Dziura w LastPass naraża miliony internautów
Tavis Ormandy z Google'a informuje o znalezieniu dziury typu zero-day w popularnym menedżerze haseł LastPass. Dziura pozwala na całkowite przejęcie kontroli nad kontem użytkownika. Miliony internautów mogą narazić się na niebezpieczeństwo jeśli wejdą na witrynę zarażoną przez cyberprzestępców.
Na razie niewiele wiadomo o samej dziurze. Ormandy'emu można jednak wierzyć, gdyż jest to utytułowany specjalista ds. bezpieczeństwa. W przeszłości odkrył poważne dziury w oprogramowaniu antywirusowym takich firm jak Symantec, Avast czy Kaspersky.
Teraz Ormandy chce sprawdzić kolejnego popularnego menedżera haseł, 1Password.
Na razie nie zauważono, by przestępcy zaatakowali LastPass.
Poleca
Komentarze (46)
wilk, 28 lipca 2016, 20:36
E, wiemy. Wystarczy spreparowany URI. LastPass ujawnia wszystko wówczas, myśląc, że jest na zupełnie innej stronie. Przedszkolny błąd. Brr, nie wiem jak można tego w ogóle używać.
Krzychoo, 29 lipca 2016, 23:57
To co używać? Jakiego menadżera haseł?
thikim, 30 lipca 2016, 01:41
Normalnie
A to skąd wiesz? Dla człowieka z pewnością wystarczy spreparowany URI a dla LastPass?
Zaraz, zaraz. Dziura zero day a przestępcy nie używają?
wilk, 31 lipca 2016, 00:11
Tylko lokalne. Nie chcę reklamować, ale dla mnie jest tylko jeden sensowny — KeePass. A sam plik z hasłami możemy sobie ewentualnie synchronizować. Oczywiście jeśli używamy „key file”, to nie trzymamy tego razem.
Bo została opublikowana. https://bugs.chromium.org/p/project-zero/issues/detail?id=884
Oraz jest też coś takiego:https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/
Został załatany. Kto nie zaktualizował sobie dodatku, ten będzie płakał.
thikim, 31 lipca 2016, 08:43
https://pl.wikipedia.org/wiki/Zero-day_exploit
wilk, 31 lipca 2016, 12:29
Niestety, ale termin 0-day się nieco zdewaluował, od kiedy zaczęto robić marketingowo-PR-owy szum z dziur, przy których trzeba zrobić poczwórne salto, żeby poskutkowały, po wydmuszki, które muszą mieć chwytliwą nazwę i koniecznie ładne logo. W tym przypadku wydaje się, że to jedynie nietechniczni dziennikarze (źródło) określili to jako 0-day.
Gość Astro, 31 lipca 2016, 12:49
Panowie, może tak szczerze. Nie to, kto się podciera
https://www.youtube.com/watch?v=iCURyzxmP5w
ale kto zapisuje hasła? Na czymkolwiek?
thikim, 31 lipca 2016, 14:15
Znaczy się w mózgu też?
Gość Astro, 31 lipca 2016, 14:25
No ja zapisuję tylko tam.
thikim, 31 lipca 2016, 15:42
A że tak zapytam o jakich ilościach haseł mniej więcej mówimy?
Gość Astro, 31 lipca 2016, 15:49
Raczej niewielkiej. Niecałe trzydzieści. Niektóre muszę zmieniać regularnie. Wystarczają mi własne, tentegowane w głowie algorytmy.
thikim, 31 lipca 2016, 19:38
Rzeczywiście - niewielkiej.
wilk, 1 sierpnia 2016, 20:47
Pewnie zatem tworzysz w oparciu o pewien rdzeń plus znaczki zależne od serwisu. W przypadku ogólnych wycieków ma to jeszcze sens, bo nawet jeśli zostanie odtworzone, to wyglądać może dość losowo, ale przy ataku personalnym wyciek jednego może oznaczać wyciek wszystkich.
Gość Astro, 1 sierpnia 2016, 21:00
Rdzeni jest kilka.
Podobnie jak algorytmów.
Ed. Przypomniał mi się sposób na najlepszy immobilizer. Sam zrobiłem coś takiego (nie pytajcie tylko jaki, bo nie będzie już najlepszy).
pogo, 1 sierpnia 2016, 21:11
Najlepszy jest taki, który wszyscy znają, a i tak nie potrafią obejść
Gość Astro, 1 sierpnia 2016, 21:29
Świnta prawda, ale nie zdarzył się chyba jeszcze samochód na miarę AES256.
thikim, 1 sierpnia 2016, 21:50
Widzę że wiele osób wpadło na ten pomysł
ale można go trochę udoskonalić
Jajcenty, 2 sierpnia 2016, 07:19
Niektórzy jako rdzenia używają pinu karty karty bankowej, bo i tak muszą go pamiętać. Żeby złodziejowi było łatwiej. Już tak nie robię
Dodam, że to IT security sprowadziło na ludzi ten los. Minimalna długość hasła 8 znaków (a mogłoby być 32) wymuszona zmiana co 90 dni, wymagane użycie wielkich i małych liter, cyfr i znaków specjalnych skutkuje karteczką z hasłem. Pół biedy jeśli przyklejoną pod klawiaturą, bo zwykle jest gdzieś na widoku
ww296, 2 sierpnia 2016, 07:51
Kurcze - wiecie, że nie wpadłem na to z tym rdzeniem - genialne
- ale człowiek coraz starszy, dzięki temu da radę odciążyć trochę mózg. 
Co do samych haseł - statystycznie człowiek może zapamiętać na raz około 7 znaków - wydłużenie haseł do 8 i kombinacje cyfrowo-literowe plus znaki specjalne spowodowały konieczność zapisywania.
stosowanie takich zabezpieczeń na mało istotnych portalach spowodowało, uważam spadek skuteczności zabezpieczeń z uwagi na dublowanie haseł i zapisywanie ich. To klasyczny przypadek "wylania dziecka z kąpielą"
thikim, 2 sierpnia 2016, 07:56
Dokładnie.
Większość ludzi patrzy dość "wąsko".
Administrator widzi tylko swój serwis: nakazałem użytkownikom hasło 15 znaków, małe i wielkie, cyfry i znak specjalny, zmieniane co miesiąc. Jest bardzo bezpiecznie.
Użytkownik widzi wiele serwisów: nakazano mi pamiętać 25 różnych haseł, po 15 znaków, małe i wielkie litery, cyfry i znak specjalny i muszę to zmieniać. A w d*pie to mam. Naklejam kartkę
(BTW. Jak widzę kobietę przy komputerze to jakoś automatycznie szukam kartki 
) Panie są mądre, robią po swojemu, i nie zajmują się pierdołami.
Rdzenie są pewnym rozwiązaniem. Nawet bardzo dobrym w porównaniu do haseł sporej części populacji w rodzaju: tatata, qwerty1, aaaaaa, 12345
Kiedyś pewien admin dał mi hasło do mojego zasobu na ftp: bodajże 12345
No to spróbowałem: user: admin, password: 12345 - poszło
Ludzie są leniwi i słusznie (do tego mamy mocno ograniczone poza wyjątkami możliwości zapamiętywania). Bo to oznacza postęp. A nie biurokracja.
Ale generalnie chyba nie unikniemy biometrii, bo to jest w miarę wygodne i jednak bezpieczniejsze niż hasła: aaaaaa
BTW2. A w sieciach akademickich to jeden pies czy hasło jest aaaaa czy ;jkfdsbvjdpoifj8o0dsugae98fue09gerjjg9reifwerp0g9erkjgf9iregejag
sniffer da radę
tzn. dawniej dawał radę 
wilk, 2 sierpnia 2016, 12:08
Problem z biometrią jest taki, że jak „ukradną ci palec” czy cokolwiek innego, na czym dostęp jest oparty (czyli zdobędą wzorzec i technologia pozwoli na odtworzenie modelu), to jesteś przegrany już do końca życia.
Jajcenty, 2 sierpnia 2016, 14:03
Miałem do wifi 31415926535897932384626433832795 rodzina mnie przeklinała bo trzeba mieć odpowiedni calc.exe. Taka tam zemsta geeka:)
Krzychoo, 4 sierpnia 2016, 23:36
Pomógłby dostęp dwu etapowy - biometria i np. karta dostępu - taki klucz z "Limes Inferior".
wilk, 5 sierpnia 2016, 02:00
Jak ukradną „palec”, to nie będzie już taki dwuetapowy.
A niech no wycieknie (na wzór dyskusji w innym temacie) baza kilku milionów skanów… Token czy hasło można wymienić. Ponowne zeskanowanie palca czy siatkówki do bazy nie zmieni już niczego.