» »

Sum vdora v LastPass povzročil množično menjavo gesel

Slashdot - Na spletnih straneh LastPass, kjer ponujajo shranjevanje gesel za dostop do različnih strani na enem mestu z enim glavnim geslom, so objavili opozorilo svojim uporabnikom, da naj zaradi suma vdora v LastPass in odtujitve gesel takoj zamenjajo svoje glavno geslo. V torek so opazili anomalijo v omrežnem prometu, zaradi katere so začeli preiskavo. Ta je odkrila, da obstoji možnost, da je bilo nekaj uporabniških podatkov iz oblaka odtujenih. Ker obseg anomalij oziroma suma napada ni znan, predvidevajo najhuje.

LastPass nudi storitev, za uporabo katere je potrebno namestiti vtičnik LastPass Password Manager, dosegljiv za vse priljubljene brskalnike. Ta omogoča lokalno shranitev vseh gesel, tako da mora uporabnik poznati le eno glavno geslo. Vsa gesla se lokalno tudi šifrirajo in sinhronizirajo v oblak, da je do njih moč dostopiti tudi drugod.

Kateri podatki so bili domnevno odtujeni, ni znano. Analiza izhodnega prometa je pokazala, da je bil ta zadosti velik, da bi lahko šlo za elektronske naslove uporabnikov, sol na strežniku in zgoščene vrednosti gesel iz podatkovne baze. S temi podatki je mogoče učinkoviteje izvesti napad s slovarjem na glavno geslo, zato je LastPass od vseh uporabnikov zahteval zamenjavo le-teh. Hkrati so začeli tudi dolgo načrtovano nadgradnjo sistema, saj bodo odslej uporabljali PBKDF2 s SHA-256 na strežnikih.

Kasneje se je LastPassu po lastni zaslugi primerila še ena nevšečnost. Naval ljudi, ki so zamenjevali svoja gesla, je bil tako velik, da je stran pokleknila pod obremenitvijo. Zato so uvedli nekaj ukrepov, ki odlagajo nujnost takojšnje spremembe gesel - med njimi verifikacijo elektronskega naslova z enega IP-naslova in omejitev prijave na ta IP in uporabo storitve v načinu off-line.

30 komentarjev

Good Guy ::

tale je pa res bosa....


vsa gesla da bi mel nekje na netu:))

Matthai ::

So tudi taki ljudje, ja: LastPass (potencialno) napaden.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

dbevfat ::

zakaj pa ne, če so dobro zakriptirana?
nvr2fat

Keyser Soze ::

dbevfat je izjavil:

zakaj pa ne, če so dobro zakriptirana?

To je res. Vendar je še bolje če jih imaš na enem USB ključu, ki je konkretno zakriptiran.

Če ne drugega, bodo uporabniki vsaj malo zamenjali svoja gesla. Dobro vemo, da v praksi malokdo redno cikla svoja gesla, kot je to priporočeno.
OM, F, G!

dbevfat ::

Na USB ključku so gesla le na pol uporabna, ker potrebuješ računalnik, da prideš do njih. Na telefonu je že bolje, ampak niso varna pred izgubo podatkov. Gesla na netu te rešijo teh težav, pa še lepo imaš dostop tudi z domačega računalnika in spremembe se vidijo takoj povsod, česar pri uporabi namenskih lokalnih programov ne dobiš. In če gesla gledaš le s telefonom, ko dostopaš preko javnih terminalov, ti tudi keyloggerji ne morejo nič. Pač, ali Dropbox+KeePass, ali pa neka storitev, ki je še manj zahtevna za uporabnika. Pri pogoju, da so gesla dobro zakriptirana (ne z nečim, kar bo čez 3 leta le še stvar 10 sekund procesorskega časa), ne vidim slabosti za rabo običajnih smrtnikov.
nvr2fat

FireSnake ::

Good Guy je izjavil:

tale je pa res bosa....


vsa gesla da bi mel nekje na netu:))


Se popolnoma strinjam ....

dbevfat je izjavil:

pa še lepo imaš dostop tudi z domačega računalnika in spremembe se vidijo takoj povsod

In tudi drugi lahko vidijo te spremembe ... če gre kaj po zlu :))

Geslo mora biti v glavi. Vse drugo je varnostno kritično.
" In The Sound Of Silence Time Is Standing Still" " You Have To Learn To Crawl Before You Learn To Walk"

DMouse ::

FireSnake je izjavil:

Geslo mora biti v glavi. Vse drugo je varnostno kritično.


Geslo v ednini? A to pomeni da maš za vse storitve enako geslo? Mislim da tvojega nasveta ne bom upošteval... >:D

dbevfat ::

FireSnake je izjavil:

Geslo mora biti v glavi. Vse drugo je varnostno kritično.

Uporabljam več 10 (50, 100?) gesel, od katerih jih kakih 10-20 pomembnejših redno rotiram. Tveganje, da nekdo pride do enkriptanih gesel in da magično izve master password iz moje glave, odtehta tveganje, da kakšnega pomembnega pozabim v neprimernem trenutku.
nvr2fat

maddog ::

keepass+dropbox ftw

P3Hi ::

Matthai je izjavil:

So tudi taki ljudje, ja: LastPass (potencialno) napaden.


Seveda smo :=) Ampak sam sem primoran uporabljati takšno storitev. Lokalni password managerji mi niso ušeč + uporabljam Yubico OTP, ki ima še dodatno funkcijo statičnega gesla tak da mam notr še 20 mestno geslo, ki je master password. Yubico Keya pa simple keylogerji pač neznajo snifat...

Torej odprem browser.
a) prtisnem ključ za 4 sekunde da vnese dolgo statično geslo
b) prtisnem še 1x za 1 sekundo in vnese One Time Password in sem loginan

Sedaj samo odprem zavihke in me samo po logina brez da uporabljam tipkovnco
1. Všeč mi je auto login funkcija. (če odprem 30 kitajskih strani hkrati se mi samo po logina in opravim par nakupov.
2. Všeč mi je, da nemoreno uporabljam sistem na vseh pcjih + adnroid telefonih (dolphin browser)

3. Kaj potem priporočate?
- more met auto login, ker res nimam 10 minut časa da vnesem vse username + passe..
- nemoteno delam na ktrimu koli pcju, osju
- more met OTP z YubicoKljuči!

Kak za hudiča nej skrbim za svojih par 100 različnih gesel, ki se redno menjavajo na drugačen način?

Drugače pa LastPass je že porihtal zadeve jaz sem se danes ponovno lahko prijavil z svoijim geslom + OTP. In niti nisem dobil requesta, da naj menjam geslo. Očitno za Yubico in nas Premium userje ni panike, ker ostali so dobivali maile in se sploh niso mogli loginat dokler niso zbrisali računa in odprli novega.

Sedaj samo še zamenjam master geslo + registriram svež OTP ključ.
Govorite kar hočete jaz bom LastPass uporabljal še naprej vi pa hranite svoja gesla po pcjih, če tako želite. Tisti ki jih v glavi pa imate očitno par enostavnih gesel, ki jih ne menjavate!

benji ::

Mi na kraj pameti ne pade,da bi nekje na spletu hranil kakršne koli kluče.
MB Gigabyte 970A-DS3P/FX AMD FX 6350 @ 4100MHz RAM:16 GB 1600Mhz/
Sapphire R9 390 8GB Logitech G27 Oculus Rift DK2
http://slovirtualracing.wix.com/slovirtualracing

GupeM ::

Lepo da so povedali. Čisto nasprotje Sony-ja.

P3Hi ::

@benji: se bom zadržal

Še vedno sem prepričan, da sem bolj varen, če imam vsak mesec novo naključno geslo za vsako stran. Do njega lahk pridejo LastPassovci, če bi hotli (verjetno, čeprav trdijo da ne!). Ok lahko tudi "zelo dobri računalniški hekerji", kot se je tudi zgodilo. Upajmo, da niso pridobili načina, ki bi jim omogočal dostop še par let.. vse je možno(.LNK exploit?)... Kaj pa, če maš na pcju in se okužiš z svežim never published exploitom in ti prekopoirajo bazo iz mozile/chroma/opere/explorerja)..... trucry..
Ko sem za tujim pcju vtaknem YubicoKey v USB in noben Keylogger nemore posnifat master gesla in OTPja (?).. Ok nevem, kaj se zgodi, če je na pcju kak malo bolj zanimiv škodljiv programček, ki recimo sniffa internetni promet.. last pass plugin/client verjetno skriptira komunikacijo (mogu bi jo ane :=), ampak core člani v parih minutah skrekajo kodo in spet...)...

Kakorkoli, ko maš enkrat preveč strani(200+) na katerih so različna gesla je potrebno imeti nek organizator(js ga rabim) .. Na LastPass zato, ker se mi je zdel primernejši od konkurence..

S časom sem prišel do delnega zaključka, da večino strani uporabljam samo na svojih pcjih zato razmišljam o neki aplikaciji, ki deluje lokalno(mogoče usb ključ ali pa kak tak kot je za certifikate......). Ampak saj vsi vemo, da nikoli neveš, kaj vse so programerji napisali v aplikaciji.. Tudi neka KeePass varjanta lahko čisto nevidno z kakim ring0 pripomočkom/driverjem skrije komunikacijo, ki jo merebiti vzpostavlja navzven(al pa kak nadebudni "programer/hacker" najde remote exploit =)).

Glede novice pa, kot sem že omenil mislim, da je zadeva urejena, saj lahko od danes popoldan nemoteno uporabljam storitve LastPass.

Sem premium naročnik (12$ letno)
Uporabljam YubicoKey za dodatno zaščito, po resnici povedano nevem česa/kaj, upam da način hranjenja podatkov na serverjih :=) (morem prebrat link ki ga je dal fiction v temi v forumu)

@GupeM
Res je povedali so, ker so sumili, da je prišlo do vdora. Sam še vedno mislim, da je do vdora prišlo! Bral sem nekje na internetu, da je eden par ur po tem pogrešal 160€ iz kreditne kartice :=) Verjetno je imel lahko geslo za katerga so že meli zračunan hash...

EDIT!
Aja YubicoKjluči so uporabni tudi za kaj drugega enostavno se jih preprogramira in uporabi v lastni naprimer .net aplikaciji :D
lp,off!

Zgodovina sprememb…

  • spremenil: P3Hi ()

MrStein ::

Keyser Soze je izjavil:

dbevfat je izjavil:

zakaj pa ne, če so dobro zakriptirana?

To je res. Vendar je še bolje če jih imaš na enem USB ključu, ki je konkretno zakriptiran.

Če ne drugega, bodo uporabniki vsaj malo zamenjali svoja gesla. Dobro vemo, da v praksi malokdo redno cikla svoja gesla, kot je to priporočeno.

Kdo pa bo ciklal 50 gesel in obdržal nadzor?

Dokler za vsak pisoar rabiš lasten PIN/geslo/handshake, bo tak.
Teštiram če delaž - umlaut dela: ä ?

krho ::

Ko sem za tujim pcju vtaknem YubicoKey v USB in noben Keylogger nemore posnifat master gesla in OTPja

Kako ne, če se ključek predstavi kot klinčeva tipkovnica?
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

FireSnake ::

DMouse je izjavil:

FireSnake je izjavil:

Geslo mora biti v glavi. Vse drugo je varnostno kritično.


Geslo v ednini? A to pomeni da maš za vse storitve enako geslo? Mislim da tvojega nasveta ne bom upošteval... >:D


Mislil sem množino :D

Jaz jih vem vse na pamet ... jih je pa kakih 6. Za nepomembne zadeve so vsi isti.

P3Hi je izjavil:

@benji: se bom zadržal

Še vedno sem prepričan, da sem bolj varen, če imam vsak mesec novo naključno geslo za vsako stran. Do njega lahk pridejo LastPassovci, če bi hotli (verjetno, čeprav trdijo da ne!). Ok lahko tudi "zelo dobri računalniški hekerji", kot se je tudi zgodilo. Upajmo, da niso pridobili načina, ki bi jim omogočal dostop še par let.. vse je možno(.LNK exploit?)... Kaj pa, če maš na pcju in se okužiš z svežim never published exploitom in ti prekopoirajo bazo iz mozile/chroma/opere/explorerja)..... trucry..
Ko sem za tujim pcju vtaknem YubicoKey v USB in noben Keylogger nemore posnifat master gesla in OTPja (?).. Ok nevem, kaj se zgodi, če je na pcju kak malo bolj zanimiv škodljiv programček, ki recimo sniffa internetni promet.. last pass plugin/client verjetno skriptira komunikacijo (mogu bi jo ane :=), ampak core člani v parih minutah skrekajo kodo in spet...)...

Kakorkoli, ko maš enkrat preveč strani(200+) na katerih so različna gesla je potrebno imeti nek organizator(js ga rabim) .. Na LastPass zato, ker se mi je zdel primernejši od konkurence..

S časom sem prišel do delnega zaključka, da večino strani uporabljam samo na svojih pcjih zato razmišljam o neki aplikaciji, ki deluje lokalno(mogoče usb ključ ali pa kak tak kot je za certifikate......). Ampak saj vsi vemo, da nikoli neveš, kaj vse so programerji napisali v aplikaciji.. Tudi neka KeePass varjanta lahko čisto nevidno z kakim ring0 pripomočkom/driverjem skrije komunikacijo, ki jo merebiti vzpostavlja navzven(al pa kak nadebudni "programer/hacker" najde remote exploit =)).

Glede novice pa, kot sem že omenil mislim, da je zadeva urejena, saj lahko od danes popoldan nemoteno uporabljam storitve LastPass.

Sem premium naročnik (12$ letno)
Uporabljam YubicoKey za dodatno zaščito, po resnici povedano nevem česa/kaj, upam da način hranjenja podatkov na serverjih :=) (morem prebrat link ki ga je dal fiction v temi v forumu)

@GupeM
Res je povedali so, ker so sumili, da je prišlo do vdora. Sam še vedno mislim, da je do vdora prišlo! Bral sem nekje na internetu, da je eden par ur po tem pogrešal 160€ iz kreditne kartice :=) Verjetno je imel lahko geslo za katerga so že meli zračunan hash...

EDIT!
Aja YubicoKjluči so uporabni tudi za kaj drugega enostavno se jih preprogramira in uporabi v lastni naprimer .net aplikaciji :D
lp,off!



1) 200 strani? Get a life! Če ni to služba, potem se malo zamisli :D

2) Bi si upal trditi, da je geslo, ki je samo v tvoji glavi bolj varno, kot pa menjati geslo vsak mesec in ga imeti shranjenega nekje na netu. Pač ne zaupam nikomur in je to moje subjektivno mnenje.
" In The Sound Of Silence Time Is Standing Still" " You Have To Learn To Crawl Before You Learn To Walk"

Zgodovina sprememb…

fiction ::

krho je izjavil:

Ko sem za tujim pcju vtaknem YubicoKey v USB in noben Keylogger nemore posnifat master gesla in OTPja

Kako ne, če se ključek predstavi kot klinčeva tipkovnica?
Ker zgenerira ta tipkovnica enkratno geslo, ki tudi če ga kdo posniffa naslednjič ni več veljavno. Ob vsakem pritisku na tipko stvar izpljune nov pass. Do tukaj je vse skupaj kul, problem je edino neka custom implementacija OTP-ja kot sem že povedal v temi na forumu. Sicer se uporabljajo standardni algoritmi, ampak na precej čuden način in pri kriptografiji je ponavadi nek svoj izzum nevaren, kljub temu da se ti tega ne zavedaš.

Ok, kolikor sem jaz razumel stvar:
- LastPass pravi naš IDS je zaznal čuden promet, ki pa ga ni bilo veliko
- potencialno je lahko kakšen hash master passworda odtujen in zlobneži tako lahko offline bruteforcajo gesla

Samo kaj pa to: če je imel napadalec dostop do sistema je lahko v principu kot MITM prestregal master passworde? LastPass mora imeti nekje shranjene passworde od uporabnikov v taki obliki, da lahko po potrebi uporabniku da njegov clear-text password. Torej bi lahko kdo skopiral tudi to.

fiction ::

Passwordi sigurno niso mogli biti shranjeni kot one-way hash, ker je moral LastPass userju dostaviti plain-text password npr. za autocomplete password fielda _pri userju_. Komunikacija je res da lahko potekala šifrirano, ampak če je njihov sistem (ali pa uporabnikov sistem) kompromitiran to praktično nič ne pomaga. Zagotovi samo, da na poti nobeden ni mogel do passworda. Kako da nobeden ni omenil te možnosti?!

Kako lahko trdijo, da je odteklo samo malo podatkov? Kaj pa če so napadalci potem stvari le bolj spretno skrili v nedolžne pakete?

Zdaj je LastPass stvar nekako izrabil v stilu bil je vdor, ampak ni nobene panike, pri nas je vse safe in s tem naredil še reklamo.

Že to, da je sploh prišlo do vdora je alarmanto, downplaying v stilu da ni nič narobe pri tem, da nimajo pojma kaj točno se je dogajalo je pa še hujši. Mogoče je zdaj samo celo njihovo omrežje ownano in niti ne vidijo več "odtekanja podatkov".

Major ::

Tole si popolnoma narobe predstavljaš. https://lastpass.com/support.php?cmd=sh...
IT Developer & Photography enthusiast.

fiction ::

My bad, priznam. Encryption in decryption se očitno dogaja pri clientu.
AES is implemented in JavaScript
Uf.

Your key is created by taking a SHA-256 hash of your password. When you login, we make a hash of your username concatenated with your password, and that hash is what's sent to verify if you can download your encrypted data
Mi kdo lahko še tole dešifrira prosim. Kaj točno oni hranijo in kaj client pošlje da dobi AES encryptana gesla?
Ti pošlješ username in hash(password) oni imajo pa v bazi hash(username + hash(password)) ?

Zgodovina sprememb…

  • spremenil: fiction ()

Major ::

Treba si bo malce prebrat kako deluje enkripcija.

Odgovor na tvoje vprašanje: Ti pošlješ njim salted hash (ki je rezultat SHA-256 algoritma tvojega emaila + master passworda). Preverijo, če se ujema s hashem, ki ga imajo zapisanega v bazi. Nato ti vrnejo kriptiran blob (AES 256), ki vsebuje tvoja gesla. Ta blob ti lokalno dekriptiraš (odpreš ga s ključem, ki je salted hash (SHA-256) + tvoj master password), da dobiš uporabniška imena in gesla za posamezne strani - autofill.

Zato sem že večkrat povedal, da novica ni skrb vzbujajoča, če imaš dober master password. Tudi, če so nepridipravi dobili tvoj hash in blob, si z njim ne morejo pomagati še nadaljnih 100 let brute forcanja.
IT Developer & Photography enthusiast.

Zgodovina sprememb…

  • spremenil: Major ()

Matthai ::

BTW, kako pa veš, da JavaScript ne vsebuje backdoora, ki jim ne pošlje tvojega gesla (ali nepridipravom, če so injectali svojo kodo notri)?

Ha?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

element ::

Ne dostopaš preko njihove spletne strani, ki je najverjetneša točka zlorabe. IE in firefox plugina uporabljata C++ AES implementacijo.

Vsekakor je najboljš imet vsa gesla v glavi, ampak danes to ni niti najmanj pripravno. Če pametno uporabljaš storitev je tveganje minimalno. Manjše kot pri nekaj generičnih geslih, ki jih uporabljaš potem na vseh 100 straneh, kjer si prijavljen.

Matthai ::

element je izjavil:

IE in firefox plugina uporabljata C++ AES implementacijo.

Hmm, kaj pa "posodobitve" pluginov?

Ali pa injectanje kakšne zlonamerne kode, ki ugrabi brskalnik?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

element ::

Lej, sej smo lahko paranoiki pa gremo živet pod skalo. Kaj pa keyloggerji? Kaj pa če ti fizično en čez okno skoči pa kišto odnese, takrat ko si še prijavljen?

Tveganje, ki sem ga pripravljen sprejet, ker mam za varnost dobro poskrbljeno (cost/benefit).

Kako si v primerih, ki jih naštevaš, z LastPassom na slabšem, kot če uporabljaš firefox password manager, ki shranjuje gesla v plaintextu ali katerokoli drugo rešitev?

Matthai ::

Kaj si na boljšem?
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Major ::

Da imaš sync med vsemi brskalniki, ki jih uporabljaš? Da imaš za vse strani naključno generirano geslo (kjer je nevarnost itak največja)? Da je autofill daleč najpametnejši med vsemi brskalniki? Bo dovolj?
IT Developer & Photography enthusiast.

Matthai ::

Saj pravim - varnost terminalnih naprav. Več brskalnikov, heh.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

element ::

Ja, ampak žal varnostnega modela ne bomo nadgradili v bližnji prihodnosti, zato pa poskušiš v danih okvirih zagotovit kar najvišjo varnost.

Matthai ::

Kako ga ne bomo? Smo ga že. Če pa folk noče sprejeti novih spoznanj - naj se pa čudi od kje ranljivosti...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
304018 (2917) Matthai
»

LastPass (potencialno) napaden.

Oddelek: Informacijska varnost
10961 (733) bluefish
»

Firefox 4 izšel (strani: 1 2 3 4 5 )

Oddelek: Novice / Brskalniki
23523963 (13128) opeter
»

gmail up.ime

Oddelek: Pomoč in nasveti
8827 (526) ann
»

Analiza pobeglih gesel: še vedno nič novega

Oddelek: Novice / Varnost
172929 (2229) MrStein

Več podobnih tem