Перейти к содержанию

Защита информации в памяти от перехвата и кражи | Блог Касперского


Рекомендуемые сообщения

Недавно в популярном менеджере паролей KeePass устранили дефект — мастер-пароль, защищающий все остальные пароли в зашифрованной базе, можно было извлечь из памяти компьютера, где он был доступен в открытом виде. Таким же образом из памяти можно извлекать фрагменты другой важной информации, например тексты недавней переписки или цифры из корпоративных баз данных. Разработчики KeePass быстро нашли довольно оригинальное решение проблемы, но в большинстве других приложений пароли в памяти хранятся в открытом виде, поэтому она всегда является «слабым местом» в общей системе безопасности.

Атака на память кажется экзотической и сложной, но на практике осуществить ее достаточно легко, если администраторы компьютера не предпримут специальных мер защиты.

Как можно изучить память компьютера?

Участки оперативной памяти, используемые разными приложениями, в значительной мере изолированы друг от друга средствами ОС и гипервизора. Поэтому просто вдруг прочитать фрагмент памяти, в котором работает постороннее приложение, не получится. Впрочем, на это способны процессы с привилегиями ядра (system в Windows, root в *nix). А способов повышения привилегий до нужного уровня существует немало — чаще всего для этого используются различные уязвимости в ОС или драйверах устройств.

Еще один вариант того, как можно добраться до памяти работающего компьютера, — DMA-атаки. Они основаны на том, что высокоскоростные интерфейсы (USB 4.0, Thunderbolt, Firewire и другие) ради ускорения процессов ввода-вывода имеют прямой доступ к памяти. Специально спроектированное устройство может злоупотреблять этой особенностью для считывания любых фрагментов памяти. Это не гипотетическая угроза, известны реальные случаи подобных атак (FinFireWire).

Таких файлов в Windows несколько:

  • временный файл подкачки (pagefile.sys);
  • файл сохранения для режима гибернации (hiberfil.sys);
  • аварийные и отладочные дампы памяти (memory.dmp, minidump). Генерацию таких файлов можно запустить вручную.

В Linux подкачка и гибернация используют выделенный раздел диска, общий для этих нужд.

Чтобы изучить один из этих файлов, как правило, нужно иметь физический доступ к компьютеру, но при этом не обязательно знать реквизиты доступа и вообще включать машину. Можно просто вытащить жесткий диск и считать его на другом компьютере.

 

Посмотреть статью полностью

Ссылка на комментарий
Поделиться на другие сайты

22 hours ago, KL FC Bot said:

Недавно в популярном менеджере паролей KeePass устранили дефект — мастер-пароль, защищающий все остальные пароли в зашифрованной базе, можно было извлечь из памяти компьютера, где он был доступен в открытом виде.

Стас, ёклмн!!! У ЛК была ровно эта же проблема: https://t.me/mydaybug/440! Я обнаружил это поведение и у KeePass, и у ЛК ещё 3-го февраля. Но в KeePass просто не стал сообщать (т.к. та версия, которой пользуюсь я сам, имеет предупреждение о таком поведении), а вот в ЛК написал.

И что в итоге? Сначала ЛК не признавали проблему, а затем оценили на 4.2. Тогда как KeePass оценил проблему на 7.5 https://nvd.nist.gov/vuln/detail/CVE-2023-32784

 

Ладно, мне важно, что проблему признали и пообещали исправить. Мораторий на публикацию истёк ещё в мае, но просто из уважения к ЛК я не стал раскрывать деталей, не стал выкладывать видос с демонстрацией. Решил просто забыть об этом, будто и не было ничего.

 

Но тут приходит Стас и начинает, прошу прощения, мочиться себе на голову. То есть он думает, что обсыкает конкурента (абсолютно бесплатного, с открытым исходным кодом, обращаю внимание), но на самом деле попадает на своего же работодателя. Вот просто кто тебе мешал не приводить в пример конкретно KeePass? Выбери вообще любой другой продукт, который не конкурирует с ЛК и я бы мимо прошёл. Но вот этим набросом фекалий на вентилятор ты попал на своих.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

23 минуты назад, Umnik сказал:

(т.к. та версия, которой пользуюсь я сам, имеет предупреждение о таком поведении)

Можно номер версии и подробности как настроить предупреждение?

Ссылка на комментарий
Поделиться на другие сайты

Предупреждение на сайте написано. KeePassXC у меня. Где-то то ли в FAQ, то ли просто где-то в описании. В общем, нашёл за минуту его и успокоился. О, пока пишу эти слова, вспомнил, что у них даже ишуя была в багтрекере, ща найду.

 

Нашёл, вот: https://github.com/keepassxreboot/keepassxc/issues/7335 они честно признаются, что вот такие дела и мы не можем с этим ничего поделать. И здесь же описание, как можно прочитать пароль. Если у атакующего нет прав администратора, то он не сможет достать пароль. На чтение файла подкачки тоже нужны права администратора. Ну или если злоумышленник не может загрузиться с флешки и банально скопировать файл подкачки.

 

Вот часть моего письма, где я описываю сотруднику ЛК, что кипас тоже подвержен проблеме:

 

Quote

Добавлю ещё от себя. Вы не единственные, кто имеет эту проблему. Я проверил ещё и keepass и keepassxc — они оба подвержены этой же проблеме. Однако у них есть механизм снижения опасности, даже несколько:

1. Оба они позволяют использовать не только мастер пароль. Я использую и мастер-пароль, и ключевой файл (а ещё не Windows, но это дело пятое).
Использовал бы и свисток свой, но SoloKey не поддерживается, к сожалению. В целом вот ишуя, где показан альтернативный способ извлечения мастер пароля: https://github.com/keepassxreboot/keepassxc/issues/7335

2. Дополнительно к этому keepass, который классический, имеет механизм Secure Desktop, который вообще поднимает запрос мастер пароля в другом сеансе. В итоге в памяти мастер-пароля не остаётся https://keepass.info/help/kb/sec_desk.html Вам стоит подрезать эту функциональность себе, она очень полезна. Тем более что авторы признают, что из-за дотнета они не могут вычистить мастер пароль из памяти:
https://keepass.info/help/base/security.html#secmemprot

Вообще, если сделаете аналог secure desktop, тем более что вам не нужно работать на ОС ниже Win2k, атакующему делать будет уже нечего. А если планируете KPM делать компонентом какого-то корпоративного решения, то к этому времени нужно подготовиться точно.

 

Вся проблема в выбранных языках. Это безопасные языки с автоматическим управлением памятью и так называемым "сборщиком мусора" (grbage collector). Во всех случаях проблема в том, что пароль, когда он уже не нужен, продолжает висеть в памяти до тех пор, пока этот сборщик мусора не решит, что пора бы мусор почистить. В моих экспериментах GC не приходил около получаса. То есть ещё полчаса после разблокировки KPM мастер паролем я мог достать этот пароль из памяти. Временные интервалы для кипасов не замерял, мне было нужно лишь понять, только ли у ЛК проблема.

 

ЛК оценила опасность на 4.2 (низкая опасность) по моему репорту, потому что требуются права Администратора. Кипасс при тех же самых условиях (повторю - это тоже самое, одинаковое) оценили на 7.5 (высокая опасность).

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Дело не в том, как запускается KeePass или KPM. Права админа должны быть у вредоносного ПО, потому что чтение памяти другого процесса требует этих прав. А если в целом, то не надо запускать Кипас от админа, как и вообще любое ПО не надо запускать без крайней нужды. Это в целом плохое поведение.

Ссылка на комментарий
Поделиться на другие сайты

37 минут назад, Umnik сказал:

Не знаю. Мне обещали, что будут деражать в курсе, но после того обещания новых писем не было. Я просто не стал проверять.

Скажи пожалуйста, если я сижу за компом от имени администратора, то и КПМ запускается всегда от имени администратора? Или по умолчанию он запускается без админских прав? 

Ссылка на комментарий
Поделиться на другие сайты

5 часов назад, Umnik сказал:

то не надо запускать Кипас от админа

Где то читал рекомендовали от админа запускать, мотивировали тем что тогда ПО запущенное без прав админа не сможет что то сделать, как то так

Ссылка на комментарий
Поделиться на другие сайты

2 hours ago, Mrak said:

если я сижу за компом от имени администратора,

Если UAC включен, то нет. По умолчанию ты сидишь, на самом деле, под пользователем. А вот чтобы получить админские права, ты нажимаешь "Разрешить" в запросе UAC. В этом случае запускается НОВЫЙ процесс от ДРУГОГО пользователя и вот он уже имеет админские права. Ты можешь сделать простой эксперимент - открыть командную строку и увидишь, что она работает в таск менеджере под твоим пользователем. Зачем запустить ещё одну и она тоже будет под твоим именем. А затем запустить третью, но от имени администратора, и увидишь, что третья работает уже не от твоего имени.

 

Чтобы работать реально с админскими правами в Windows Vista и новее, нужно выключать UAC или лоигинться под учётной записью, которая называется Adminisraotor (встроенная). То есть ты можешь создать себе ещё профиль админа, залогиниться в него, опустить своей рабочей учётке права до Пользователь и повесить на нового админа пароль. И продолжать работать под своей рабочей юзерской учёткой. И при попытке выполнить действие от администратора, у тебя будет запрошен пароль той, новой учётки. По мере того, как тебе будет лень его вводить, ты будешь совершать меньше ошибок безопасности :) Я так делал до ухода на Линукс, отучал себя тыкать разрешения просто так.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, Umnik сказал:

называется Adminisraotor (встроенная). То есть ты можешь создать себе ещё профиль админа, залогиниться в него, опустить своей рабочей учётке права до Пользователь и повесить на нового админа пароль.

Не понял зачем мне тогда создавать ещё одну учётку, если учетка админа встроенная? 

2 минуты назад, Umnik сказал:

По мере того, как тебе будет лень его вводить, ты будешь совершать меньше ошибок безопасности :) Я так делал до ухода на Линукс, отучал себя тыкать разрешения просто так.

Что значит просто так? Каждый запрос означает, что я скачал какую-то программу и запускаю. Думаешь, необходимость вводить пароль, остановит меня от запуска программы? Но в таком случае зачем я её качал? Очевидно, в любом случае запущу, раз Касперский Плюс на неё не ругается.

Ссылка на комментарий
Поделиться на другие сайты

33 minutes ago, ska79 said:

Где то читал рекомендовали от админа запускать

Нельзя так делать. Во-первых приучаешь себя к плохому поведению - запускать всё подряд от админа, во-вторых ошибка в самом ПО может привести к серьёзным проблемам. Грубо говоря, попытка удалить файл по неправильному пути от админа и от юзера может привести к разным результатам.

35 minutes ago, ska79 said:

ПО запущенное без прав админа не сможет что то сделать

Оно и так не особо может. Ну может прибить процесс, который запущен от этого же пользователя. Прибитый процесс - не страшно и палевно. А вот чтобы прочитать данные другого процесса - уже нужны права админа.

Само предложение, видимо, основано на поведение Unix-подобных систем, где ПО изолируется через пользователей. Это вообще шикарно, но Windows архитектурно на это не ориентирован. Нужно потратить много сил, чтобы добиться похожего поведения.

 

К примеру, вот три процесса рядом и все три работают от разных пользователей у меня:

image.png.417979d3376676a0efc09ab752efcf41.png

1 minute ago, Mrak said:

Не понял зачем мне тогда создавать ещё одну учётку, если учетка админа встроенная?

Чтобы было не как в XP. Встроенная учётка даст тебе поведение, как было у админской учётки в XP. Правда я не знаю, позволяет 10+ в неё логиниться или нет. 7-ка позволяла.

3 minutes ago, Mrak said:

Думаешь, необходимость вводить пароль, остановит меня от запуска программы?

А ты попробуй. Мне помогло. Вдруг и тебе поможет пересмотреть подход.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

4 минуты назад, Umnik сказал:

Чтобы было не как в XP. Встроенная учётка даст тебе поведение, как было у админской учётки в XP. Правда я не знаю, позволяет 10+ в неё логиниться или нет. 7-ка позволяла.

То есть это разные админские права? Встроенная учётка - более крутой админ, чем тот, о создании которого ты говоришь?

Ссылка на комментарий
Поделиться на другие сайты

Админ, который создаётся - это вообще не админ. Это пользователь, которому, так и быть, можно дёргать за рукав настоящего (встроенного) админа в системе. Это что-то вроде использования sudo.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Всего десяток лет назад на людей, заклеивающих веб-камеру пластырем, смотрели как минимум странно. Сегодня же некоторые производители ноутбуков продают устройства со встроенной шторкой — одним движением можно физически закрыть камеру. Это, конечно, полезно, но микрофон-то работать продолжает в любом случае, так что польза от такого приспособления сомнительна. А есть ли вообще смысл закрывать веб-камеру в 2024 году — или это пережиток прошлого?
      Шпионы, шпионы повсюду
      Слышали когда-нибудь про шпионское ПО? Так мы называем трояны, предназначенные для слежки. Многие представители этого семейства умеют в том числе подсматривать за своими жертвами и подслушивать их через веб-камеру и микрофон — это было актуально десять лет назад, это же актуально и сейчас. Только в те времена вредоносное ПО умело, например, только делать скриншоты с веб-камеры, а сегодня вдобавок к этому может и пароли красть из буфера обмена, и перехватывать клавиатурные нажатия, и удаленно управлять вашим устройством, и пытаться изощренно скрыться от защитных решений (в нашем случае — безуспешно). Один из примеров — недавно обнаруженный нашими экспертами троян SambaSpy.
      Что касается подсматривания, то мотивы у злоумышленников сейчас могут быть самыми разными: кому-то интересно подглядывать за девушками, другие организуют настоящую коммерческую слежку за топ-менеджером компании, а третьи добавляют в свое вредоносное ПО такую функциональность «на всякий случай» — вдруг что-нибудь интересное получится подсмотреть.
      Вариантов, как именно может быть организована слежка, — масса, и о них мы рассказывали не один раз. А вот как защищаться? Способов защиты существует достаточно много, однако всех их можно разделить на две группы: физическую и программную. И закрывать веб-камеру, отключать микрофон и проверять разрешения, выданные всем свежеустановленным приложениям, — это по-прежнему обязанность всех владельцев устройств без надежной защиты.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Следить за вами теперь могут не только спецслужбы или миллионеры, нанявшие частных детективов. Слежка так проста и дешева, что ей пользуются и ревнивые супруги, и автомобильные угонщики, и даже избыточно подозрительные работодатели. Им не нужно выглядывать из-за угла, прятаться в магазинах и даже приближаться к жертве. Для слежки прекрасно подойдут смартфон и один из маячков-трекеров, работающих по Bluetooth, — например, Apple AirTag, Samsung Smart Tag или Chipolo. Согласно одному из исков к Apple, этот способ шпионажа используется в самых разных преступлениях — от слежки за бывшими до подготовки убийств.
      К счастью для всех нас, защита существует! В рамках кампании «Лаборатории Касперского» по противодействию сталкингу мы расскажем, как за вами могут следить и что с этим делать.
      Слежка онлайн и офлайн
      Слежку за жертвой обычно реализуют одним из двух способов.
      Способ первый, чисто программный. На смартфон жертвы устанавливается коммерческое приложение для слежки — мы называем эту категорию stalkerware или spouseware. Часто такие приложения рекламируются как «приложения родительского контроля», но от легитимного родительского контроля они отличаются скрытностью — после установки деятельность приложения никак не анонсируется. Чаще всего приложение вообще незаметно на устройстве, но иногда оно маскируется подо что-то невинное, будь то мессенджер, игра или приложение-фотоальбом. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять атакующему переписки со смартфона и другую конфиденциальную информацию, включать звукозапись с микрофона.
      Главным недостатком stalkerware для атакующего является усложненная установка — для нее нужно заполучить разблокированный смартфон жертвы на некоторое время. Поэтому во многих случаях, особенно когда сталкингом занимается бывший партнер или автоугонщик, в ход идет второй способ.
      Способ второй, с беспроводным маячком. Жертве подкидывают следящее устройство. В машине его могут засунуть в любое малозаметное место — например, за номерной знак — а человеку трекер подкладывают в сумку или другие личные вещи.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      С киберпреступниками рано или поздно сталкиваются практически все — от детей до пенсионеров. И если вы все время откладывали на потом свою кибербезопасность, потому что эта тема кажется вам слишком сложной, то держите пять очень простых советов, которые легко понять и просто выполнять. Но каждый из них сильно улучшит вашу защиту от самых распространенных киберугроз. Мы подготовили этот пост в рамках информационной кампании Интерпола #ThinkTwice, призванной улучшить осведомленность об основных методах кибермошенничества и простых, но надежных способах противодействовать им.
      Автоматизируйте пароли
      Пароли к каждому сайту и приложению должны быть длинными (минимум 12 символов) и никогда не должны повторяться. Придумывать и запоминать столько паролей не может никто, поэтому храните, создавайте и вводите их при помощи менеджера паролей. Вам придется придумать и запомнить только один (длинный!) мастер-пароль к нему, а все остальное — от создания до заполнения паролей — будет происходить автоматически.
      Важные нюансы: менеджер паролей нужно установить на все свои устройства, чтобы вводить пароли с удобством повсюду. Данные будут синхронизироваться между всеми вашими устройствами, и, сохранив пароль в смартфоне, вы сможете автоматически подставить его в поле ввода на компьютере, и наоборот. Кстати, в менеджере паролей можно хранить в зашифрованном виде не только пароли, но и пин-коды, данные кредитных карт, адреса, заметки и даже сканы документов.
      Уровень PRO: для максимальной безопасности отключите вход в парольный менеджер по биометрии — так вам придется каждый раз вводить мастер-пароль, зато никто не сможет получить доступ ко всем вашим данным, не зная мастер-пароля (на стикере его писать не надо).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Один из самых неприятных трендов последних лет — это рост количества кибератак на образовательные учреждения. К примеру, в США школьное образование стало одной из наиболее атакуемых сфер. По данным британского Управления уполномоченного по информации (ICO), количество атак на школы с 2022 по 2023 год выросло на 55%. Аналогичную картину можно наблюдать и в других регионах. В России, к счастью, сфера образования не столь часто подвергается атакам злоумышленников, тем не менее школы также уязвимы для киберугроз. Попробуем разобраться, почему так происходит и как школам правильно защищать свои компьютеры.
      Причины уязвимости школ
      Рост количества кибератак на образовательные учреждения обусловлен рядом факторов.
      Зависимость от технологий. Образовательные учреждения быстро цифровизируются и, как следствие, все больше зависят от ИТ-инфраструктуры — как непосредственно в учебном процессе, так и в административной работе. А устоявшихся ИБ-практик в них, чаще всего, нет. Ценные данные. Школы хранят немало конфиденциальной информации, включая данные о студентах, преподавателях и финансах, утечка которых может иметь серьезнейшие последствия. Дефицит ресурсов. В образовательных учреждениях наблюдается серьезная нехватка бюджетов, а также квалифицированных ИТ-специалистов — и в особенности в сфере информационной безопасности. Низкая осведомленность пользователей. Изрядная часть пользователей компьютеров в школах — ученики, имеющие невысокий уровень знаний о кибербезопасности, что делает их более уязвимыми для фишинговых атак, заражения вредоносными программами и других киберугроз. Да и преподаватели зачастую разбираются в вопросе ИБ ненамного лучше. Если из-за атаки вымогателей временно закроется сеть магазинов, это, конечно же, неприятно, но в основном для самой организации, — покупатели, как правило, легко могут найти ей замену. Если же из-за кибератаки перестает работать школа, последствия намного серьезнее: учащиеся теряют доступ к образованию, из-за чего страдает их успеваемость, а родители сталкиваются с проблемами организации ухода за детьми.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Накануне каждого праздника активизируются мошенники. И делают они это, кстати, довольно-таки примитивно. Готовитесь к Новому году? Ждите фейковые рождественские скидки. Впереди Международный женский день? Значит — быть фейковым подаркам. Скоро крупный футбольный турнир? Фейковые билеты тут как тут.
      Больше всего фейкового появляется за неделю до «черной пятницы» — так называют день старта масштабной распродажи, в которой участвуют все, от мала до велика: и магазины бытовой техники, и местечковые лавки по изготовлению мыла и, конечно же, мошенники! Сегодня расскажем про актуальные уловки киберпреступников в канун всемирного дня распродаж и способы противостояния им.
      Скидки! Скидки? Скидки…
      Именно это слово переживает всплеск популярности каждый конец ноября. Всеобщее помешательство на низких ценах только на руку мошенникам: их рассылки, купоны и фишинговые ссылки легко растворяются в массе реальных предложений. Разберем на примере. Walmart, крупнейшая в мире сеть по оптовой и розничной торговле, якобы предлагает клиентам подарочную карту номиналом $750.
      Выполните всего четыре простых шага и (не) получите подарочную карту
       
      View the full article
×
×
  • Создать...