Перейти к содержанию

Защита информации в памяти от перехвата и кражи | Блог Касперского


Рекомендуемые сообщения

Недавно в популярном менеджере паролей KeePass устранили дефект — мастер-пароль, защищающий все остальные пароли в зашифрованной базе, можно было извлечь из памяти компьютера, где он был доступен в открытом виде. Таким же образом из памяти можно извлекать фрагменты другой важной информации, например тексты недавней переписки или цифры из корпоративных баз данных. Разработчики KeePass быстро нашли довольно оригинальное решение проблемы, но в большинстве других приложений пароли в памяти хранятся в открытом виде, поэтому она всегда является «слабым местом» в общей системе безопасности.

Атака на память кажется экзотической и сложной, но на практике осуществить ее достаточно легко, если администраторы компьютера не предпримут специальных мер защиты.

Как можно изучить память компьютера?

Участки оперативной памяти, используемые разными приложениями, в значительной мере изолированы друг от друга средствами ОС и гипервизора. Поэтому просто вдруг прочитать фрагмент памяти, в котором работает постороннее приложение, не получится. Впрочем, на это способны процессы с привилегиями ядра (system в Windows, root в *nix). А способов повышения привилегий до нужного уровня существует немало — чаще всего для этого используются различные уязвимости в ОС или драйверах устройств.

Еще один вариант того, как можно добраться до памяти работающего компьютера, — DMA-атаки. Они основаны на том, что высокоскоростные интерфейсы (USB 4.0, Thunderbolt, Firewire и другие) ради ускорения процессов ввода-вывода имеют прямой доступ к памяти. Специально спроектированное устройство может злоупотреблять этой особенностью для считывания любых фрагментов памяти. Это не гипотетическая угроза, известны реальные случаи подобных атак (FinFireWire).

Таких файлов в Windows несколько:

  • временный файл подкачки (pagefile.sys);
  • файл сохранения для режима гибернации (hiberfil.sys);
  • аварийные и отладочные дампы памяти (memory.dmp, minidump). Генерацию таких файлов можно запустить вручную.

В Linux подкачка и гибернация используют выделенный раздел диска, общий для этих нужд.

Чтобы изучить один из этих файлов, как правило, нужно иметь физический доступ к компьютеру, но при этом не обязательно знать реквизиты доступа и вообще включать машину. Можно просто вытащить жесткий диск и считать его на другом компьютере.

 

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты
22 hours ago, KL FC Bot said:

Недавно в популярном менеджере паролей KeePass устранили дефект — мастер-пароль, защищающий все остальные пароли в зашифрованной базе, можно было извлечь из памяти компьютера, где он был доступен в открытом виде.

Стас, ёклмн!!! У ЛК была ровно эта же проблема: https://t.me/mydaybug/440! Я обнаружил это поведение и у KeePass, и у ЛК ещё 3-го февраля. Но в KeePass просто не стал сообщать (т.к. та версия, которой пользуюсь я сам, имеет предупреждение о таком поведении), а вот в ЛК написал.

И что в итоге? Сначала ЛК не признавали проблему, а затем оценили на 4.2. Тогда как KeePass оценил проблему на 7.5 https://nvd.nist.gov/vuln/detail/CVE-2023-32784

 

Ладно, мне важно, что проблему признали и пообещали исправить. Мораторий на публикацию истёк ещё в мае, но просто из уважения к ЛК я не стал раскрывать деталей, не стал выкладывать видос с демонстрацией. Решил просто забыть об этом, будто и не было ничего.

 

Но тут приходит Стас и начинает, прошу прощения, мочиться себе на голову. То есть он думает, что обсыкает конкурента (абсолютно бесплатного, с открытым исходным кодом, обращаю внимание), но на самом деле попадает на своего же работодателя. Вот просто кто тебе мешал не приводить в пример конкретно KeePass? Выбери вообще любой другой продукт, который не конкурирует с ЛК и я бы мимо прошёл. Но вот этим набросом фекалий на вентилятор ты попал на своих.

Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Umnik сказал:

(т.к. та версия, которой пользуюсь я сам, имеет предупреждение о таком поведении)

Можно номер версии и подробности как настроить предупреждение?

Ссылка на сообщение
Поделиться на другие сайты

Предупреждение на сайте написано. KeePassXC у меня. Где-то то ли в FAQ, то ли просто где-то в описании. В общем, нашёл за минуту его и успокоился. О, пока пишу эти слова, вспомнил, что у них даже ишуя была в багтрекере, ща найду.

 

Нашёл, вот: https://github.com/keepassxreboot/keepassxc/issues/7335 они честно признаются, что вот такие дела и мы не можем с этим ничего поделать. И здесь же описание, как можно прочитать пароль. Если у атакующего нет прав администратора, то он не сможет достать пароль. На чтение файла подкачки тоже нужны права администратора. Ну или если злоумышленник не может загрузиться с флешки и банально скопировать файл подкачки.

 

Вот часть моего письма, где я описываю сотруднику ЛК, что кипас тоже подвержен проблеме:

 

Quote

Добавлю ещё от себя. Вы не единственные, кто имеет эту проблему. Я проверил ещё и keepass и keepassxc — они оба подвержены этой же проблеме. Однако у них есть механизм снижения опасности, даже несколько:

1. Оба они позволяют использовать не только мастер пароль. Я использую и мастер-пароль, и ключевой файл (а ещё не Windows, но это дело пятое).
Использовал бы и свисток свой, но SoloKey не поддерживается, к сожалению. В целом вот ишуя, где показан альтернативный способ извлечения мастер пароля: https://github.com/keepassxreboot/keepassxc/issues/7335

2. Дополнительно к этому keepass, который классический, имеет механизм Secure Desktop, который вообще поднимает запрос мастер пароля в другом сеансе. В итоге в памяти мастер-пароля не остаётся https://keepass.info/help/kb/sec_desk.html Вам стоит подрезать эту функциональность себе, она очень полезна. Тем более что авторы признают, что из-за дотнета они не могут вычистить мастер пароль из памяти:
https://keepass.info/help/base/security.html#secmemprot

Вообще, если сделаете аналог secure desktop, тем более что вам не нужно работать на ОС ниже Win2k, атакующему делать будет уже нечего. А если планируете KPM делать компонентом какого-то корпоративного решения, то к этому времени нужно подготовиться точно.

 

Вся проблема в выбранных языках. Это безопасные языки с автоматическим управлением памятью и так называемым "сборщиком мусора" (grbage collector). Во всех случаях проблема в том, что пароль, когда он уже не нужен, продолжает висеть в памяти до тех пор, пока этот сборщик мусора не решит, что пора бы мусор почистить. В моих экспериментах GC не приходил около получаса. То есть ещё полчаса после разблокировки KPM мастер паролем я мог достать этот пароль из памяти. Временные интервалы для кипасов не замерял, мне было нужно лишь понять, только ли у ЛК проблема.

 

ЛК оценила опасность на 4.2 (низкая опасность) по моему репорту, потому что требуются права Администратора. Кипасс при тех же самых условиях (повторю - это тоже самое, одинаковое) оценили на 7.5 (высокая опасность).

Ссылка на сообщение
Поделиться на другие сайты

Дело не в том, как запускается KeePass или KPM. Права админа должны быть у вредоносного ПО, потому что чтение памяти другого процесса требует этих прав. А если в целом, то не надо запускать Кипас от админа, как и вообще любое ПО не надо запускать без крайней нужды. Это в целом плохое поведение.

Ссылка на сообщение
Поделиться на другие сайты
37 минут назад, Umnik сказал:

Не знаю. Мне обещали, что будут деражать в курсе, но после того обещания новых писем не было. Я просто не стал проверять.

Скажи пожалуйста, если я сижу за компом от имени администратора, то и КПМ запускается всегда от имени администратора? Или по умолчанию он запускается без админских прав? 

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, Umnik сказал:

то не надо запускать Кипас от админа

Где то читал рекомендовали от админа запускать, мотивировали тем что тогда ПО запущенное без прав админа не сможет что то сделать, как то так

Ссылка на сообщение
Поделиться на другие сайты
2 hours ago, Mrak said:

если я сижу за компом от имени администратора,

Если UAC включен, то нет. По умолчанию ты сидишь, на самом деле, под пользователем. А вот чтобы получить админские права, ты нажимаешь "Разрешить" в запросе UAC. В этом случае запускается НОВЫЙ процесс от ДРУГОГО пользователя и вот он уже имеет админские права. Ты можешь сделать простой эксперимент - открыть командную строку и увидишь, что она работает в таск менеджере под твоим пользователем. Зачем запустить ещё одну и она тоже будет под твоим именем. А затем запустить третью, но от имени администратора, и увидишь, что третья работает уже не от твоего имени.

 

Чтобы работать реально с админскими правами в Windows Vista и новее, нужно выключать UAC или лоигинться под учётной записью, которая называется Adminisraotor (встроенная). То есть ты можешь создать себе ещё профиль админа, залогиниться в него, опустить своей рабочей учётке права до Пользователь и повесить на нового админа пароль. И продолжать работать под своей рабочей юзерской учёткой. И при попытке выполнить действие от администратора, у тебя будет запрошен пароль той, новой учётки. По мере того, как тебе будет лень его вводить, ты будешь совершать меньше ошибок безопасности :) Я так делал до ухода на Линукс, отучал себя тыкать разрешения просто так.

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Umnik сказал:

называется Adminisraotor (встроенная). То есть ты можешь создать себе ещё профиль админа, залогиниться в него, опустить своей рабочей учётке права до Пользователь и повесить на нового админа пароль.

Не понял зачем мне тогда создавать ещё одну учётку, если учетка админа встроенная? 

2 минуты назад, Umnik сказал:

По мере того, как тебе будет лень его вводить, ты будешь совершать меньше ошибок безопасности :) Я так делал до ухода на Линукс, отучал себя тыкать разрешения просто так.

Что значит просто так? Каждый запрос означает, что я скачал какую-то программу и запускаю. Думаешь, необходимость вводить пароль, остановит меня от запуска программы? Но в таком случае зачем я её качал? Очевидно, в любом случае запущу, раз Касперский Плюс на неё не ругается.

Ссылка на сообщение
Поделиться на другие сайты
33 minutes ago, ska79 said:

Где то читал рекомендовали от админа запускать

Нельзя так делать. Во-первых приучаешь себя к плохому поведению - запускать всё подряд от админа, во-вторых ошибка в самом ПО может привести к серьёзным проблемам. Грубо говоря, попытка удалить файл по неправильному пути от админа и от юзера может привести к разным результатам.

35 minutes ago, ska79 said:

ПО запущенное без прав админа не сможет что то сделать

Оно и так не особо может. Ну может прибить процесс, который запущен от этого же пользователя. Прибитый процесс - не страшно и палевно. А вот чтобы прочитать данные другого процесса - уже нужны права админа.

Само предложение, видимо, основано на поведение Unix-подобных систем, где ПО изолируется через пользователей. Это вообще шикарно, но Windows архитектурно на это не ориентирован. Нужно потратить много сил, чтобы добиться похожего поведения.

 

К примеру, вот три процесса рядом и все три работают от разных пользователей у меня:

image.png.417979d3376676a0efc09ab752efcf41.png

1 minute ago, Mrak said:

Не понял зачем мне тогда создавать ещё одну учётку, если учетка админа встроенная?

Чтобы было не как в XP. Встроенная учётка даст тебе поведение, как было у админской учётки в XP. Правда я не знаю, позволяет 10+ в неё логиниться или нет. 7-ка позволяла.

3 minutes ago, Mrak said:

Думаешь, необходимость вводить пароль, остановит меня от запуска программы?

А ты попробуй. Мне помогло. Вдруг и тебе поможет пересмотреть подход.

Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Umnik сказал:

Чтобы было не как в XP. Встроенная учётка даст тебе поведение, как было у админской учётки в XP. Правда я не знаю, позволяет 10+ в неё логиниться или нет. 7-ка позволяла.

То есть это разные админские права? Встроенная учётка - более крутой админ, чем тот, о создании которого ты говоришь?

Ссылка на сообщение
Поделиться на другие сайты

Админ, который создаётся - это вообще не админ. Это пользователь, которому, так и быть, можно дёргать за рукав настоящего (встроенного) админа в системе. Это что-то вроде использования sudo.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Компании среднего размера привлекательны для злоумышленников: их масштаб деятельности уже позволяет хорошо нажиться, например, при проведении атак шифровальщиков-вымогателей (ransomware). С одной стороны — организация способна заплатить заметный выкуп. С другой, подход к информационной безопасности у такой организации часто остается старым, со времен, когда бизнес был еще небольшим. Злоумышленники могут разработать тактику обхода имеющейся базовой защиты и скомпрометировать сеть, не встретив особого противодействия.
      Ущерб от подобных инцидентов в среднем составляет миллионы рублей. Нельзя забывать и про регуляторный аспект — число ведомств и законодательных актов, требующих от российской компании соблюдать регламенты кибербезопасности, постоянно растет. Бизнес эти угрозы часто понимает и готов выделить отделу информационной безопасности дополнительные ресурсы. Но как выстроить защиту следующего уровня на предприятии без чрезмерных затрат? Небольшой спойлер — ключевым элементом станет развертывание SIEM-системы, адаптированной под нужды и возможности компаний именно среднего размера.
      Эшелонированная защита среднего бизнеса
      Долгосрочной целью компании будет построение эшелонированной защиты, в которой различные инструменты и меры дополняют друг друга, значительно усложняя атаку на компанию и сужая возможности атакующих. Почти наверняка в компании численностью 250–1000 человек уже есть базовые инструменты и первый слой этой защиты: ограничение доступа к IT-ресурсам при помощи аутентификации и авторизации пользователей, защита конечных точек (в народе «антивирус») и серверов, в том числе почтового сервера, а также межсетевой экран.
      Следующая задача — дополнить (не заменить!) этот арсенал более продвинутыми инструментами кибербезопасности:
      системой комплексного мониторинга и сопоставления событий ИБ из различных источников данных (компьютеры, серверы, приложения) в режиме реального времени в рамках всей инфраструктуры — это и есть SIEM; инструментами получения расширенной информации о возможных инцидентах или просто подозрительной активности и аномалиях; средствами реагирования на инциденты, позволяющими оперативно проводить разнообразные действия, — от расследования инцидентов согласно требованиям регуляторов до изоляции скомпрометированных хостов и учетных записей, устранения уязвимостей и тому подобное. В некоторых отраслях эти действия явно регламентированы регуляторами.
      Внедрение таких инструментов дает защитникам совершенно новые возможности. Системы мониторинга событий информационной безопасности позволят детектировать действия атакующих, выполняемые без вредоносного ПО, обнаруживать не только подозрительные объекты, но и подозрительное поведение, визуализировать и приоритизировать события в инфраструктуре. При этом грамотное внедрение SIEM может не повысить, а снизить нагрузку на отдел ИБ.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Каждый раз, когда мимо вашей точки доступа Wi-Fi проходит или проезжает человек со смартфоном и включенным GPS, примерные географические координаты роутера попадают в базы данных Apple, Google и других техногигантов. Это неотъемлемая часть системы позиционирования по Wi-Fi (WPS, Wi-fi Positioning System). И для того чтобы ваш роутер попал в эту базу данных, вам даже необязательно иметь смартфон — достаточно того, чтобы смартфоны были у ваших соседей или просто проходящих мимо.
      Благодаря WPS вы видите на экране своего смартфона точку, соответствующую вашему местоположению, спустя мгновение после запуска карты, вместо несколько минут, нужных при получении «чистокровных» GPS-данных со спутников. Смартфон проверяет, какие точки доступа Wi-Fi есть поблизости, отправляет список в Google/Apple и в ответ получает либо свои вычисленные координаты (от Google), либо список координат роутеров (от Apple), чтобы вычислить положение самостоятельно.
      Геопозиционированием этого типа могут с успехом пользоваться устройства вообще без GPS, например ноутбуки. Как выяснили исследователи MIT, Apple позволяет запрашивать координаты точек доступа без особых ограничений, поэтому можно составить свою собственную карту всех роутеров мира, а затем находить на ней интересные явления, закономерности, а иногда и следить за нужными людьми.
      В чем риски слежки за роутерами
      Хотя примерное физическое местоположение роутера не кажется особо секретной информацией, особенно для тех, кто и так живет в вашем и соседних домах, есть целый ряд случаев, когда эту информацию желательно скрыть. Вот лишь некоторые примеры:
      терминалы спутникового Интернета, например Starlink. Они раздают Интернет по Wi-Fi, и слежка за терминалом равна слежке за положением пользователя. Это особенно чувствительно, когда терминалы применяются в зонах военных конфликтов и чрезвычайных ситуаций; пользователи мобильных хотспотов для бизнеса и путешествий. Если вы считаете удобным раздавать Интернет с мобильного роутера на ноутбук и другие свои устройства, весьма вероятно, что карманный хотспот сопровождает вас во все деловые поездки. А заодно создает возможности следить за их графиком, частотой и направлениями. То же касается хотспотов, устанавливаемых в «домах на колесах» и на яхтах; люди, совершившие переезд. Нередко роутер переезжает вместе с владельцем, и тогда его новый адрес могут узнать те, кто хотя бы раз бывал по старому адресу и подключался к Wi-Fi. Хотя обычно эта ситуация невинна и не несет негативных последствий, все может быть иначе для тех, кто переехал, спасаясь от травли, домашнего насилия или других серьезных проблем.  
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      В мае отгремел Всемирный день пароля, и на волне нашего и, надеемся, вашего интереса к парольной тематике мы проанализировали на устойчивость не «сферические пароли в вакууме», а реальные пароли из баз даркнета. Оказалось, что 59% изученных паролей могут быть взломаны менее чем за один час, и для этого понадобятся лишь современная видеокарта и немного знаний.
      Сегодня мы расскажем о том, как хакеры взламывают пароли и что с этим делать (маленький спойлер: пользоваться надежной защитой и автоматически проверять свои пароли на утечки).
      Как обычно взламывают пароли
      Начнем с важной ремарки: под фразой «взломать пароль» мы подразумеваем взлом его хеша — уникальной последовательности символов. Дело в том, что почти всегда пользовательские пароли хранятся на серверах компаний одним из трех способов.
      В открытом виде. Это самый простой и понятный способ: если у пользователя пароль, например, qwerty12345, то на сервере компании он так и хранится: qwerty12345. В случае утечки данных злоумышленнику для авторизации не потребуется сделать ничего сложнее, чем просто ввести логин и пароль. Это, конечно, если нет двухфакторной аутентификации, хотя и при ее наличии мошенники иногда могут перехватывать одноразовые пароли. В закрытом виде. В этом способе используются алгоритмы хеширования: MD5, SHA-1 и другие. Эти алгоритмы генерируют для каждой парольной фразы уникальное хеш-значение — строку символов фиксированной длины, которая и хранится на сервере. Каждый раз, когда пользователь вводит пароль, введенная последовательность символов преобразуется в хеш, который сравнивается с хранящимся на сервере: если они совпали, значит, пароль введен верно. Приведем пример: если в реальности ваш пароль qwerty12345, то «на языке SHA-1» он будет записываться вот так — 4e17a448e043206801b95de317e07c839770c8b8. Когда злоумышленник получит этот хеш, ему потребуется его дешифровать (это и есть «взлом пароля»), например, с помощью радужных таблиц, и превратить обратно в qwerty12345. Узнав пароль, хакер сможет использовать его для авторизации не только в сервисе, с которого утек хеш, но и в любом другом, где используется этот же пароль. В закрытом виде с солью. В этом способе к каждому паролю перед хешированием добавляется соль — случайная последовательность данных, статическая или формирующаяся динамически. Хешируется уже последовательность «пароль+соль», что меняет результирующий хеш, а значит, существующие радужные таблицы уже не помогут хакерам. Такой способ хранения паролей значительно усложняет взлом. Для нашего исследования мы собрали базу из 193 млн слитых паролей в открытом виде. Откуда мы ее взяли? Места надо знать. Нашли в сети даркнет — там они зачастую находятся в свободном доступе. Мы используем такие базы, чтобы проверять пользовательские пароли на предмет возможной утечки, при этом ваши пароли мы не знаем и не храним: вы можете подробнее узнать, как устроено изнутри хранилище паролей в Kaspersky Password Manager и как, не зная ваших паролей, мы сравниваем их с утекшими.
       
      Посмотреть статью полностью
    • Aleksei4ik
      От Aleksei4ik
      Установил касперского фри,он сразу запросил акк,я его ввёл,а он говорит,что нету действующей подписки...что за бред он несёт и как это исправить ?
      Попробовал создать ещё один акк - та же самая ошибка(
    • KL FC Bot
      От KL FC Bot
      Организации переходят на биометрическую аутентификацию для оптимизации пропускного режима, а также в качестве основного или дополнительного фактора аутентификации при входе в информационные системы предприятия. В такой роли биометрия действительно привлекательна — ее невозможно забыть, как пароль, потерять, как пропуск, и сложно подделать. Службе безопасности не надо администрировать забытые и утерянные карточки, а команде ИБ — придумывать системы OTP. Конечно, есть целый ряд «но», которые тоже нужно учесть, оценивая такие внедрения:
      риски хранения и обработки биометрической информации (во многих странах регулируется законодательно, например, в РФ недавно введен 572-ФЗ); практические затруднения, связанные с ложноположительными и ложноотрицательными срабатываниями (сильно зависят от вида биометрии и условий ее проверки); риски обхода аутентификации; риски кибератак, проводимых при помощи уязвимостей в биометрическом терминале. Первые два пункта ответственные за безопасность обычно прорабатывают, а вот остальные часто недооценивают. Они далеко не надуманны, как показало наше подробное исследование популярных биометрических терминалов производства ZKTeco. В них нашлось 24 уязвимости, позволяющих атакующим тривиально обойти аутентификацию, захватить устройство, прочитать или изменить список пользователей, скачать их фото и другие данные, а также эксплуатировать доступ к устройству для развития атаки на сеть предприятия. Вот как злоумышленники могут использовать эти уязвимости.
      Биометрический терминал производства компании ZKTeco
       
      Посмотреть статью полностью
×
×
  • Создать...