Специалисти по сигурност с остра критика към LastPass
Само в границите на четири месеца компанията зад известния онлайн управител на пароли LastPass уведоми за произшествия със сигурността три пъти. И всякога компанията като че ли не споделяше всичко за следващия пробив. Сега това беше подложено на рецензия от експерти по киберсигурност. Но това евентуално ще е единствено началото на задаващи се огромни проблеми за компанията.
В края на август LastPass за сполучлива офанзива към мрежата им, при която са откраднати класифицирани механически данни, измежду които и първоначален код на главната стратегия. Беше допълнено, че потребителска информация не е открадната. Това беше и първия случай, в който очевидно от LastPass задържат информация, а случаят несъмнено не може да бъде подминат: в случай че компания, доставяща сигурност бъде компрометирана, то тази сигурност би трябвало да бъде сложена под въпрос. Не мина доста време и при започване на този месец LastPass сигнализираха за втори случай. Този път вектор на офанзивата е била партньорска компания на LastPass и споделено с тях облачно вместилище. Този път изпълнителният шеф на компанията Карим Туба призна, че „ избрани детайли от потребителската информация “ са били достигнати. За да стигнем до известието от 22-ри този месец и разкритието, че е потребителска информация – метаданни и „ трезорите “ на ползващите мениджъра за пароли. LastPass увериха, че въпреки и да са откраднати трезорите, то няма метод те да бъдат разрушени, заради употребяваната от LastPass криптографска отбрана и това, че те нямат достъп до основните пароли за трезорите – отключването и заключването на трезорите се прави локално на потребителските устройства. Но дори и това, което те нарекоха метаданни съставлява задоволително информация за всеки ловък хакер да провежда лъжлив акции. А чувството за нещо премълчано продължи да се усеща и в последната обява на Тубба.
Владимир Палант, разработчик по сигурността и основател на AdBlock Plus отива и по-далеч в рецензията си към LastPass. Цитиран от, Палант дефинира обявата на Тубба от 22-ри декември за „ цялостна с пропуски, полуистини и откровени неистини “. Той е неудовлетворен цялостния метод на показване на обстановката, като се стартира от изказванието, че разкриват следващия случай, като знак на отдадеността им към бистрота по отношение на потребителите – те са задължени по закон, до това, че разказват този случай, като нещо, което няма връзка с пробива от това лято.
„ LastPass се пробват да показват случая от август 2022 и приключването на информация, като две обособени събития. Но употребявайки данните, добити при първичния достъп за достигането до повече активи съставлява типична техника, употребена от хакерите. Нарича се последователно напредване (lateral movement). Палант е уверен, че това, което вършат е да трансферират виновността на трета страна, а обстоятелството, че са съхранявали IP адресите на потребителите съставлява съответна опасност хакерите да основат цялостен профил на даден консуматор. Огромен пропуск в сигурността съставлява също това, че не са криптирани имената на интернет адресите, употребявани от потребителите. Палант се съмнява също по този начин в уверението им, че не пазят основни пароли на потребителите си, тъй като те биха могли – когато да вземем за пример се вписвате в уеб страницата им с основната си ключова дума. Той подозира също тъй че компанията се приготвя със известието да трансферира част от виновността или цялата виновност на потребителите. Става дума за обяснението, че в случай че са спазили рекомендациите за дължина на паролите, те са в сигурност. Но както твърди самия Палант, давайки образец със личната си тестова регистрация в LastPass отпреди няколко години, неговата ключова дума не съблюдава тези условия и на никое място не е видял предизвестие за това. Последно той посвещава специфична секция на различен значим миг, с който LastPass може да улеснят хакерите при разтрошаване на трезорите – заложеният авансово брой итерации, нужни за съпоставяне към хеш бази. Според него заложеният по дифолт от LastPass е надалеч от стандарта в промишлеността, а от време на време това число е доста по-малко.
Остро сериозен също е изпълнителният шеф на 1Password Джефри Голдбърг, който е на мнение, че изказванието на Тубба, че би лишило милиони години на хакерите да разбият паролата ви е прекомерно подвеждащо. Причината за това негово изказване се крие в човешката природа.
„ Това изказване за „ милиони години “ наподобява разчита на схващането, че 12-символната ключова дума на междинния LastPass консуматор е генерирана посредством изцяло инцидентен развой. Паролите, основани от хората дори не се приближават до това условие. Както дублирам повече от десетилетие, хората не могат да основават пароли с високи равнища на ентропия. Наглед съобразителни схеми за основаване на пароли със примес от букви, числа и знаци повече вреди, в сравнение с да оказва помощ “, написа той. Но, както привеждат и от The Verge, Голдбърг е създател на съперник на LastPass и в тази ситуация обявата му може да е леко тенденциозна.
И за последно, най-остра рецензия насочва различен експерт по сигурността – Джеръми Госни. Той също упреква LastPass, че подвеждат своите консуматори и не им споделят цялата истина. Като да вземем за пример това, че трезорите не са някакъв тип криптирани файлове, чието наличие е недостъпно напълно за периферия, а съставлява файл във формат на открит текст, в който едвам няколко полета са криптирани. Използваните криптографски способи са слаби и уязвими на офанзива, самата стратегия съхранява по небезопасен метод в системата сензитивната информация, а браузърното уголемение е цялостно с дупки, за които е ставало известно в последните години. Госни напомня, че компанията претърпява седем пробива в мрежата си за последните 10 години. Освен това, показва той, LastPass неведнъж в историята си подценяват отчети за открити недостатъци в програмата им от страна на откриватели на сигурността. „ Нулевото познание “ (zero knowledge), над което подчертават от компанията в последното си известие е неистина, смята Госни. Тъй като всякога, когато се вписвате в даден уебсайт, към LastPass се изпраща информация за това, без значение дали потребителят се е отказал да подава телеметрия или не.
„ Аз не просто предлагам на потребителите да изоставят LastPass поради последния пробив. Препоръчвам им да избягат допустимо по-надалеч от LastPass поради историята, която имат с тяхната непросветеност, незаинтересованост и немърливост. Пределно ясно е, че тях не ги е грижа за тяхната лична сигурност, а още по-малко за вашата сигурност “, Госни.
Коментирайте публикацията в нашите. За да научите първи най-важното, харесайте страницата ни във, и ни последвайте в и или изтеглете приложението на Kaldata.com за, и!
В края на август LastPass за сполучлива офанзива към мрежата им, при която са откраднати класифицирани механически данни, измежду които и първоначален код на главната стратегия. Беше допълнено, че потребителска информация не е открадната. Това беше и първия случай, в който очевидно от LastPass задържат информация, а случаят несъмнено не може да бъде подминат: в случай че компания, доставяща сигурност бъде компрометирана, то тази сигурност би трябвало да бъде сложена под въпрос. Не мина доста време и при започване на този месец LastPass сигнализираха за втори случай. Този път вектор на офанзивата е била партньорска компания на LastPass и споделено с тях облачно вместилище. Този път изпълнителният шеф на компанията Карим Туба призна, че „ избрани детайли от потребителската информация “ са били достигнати. За да стигнем до известието от 22-ри този месец и разкритието, че е потребителска информация – метаданни и „ трезорите “ на ползващите мениджъра за пароли. LastPass увериха, че въпреки и да са откраднати трезорите, то няма метод те да бъдат разрушени, заради употребяваната от LastPass криптографска отбрана и това, че те нямат достъп до основните пароли за трезорите – отключването и заключването на трезорите се прави локално на потребителските устройства. Но дори и това, което те нарекоха метаданни съставлява задоволително информация за всеки ловък хакер да провежда лъжлив акции. А чувството за нещо премълчано продължи да се усеща и в последната обява на Тубба.
Владимир Палант, разработчик по сигурността и основател на AdBlock Plus отива и по-далеч в рецензията си към LastPass. Цитиран от, Палант дефинира обявата на Тубба от 22-ри декември за „ цялостна с пропуски, полуистини и откровени неистини “. Той е неудовлетворен цялостния метод на показване на обстановката, като се стартира от изказванието, че разкриват следващия случай, като знак на отдадеността им към бистрота по отношение на потребителите – те са задължени по закон, до това, че разказват този случай, като нещо, което няма връзка с пробива от това лято.
„ LastPass се пробват да показват случая от август 2022 и приключването на информация, като две обособени събития. Но употребявайки данните, добити при първичния достъп за достигането до повече активи съставлява типична техника, употребена от хакерите. Нарича се последователно напредване (lateral movement). Палант е уверен, че това, което вършат е да трансферират виновността на трета страна, а обстоятелството, че са съхранявали IP адресите на потребителите съставлява съответна опасност хакерите да основат цялостен профил на даден консуматор. Огромен пропуск в сигурността съставлява също това, че не са криптирани имената на интернет адресите, употребявани от потребителите. Палант се съмнява също по този начин в уверението им, че не пазят основни пароли на потребителите си, тъй като те биха могли – когато да вземем за пример се вписвате в уеб страницата им с основната си ключова дума. Той подозира също тъй че компанията се приготвя със известието да трансферира част от виновността или цялата виновност на потребителите. Става дума за обяснението, че в случай че са спазили рекомендациите за дължина на паролите, те са в сигурност. Но както твърди самия Палант, давайки образец със личната си тестова регистрация в LastPass отпреди няколко години, неговата ключова дума не съблюдава тези условия и на никое място не е видял предизвестие за това. Последно той посвещава специфична секция на различен значим миг, с който LastPass може да улеснят хакерите при разтрошаване на трезорите – заложеният авансово брой итерации, нужни за съпоставяне към хеш бази. Според него заложеният по дифолт от LastPass е надалеч от стандарта в промишлеността, а от време на време това число е доста по-малко.
Остро сериозен също е изпълнителният шеф на 1Password Джефри Голдбърг, който е на мнение, че изказванието на Тубба, че би лишило милиони години на хакерите да разбият паролата ви е прекомерно подвеждащо. Причината за това негово изказване се крие в човешката природа.
„ Това изказване за „ милиони години “ наподобява разчита на схващането, че 12-символната ключова дума на междинния LastPass консуматор е генерирана посредством изцяло инцидентен развой. Паролите, основани от хората дори не се приближават до това условие. Както дублирам повече от десетилетие, хората не могат да основават пароли с високи равнища на ентропия. Наглед съобразителни схеми за основаване на пароли със примес от букви, числа и знаци повече вреди, в сравнение с да оказва помощ “, написа той. Но, както привеждат и от The Verge, Голдбърг е създател на съперник на LastPass и в тази ситуация обявата му може да е леко тенденциозна.
И за последно, най-остра рецензия насочва различен експерт по сигурността – Джеръми Госни. Той също упреква LastPass, че подвеждат своите консуматори и не им споделят цялата истина. Като да вземем за пример това, че трезорите не са някакъв тип криптирани файлове, чието наличие е недостъпно напълно за периферия, а съставлява файл във формат на открит текст, в който едвам няколко полета са криптирани. Използваните криптографски способи са слаби и уязвими на офанзива, самата стратегия съхранява по небезопасен метод в системата сензитивната информация, а браузърното уголемение е цялостно с дупки, за които е ставало известно в последните години. Госни напомня, че компанията претърпява седем пробива в мрежата си за последните 10 години. Освен това, показва той, LastPass неведнъж в историята си подценяват отчети за открити недостатъци в програмата им от страна на откриватели на сигурността. „ Нулевото познание “ (zero knowledge), над което подчертават от компанията в последното си известие е неистина, смята Госни. Тъй като всякога, когато се вписвате в даден уебсайт, към LastPass се изпраща информация за това, без значение дали потребителят се е отказал да подава телеметрия или не.
„ Аз не просто предлагам на потребителите да изоставят LastPass поради последния пробив. Препоръчвам им да избягат допустимо по-надалеч от LastPass поради историята, която имат с тяхната непросветеност, незаинтересованост и немърливост. Пределно ясно е, че тях не ги е грижа за тяхната лична сигурност, а още по-малко за вашата сигурност “, Госни.
Коментирайте публикацията в нашите. За да научите първи най-важното, харесайте страницата ни във, и ни последвайте в и или изтеглете приложението на Kaldata.com за, и!
Източник: kaldata.com
КОМЕНТАРИ