Forum » Informacijska varnost » LastPass (potencialno) napaden.
LastPass (potencialno) napaden.
P3Hi ::
Veliko sr***e :=) http://blog.lastpass.com/
Ob 18.00 sem danes prvič užgal browser, sem delal nekaj drugega celotni dan. In presenečeno mi last pass plugin v mozilli zateži naj preverim internet connection.?? Probam 10x NIČ..
Oky gremo na Google. Vpišem "LastPass Server" in samo zadetke zadnjih 24ur.. In viola... Novica, da je sistem najverjetneje heknjen in 500 komentarjov jeznih uporabnikov.
Po dveh urah sem nekako uspel priti do hxxp://lastpass.com/pocket.exe, tolk da sem lahk vsaj gesla dobil ven :=)
Oky tut to mi ni jasno zbral sem nej jih prekopira iz laspass.com - kk sm se lahk prjavil z tem programom z pluginom v mozilli pa negre, niti direktno na strani ne gre... Ok ni važno tak.....
Kot lahko preberemo sumijo, da so bili strežniki kompromirani zato nam priporočajo menjavo glavnega gesla.
Torej imam vprašanje za vse tiste, ki mogoče uporabljate LastPass.
Ker sem le 50% neumen in vem, da hranjenje vseh gesl v oblaku ni ravno najbolj pametno sem si pred dvema letoma dokupil še par Yubico ključev z OTP.
Dejansko sem zaljubljen v LastPass
Torej ko jaz zahtevam svoja gesla od LastPass mu dam svoj MasterPass + OTP.
Kaj mislite, če je bil sistem res kompromiran ali smo tisti, ki imamo dvojni level avtentikacije kaj bolj varni?
Sam skoraj sumim, da nismo najbolj varni, ker če se prijavim z Android aplikacijo ne rabim OTP torej 99% obstaja nek bypass in tisti ki hoče bo... (to z android sem probal 1x dolgo nazai, ubistvu mam pol v svojem provilu imei telefona)
Je še koga kaj strah :=)
Sploh kdo uporablja to storitev. Mogoče kdo, ki ima tako kot jaz zraven še Yubico key?
Ob 18.00 sem danes prvič užgal browser, sem delal nekaj drugega celotni dan. In presenečeno mi last pass plugin v mozilli zateži naj preverim internet connection.?? Probam 10x NIČ..
Oky gremo na Google. Vpišem "LastPass Server" in samo zadetke zadnjih 24ur.. In viola... Novica, da je sistem najverjetneje heknjen in 500 komentarjov jeznih uporabnikov.
Po dveh urah sem nekako uspel priti do hxxp://lastpass.com/pocket.exe, tolk da sem lahk vsaj gesla dobil ven :=)
Oky tut to mi ni jasno zbral sem nej jih prekopira iz laspass.com - kk sm se lahk prjavil z tem programom z pluginom v mozilli pa negre, niti direktno na strani ne gre... Ok ni važno tak.....
Kot lahko preberemo sumijo, da so bili strežniki kompromirani zato nam priporočajo menjavo glavnega gesla.
Torej imam vprašanje za vse tiste, ki mogoče uporabljate LastPass.
Ker sem le 50% neumen in vem, da hranjenje vseh gesl v oblaku ni ravno najbolj pametno sem si pred dvema letoma dokupil še par Yubico ključev z OTP.
Dejansko sem zaljubljen v LastPass
Torej ko jaz zahtevam svoja gesla od LastPass mu dam svoj MasterPass + OTP.
Kaj mislite, če je bil sistem res kompromiran ali smo tisti, ki imamo dvojni level avtentikacije kaj bolj varni?
Sam skoraj sumim, da nismo najbolj varni, ker če se prijavim z Android aplikacijo ne rabim OTP torej 99% obstaja nek bypass in tisti ki hoče bo... (to z android sem probal 1x dolgo nazai, ubistvu mam pol v svojem provilu imei telefona)
Je še koga kaj strah :=)
Sploh kdo uporablja to storitev. Mogoče kdo, ki ima tako kot jaz zraven še Yubico key?
poweroff ::
Ne poznam storitve, ampak iz opisa razumem, da ti pri njih hraniš svoja gesla?
To je wrong by default. Konec zgodbe. Tega ne uporabljaj. Gesla moraš imeti pod svojo kontrolo. Vse ostalo je fail.
To je wrong by default. Konec zgodbe. Tega ne uporabljaj. Gesla moraš imeti pod svojo kontrolo. Vse ostalo je fail.
sudo poweroff
P3Hi ::
Gesla pod svojo kontrolo ja...
Nič ni lažjega kot napisat program, ki bo iz tvojega računalnika skopiral profilno mapo mozille.
2 sekundi in mam tvoja gesla.. če uporabljaš master password (v mozilli) ga pa bruteforcaš z npr. FireBruter al pa si sam narediš program v 15mintah.
Zaradi tega sem šel na last pass, iskal sem servis, ki hrani gesla nekje drugje ne pri meni.. Vendar sem po mesecu uporabe ugotovil, da ni najbolj pametno saj, če pride malopridneš do mojga master gesla lahko vidi tudi ostala...
torej kupil sem Yubico ključe in imam prijavo z OTP (one time password) iz tega sklepam, da lahko kidoji bruteforcajo kolkr hočjo pa nemorjo nič.. Al pa ni lih tak :) LastPass more met moj (AES seed) da lahk primerja...
Hranjenje gesel je seveda najbolje v svoji glavi amapk nažalost sam menjavam gesla vsak mesec na večini strani in dejansko nevem s čim nej se lotim zadeve v browserjih pač nočem met shranjenih.. Pa ne povsod enaka vedno novo random geslo za vsako stran drugo...
Mogoče si poleti vzamem kakšen mesec in napišem privatni spletni servis v javi al pa aspju, kot je sexy LastPass.
Res ni enga, ki bi zadevo uporabljal in bi mi povedal al smo tisti z masterPass + OTP varni?
Nič ni lažjega kot napisat program, ki bo iz tvojega računalnika skopiral profilno mapo mozille.
2 sekundi in mam tvoja gesla.. če uporabljaš master password (v mozilli) ga pa bruteforcaš z npr. FireBruter al pa si sam narediš program v 15mintah.
Zaradi tega sem šel na last pass, iskal sem servis, ki hrani gesla nekje drugje ne pri meni.. Vendar sem po mesecu uporabe ugotovil, da ni najbolj pametno saj, če pride malopridneš do mojga master gesla lahko vidi tudi ostala...
torej kupil sem Yubico ključe in imam prijavo z OTP (one time password) iz tega sklepam, da lahko kidoji bruteforcajo kolkr hočjo pa nemorjo nič.. Al pa ni lih tak :) LastPass more met moj (AES seed) da lahk primerja...
Hranjenje gesel je seveda najbolje v svoji glavi amapk nažalost sam menjavam gesla vsak mesec na večini strani in dejansko nevem s čim nej se lotim zadeve v browserjih pač nočem met shranjenih.. Pa ne povsod enaka vedno novo random geslo za vsako stran drugo...
Mogoče si poleti vzamem kakšen mesec in napišem privatni spletni servis v javi al pa aspju, kot je sexy LastPass.
Res ni enga, ki bi zadevo uporabljal in bi mi povedal al smo tisti z masterPass + OTP varni?
Zgodovina sprememb…
- spremenil: P3Hi ()
fiction ::
Kaj takega je mogoče lahko začasna rešitev.
Še vedno pa upam, da bodo nekoč passwordi obsolete in bo vsa avtentikacija potekala preko (x509) certifikata / certifikatov. Žal pa ne kaže še kaj preveč v tej smeri. Vse skupaj bom hranil na smartcardu (tako da mi nihče ne more ukrasti private keya) in kadar bom rabil bom pač kartico vtaknil v čitalec. Edino geslo bo potem to za kartico, da si ne bo kdo mogel pomagati z njo v primeru kraje.
Še vedno pa upam, da bodo nekoč passwordi obsolete in bo vsa avtentikacija potekala preko (x509) certifikata / certifikatov. Žal pa ne kaže še kaj preveč v tej smeri. Vse skupaj bom hranil na smartcardu (tako da mi nihče ne more ukrasti private keya) in kadar bom rabil bom pač kartico vtaknil v čitalec. Edino geslo bo potem to za kartico, da si ne bo kdo mogel pomagati z njo v primeru kraje.
fiction ::
OTP je uporaben zato, da lahko nekdo posniffa geslo pa ga vseeno naslednjič ne more uporabiti. Kar se tiče bruteforcanja nič ne pomaga.
Sicer ne poznam, ampak po temle mi Yubikey ni kaj preveč všeč.
Ok, gre za navidezno tipkovnico, ki ob pritisku na tipko izpljune ASCII encoded <secret + counter> šifriran z AES. To je precej nekonvencionalna implementacija OTP. Ponavadi se uporablja hash chain in je točno določeno zaporedje passwordov (ki jih npr. lahko napišeš tudi na listek) ali pa zelo sinhronizirana ura (npr. SecureID). Pa spet je v igri trusted 3rd party webservice, ki reče "ok" ali pa "ni ok", kar je tudi slaba stran.
Kar se tiče varnosti težko kaj rečem, razlika je najbrž v "backward securityu". Npr. da nekdo ugotovi AES key. Potem lahko dešifrira eno staro geslo in enostavno zgradi novega. Pri drugih variantah si s starim enkratnim geslom ne bi mogel čisto nič pomagati. Pa če se uporablja AES je treba malo gledati na velikost bloka. Če bi npr. <secret> bil svoj blok in <counter> svoj, geslo kar na enkrat ne bi bilo več tako enkratno.
Sicer ne poznam, ampak po temle mi Yubikey ni kaj preveč všeč.
Ok, gre za navidezno tipkovnico, ki ob pritisku na tipko izpljune ASCII encoded <secret + counter> šifriran z AES. To je precej nekonvencionalna implementacija OTP. Ponavadi se uporablja hash chain in je točno določeno zaporedje passwordov (ki jih npr. lahko napišeš tudi na listek) ali pa zelo sinhronizirana ura (npr. SecureID). Pa spet je v igri trusted 3rd party webservice, ki reče "ok" ali pa "ni ok", kar je tudi slaba stran.
Kar se tiče varnosti težko kaj rečem, razlika je najbrž v "backward securityu". Npr. da nekdo ugotovi AES key. Potem lahko dešifrira eno staro geslo in enostavno zgradi novega. Pri drugih variantah si s starim enkratnim geslom ne bi mogel čisto nič pomagati. Pa če se uporablja AES je treba malo gledati na velikost bloka. Če bi npr. <secret> bil svoj blok in <counter> svoj, geslo kar na enkrat ne bi bilo več tako enkratno.
fiction ::
Če je bil sistem, kjer so shranjena gesla ownan, si v vsakem primeru pečen, ne glede na to kakšno avtentikacijo si uporabljal za dostop. Yubico je, kolikor razumem, zunanja storitev, ki jo je LastPass samo poklical. Ne vpliva pa to na način kako so gesla shranjena. Recimo da so šifrirana in je ključ tvoj masterkey. Še vedno bi lahko napadalec posniffal masterkey, ki si ga poslal sistemu. Karkoli drugega pa itak predpostavlja, da je key pri njih nekje hardcodan, saj morajo delati dvosmerno (enkripcija in dekripcija).
P3Hi ::
@Fiction
Hvala za koristne linke in nasvete :=)
Torej sreča, da imam nekaj zapakiranih ključev :=)
Bom stare odstranil iz profila, ko bo ponovno dostopen pa nove dodal...
73
Hvala za koristne linke in nasvete :=)
Torej sreča, da imam nekaj zapakiranih ključev :=)
Bom stare odstranil iz profila, ko bo ponovno dostopen pa nove dodal...
73
eVro ::
Dropbox + KeePass > LastPass
Pridobis dvojno AES enkripcijo (KeePass ima res dobro implementacijo, ne vem kako je z LastPass), kriptiran prenos, lokalni kriptiran backup (si pravkar videl zakaj). Pa se open source je, ce zamenjas dropbox s cim OS, npr. Ubuntu One (tudi za Win je).
Pridobis dvojno AES enkripcijo (KeePass ima res dobro implementacijo, ne vem kako je z LastPass), kriptiran prenos, lokalni kriptiran backup (si pravkar videl zakaj). Pa se open source je, ce zamenjas dropbox s cim OS, npr. Ubuntu One (tudi za Win je).
poweroff ::
Tle je en osnovni problem. Tradicionalni security model je bil avtentikacija, avtorizacija, dostopnost, avtentičnost.
Ta modej je zastarel - potrebno je dodati še varnost terminalnih naprav. Skratka povedano drugače. Če ti uporabljaš Keepass na javnem računalniku opremljenem s keyloggerjem, je to resen security fail. Treba je zagovoviti ne samo varno hrambo gesel, pač pa da so vnešena tudi na varni terminalni opremi.
Posledice te varnostne impliakcije pa so dosti resne - saj to štekamo, ane?
Ta modej je zastarel - potrebno je dodati še varnost terminalnih naprav. Skratka povedano drugače. Če ti uporabljaš Keepass na javnem računalniku opremljenem s keyloggerjem, je to resen security fail. Treba je zagovoviti ne samo varno hrambo gesel, pač pa da so vnešena tudi na varni terminalni opremi.
Posledice te varnostne impliakcije pa so dosti resne - saj to štekamo, ane?
sudo poweroff
Major ::
Intervju z njihovim CEOjem (Joe Siegrist). Če imaš dober master password, ni bojazni.
IT Developer & Photography enthusiast.
bluefish ::
Gesla pod svojo kontrolo ja...Seveda pod pogojem, da sploh dobiš dostop do računalnika.
Nič ni lažjega kot napisat program, ki bo iz tvojega računalnika skopiral profilno mapo mozille.
2 sekundi in mam tvoja gesla.. če uporabljaš master password (v mozilli) ga pa bruteforcaš z npr. FireBruter al pa si sam narediš program v 15mintah.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Passwordi me ubijajo! (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 47928 (34347) | Pero_SLO |
» | LastPass odslej omogoča brezplačno sinhronizacijo med napravamiOddelek: Novice / Varnost | 9209 (6405) | PARTyZAN |
» | Preveč gesel in drugih podatkovOddelek: Pomoč in nasveti | 2892 (2104) | čuhalev |
» | Sum vdora v LastPass povzročil množično menjavo geselOddelek: Novice / Varnost | 14817 (13716) | poweroff |
» | Analiza pobeglih gesel: še vedno nič novegaOddelek: Novice / Varnost | 7134 (6434) | MrStein |