toisella voi generoida esim. Lastpassin 2FA:ta vastaan one-time-passwordin. Toisen slotin saa configuroitua vaikkapa staattiseksi avaimeksi jonka saa ulos pitkällä painalluksella.

Skye

Tuon master passwordin muistamistoiminto on vaan niin paljon helpompi kuin naputella 10-20 kertaa päivässä sitä useamman kymmentä sekalaista merkkiä aina kun selaimen avaa.

Kuulostaa todella erikoiselta, minkälainen käyttöympäristö sinulla on jos joudut oikeasti kirjautumaan 10-20 kertaa päivässä?

Crom

Kuulostaa todella erikoiselta, minkälainen käyttöympäristö sinulla on jos joudut oikeasti kirjautumaan 10-20 kertaa päivässä?

Eikös tuon master passwordin joudu laittamaan uusiksi aina kun sulkee selaimen?

Aina välillä käyttää konetta ja välillä tekee jotain muuta, niin sillä se toteutuu.

Skye

Eikös tuon master passwordin joudu laittamaan uusiksi aina kun sulkee selaimen?

Aina välillä käyttää konetta ja välillä tekee jotain muuta, niin sillä se toteutuu.

Ei joudu, se muistaa istunnon kunhan ei tyhjennä selaimen tietoja.

Crom

Ei joudu, se muistaa istunnon kunhan ei tyhjennä selaimen tietoja.

Ai, no eihän siinä tapauksessa tuota master passua joudu koskaan kirjoittamaan uusiksi. Jotenkin ymmärsin että selaimen sulkeminen loggaa lastpassin ulos jos ei ole master passun muistaminen päällä.

Muropaketin uusimmat