Bu büyük şifre yöneticisi istismarı asla düzeltilemeyebilir

Çoğunlukla LastPass için olsa da, şifre yöneticileri için kötü bir kaç ay oldu. Ancak LastPass'ın açığa çıkmasından sonra büyük bir ihlal yaşadı, dikkatler artık açık kaynak yöneticisi KeePass'a çevriliyor.

İçindekiler

  • Düzeltilmeyecek
  • Ne yapabilirsin?

Yeni bir güvenlik açığının, bilgisayar korsanlarının bir kullanıcının şifre veritabanının tamamını şifrelenmemiş düz metin halinde gizlice çalmasına olanak tanıdığı yönünde suçlamalar havada uçuşuyor. Bu inanılmaz derecede ciddi bir iddia ancak KeePass geliştiricileri buna karşı çıkıyor.

Güvenlik ihlali ihlali uyarısını gösteren büyük bir monitör.
Stok Deposu/Getty Images

KeePass açık kaynaklıdır şifre yöneticisi rakip teklifler gibi içeriğini bulutta saklamak yerine kullanıcının cihazında saklayan. Ancak diğer birçok uygulama gibi şifre kasası da bir ana şifreyle korunabilir.

İlgili

  • Bu utanç verici şifreler ünlülerin hacklenmesine neden oldu
  • Google, bu hayati önem taşıyan Gmail güvenlik aracını tamamen ücretsiz hale getirdi
  • NordPass, zayıf şifrelerinizi ortadan kaldırmak için şifre anahtarı desteği ekler

Güvenlik açığı şu şekilde günlüğe kaydedildi: CVE-2023-24055, bir kullanıcının sistemine yazma erişimi olan herkes tarafından kullanılabilir. Bu elde edildikten sonra, bir tehdit aktörü KeePass'ın XML yapılandırma dosyasına aşağıdaki komutları ekleyebilir: uygulamanın veritabanını (tüm kullanıcı adları ve şifreler dahil) otomatik olarak şifrelenmemiş bir dosyaya aktarın düz metin dosyası.

Önerilen Videolar

XML dosyasında yapılan değişiklikler sayesinde tüm işlemler arka planda otomatik olarak gerçekleştirilir, böylece kullanıcılar veritabanlarının dışa aktarıldığı konusunda uyarılmaz. Tehdit aktörü daha sonra dışa aktarılan veritabanını kontrol ettiği bir bilgisayara veya sunucuya çıkarabilir.

Düzeltilmeyecek

Bir bilgisayar korsanının kod kullanarak bir sisteme girmesinin tasviri.
Getty Images

Ancak KeePass geliştiricileri, sürecin bir güvenlik açığı olarak sınıflandırılmasına itiraz etti; Bir cihaza yazma erişimi olan kişiler farklı (bazen daha basit) yöntemler kullanarak şifre veritabanına erişebilirler. yöntemler.

Başka bir deyişle, birisi cihazınıza eriştiğinde bu tür XML istismarına gerek kalmaz. Saldırganlar örneğin ana şifreyi almak için bir keylogger kurabilirler. Buradaki mantık, bu tür bir saldırı konusunda endişelenmenin, at kaçtıktan sonra kapıyı kapatmaya benzemesidir. Bir saldırganın bilgisayarınıza erişimi varsa XML istismarını düzeltmek yardımcı olmaz.

Geliştiricilere göre çözüm, "ortamı güvenli tutmak (bir anti-virüs yazılımı, güvenlik duvarı kullanarak, bilinmeyen e-posta eklerini açmamak vb. yoluyla). KeePass, güvensiz bir ortamda sihirli bir şekilde güvenli bir şekilde çalışamaz."

Ne yapabilirsin?

şifre yöneticisi yaşam tarzı görseli

KeePass'ın geliştiricileri sorunu çözmeye isteksiz görünse de kendi başınıza atabileceğiniz adımlar var. Yapılacak en iyi şey bir ortam oluşturmaktır. zorunlu yapılandırma dosyası. Bu, diğer yapılandırma dosyalarına göre öncelikli olacak ve dış güçler tarafından yapılan kötü amaçlı değişiklikleri (veritabanı dışa aktarma güvenlik açığında kullanılanlar gibi) azaltacaktır.

Ayrıca normal kullanıcıların, içerdiği önemli dosya veya klasörlere yazma erişimi olmadığından da emin olmanız gerekir. KeePass dizininde olduğunu ve hem KeePass .exe dosyasının hem de zorunlu yapılandırma dosyasının aynı olduğunu dosya.

Ve eğer KeePass'ı kullanmaya devam etmekte kendinizi rahat hissetmiyorsanız, başka pek çok seçenek de var. Şunlardan birine geçmeyi deneyin: en iyi şifre yöneticileri Oturum açma bilgilerinizi ve kredi kartı bilgilerinizi her zamankinden daha güvenli tutmak için.

Bu şüphesiz şifre yöneticileri dünyası için daha da kötü bir haber olsa da, bu uygulamalar yine de kullanılmaya değer. Oluşturmanıza yardımcı olabilirler güçlü, benzersiz şifreler tüm cihazlarınızda şifrelenir. Bu bundan çok daha güvenli her hesap için “123456” kullanılıyor.

Editörlerin Önerileri

  • Bu kritik istismar, bilgisayar korsanlarının Mac'inizin savunmasını aşmasına olanak sağlayabilir
  • Bilgisayar korsanları başka bir şifre yöneticisinin ana anahtarını çalmış olabilir
  • Hayır, 1Password saldırıya uğramadı; işte gerçekte olanlar
  • Bu ücretsiz şifre yöneticisini kullanırsanız şifreleriniz risk altında olabilir
  • LastPass nasıl saldırıya uğradığını açıklıyor – ve bu iyi bir haber değil

Yaşam tarzınızı yükseltinDigital Trends, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği olan ön bakışlarla okuyucuların teknolojinin hızlı tempolu dünyasını takip etmelerine yardımcı olur.