Перейти к содержанию

Защита информации в памяти от перехвата и кражи | Блог Касперского


Рекомендуемые сообщения

Недавно в популярном менеджере паролей KeePass устранили дефект — мастер-пароль, защищающий все остальные пароли в зашифрованной базе, можно было извлечь из памяти компьютера, где он был доступен в открытом виде. Таким же образом из памяти можно извлекать фрагменты другой важной информации, например тексты недавней переписки или цифры из корпоративных баз данных. Разработчики KeePass быстро нашли довольно оригинальное решение проблемы, но в большинстве других приложений пароли в памяти хранятся в открытом виде, поэтому она всегда является «слабым местом» в общей системе безопасности.

Атака на память кажется экзотической и сложной, но на практике осуществить ее достаточно легко, если администраторы компьютера не предпримут специальных мер защиты.

Как можно изучить память компьютера?

Участки оперативной памяти, используемые разными приложениями, в значительной мере изолированы друг от друга средствами ОС и гипервизора. Поэтому просто вдруг прочитать фрагмент памяти, в котором работает постороннее приложение, не получится. Впрочем, на это способны процессы с привилегиями ядра (system в Windows, root в *nix). А способов повышения привилегий до нужного уровня существует немало — чаще всего для этого используются различные уязвимости в ОС или драйверах устройств.

Еще один вариант того, как можно добраться до памяти работающего компьютера, — DMA-атаки. Они основаны на том, что высокоскоростные интерфейсы (USB 4.0, Thunderbolt, Firewire и другие) ради ускорения процессов ввода-вывода имеют прямой доступ к памяти. Специально спроектированное устройство может злоупотреблять этой особенностью для считывания любых фрагментов памяти. Это не гипотетическая угроза, известны реальные случаи подобных атак (FinFireWire).

Таких файлов в Windows несколько:

  • временный файл подкачки (pagefile.sys);
  • файл сохранения для режима гибернации (hiberfil.sys);
  • аварийные и отладочные дампы памяти (memory.dmp, minidump). Генерацию таких файлов можно запустить вручную.

В Linux подкачка и гибернация используют выделенный раздел диска, общий для этих нужд.

Чтобы изучить один из этих файлов, как правило, нужно иметь физический доступ к компьютеру, но при этом не обязательно знать реквизиты доступа и вообще включать машину. Можно просто вытащить жесткий диск и считать его на другом компьютере.

 

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты
22 hours ago, KL FC Bot said:

Недавно в популярном менеджере паролей KeePass устранили дефект — мастер-пароль, защищающий все остальные пароли в зашифрованной базе, можно было извлечь из памяти компьютера, где он был доступен в открытом виде.

Стас, ёклмн!!! У ЛК была ровно эта же проблема: https://t.me/mydaybug/440! Я обнаружил это поведение и у KeePass, и у ЛК ещё 3-го февраля. Но в KeePass просто не стал сообщать (т.к. та версия, которой пользуюсь я сам, имеет предупреждение о таком поведении), а вот в ЛК написал.

И что в итоге? Сначала ЛК не признавали проблему, а затем оценили на 4.2. Тогда как KeePass оценил проблему на 7.5 https://nvd.nist.gov/vuln/detail/CVE-2023-32784

 

Ладно, мне важно, что проблему признали и пообещали исправить. Мораторий на публикацию истёк ещё в мае, но просто из уважения к ЛК я не стал раскрывать деталей, не стал выкладывать видос с демонстрацией. Решил просто забыть об этом, будто и не было ничего.

 

Но тут приходит Стас и начинает, прошу прощения, мочиться себе на голову. То есть он думает, что обсыкает конкурента (абсолютно бесплатного, с открытым исходным кодом, обращаю внимание), но на самом деле попадает на своего же работодателя. Вот просто кто тебе мешал не приводить в пример конкретно KeePass? Выбери вообще любой другой продукт, который не конкурирует с ЛК и я бы мимо прошёл. Но вот этим набросом фекалий на вентилятор ты попал на своих.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
23 минуты назад, Umnik сказал:

(т.к. та версия, которой пользуюсь я сам, имеет предупреждение о таком поведении)

Можно номер версии и подробности как настроить предупреждение?

Ссылка на сообщение
Поделиться на другие сайты

Предупреждение на сайте написано. KeePassXC у меня. Где-то то ли в FAQ, то ли просто где-то в описании. В общем, нашёл за минуту его и успокоился. О, пока пишу эти слова, вспомнил, что у них даже ишуя была в багтрекере, ща найду.

 

Нашёл, вот: https://github.com/keepassxreboot/keepassxc/issues/7335 они честно признаются, что вот такие дела и мы не можем с этим ничего поделать. И здесь же описание, как можно прочитать пароль. Если у атакующего нет прав администратора, то он не сможет достать пароль. На чтение файла подкачки тоже нужны права администратора. Ну или если злоумышленник не может загрузиться с флешки и банально скопировать файл подкачки.

 

Вот часть моего письма, где я описываю сотруднику ЛК, что кипас тоже подвержен проблеме:

 

Quote

Добавлю ещё от себя. Вы не единственные, кто имеет эту проблему. Я проверил ещё и keepass и keepassxc — они оба подвержены этой же проблеме. Однако у них есть механизм снижения опасности, даже несколько:

1. Оба они позволяют использовать не только мастер пароль. Я использую и мастер-пароль, и ключевой файл (а ещё не Windows, но это дело пятое).
Использовал бы и свисток свой, но SoloKey не поддерживается, к сожалению. В целом вот ишуя, где показан альтернативный способ извлечения мастер пароля: https://github.com/keepassxreboot/keepassxc/issues/7335

2. Дополнительно к этому keepass, который классический, имеет механизм Secure Desktop, который вообще поднимает запрос мастер пароля в другом сеансе. В итоге в памяти мастер-пароля не остаётся https://keepass.info/help/kb/sec_desk.html Вам стоит подрезать эту функциональность себе, она очень полезна. Тем более что авторы признают, что из-за дотнета они не могут вычистить мастер пароль из памяти:
https://keepass.info/help/base/security.html#secmemprot

Вообще, если сделаете аналог secure desktop, тем более что вам не нужно работать на ОС ниже Win2k, атакующему делать будет уже нечего. А если планируете KPM делать компонентом какого-то корпоративного решения, то к этому времени нужно подготовиться точно.

 

Вся проблема в выбранных языках. Это безопасные языки с автоматическим управлением памятью и так называемым "сборщиком мусора" (grbage collector). Во всех случаях проблема в том, что пароль, когда он уже не нужен, продолжает висеть в памяти до тех пор, пока этот сборщик мусора не решит, что пора бы мусор почистить. В моих экспериментах GC не приходил около получаса. То есть ещё полчаса после разблокировки KPM мастер паролем я мог достать этот пароль из памяти. Временные интервалы для кипасов не замерял, мне было нужно лишь понять, только ли у ЛК проблема.

 

ЛК оценила опасность на 4.2 (низкая опасность) по моему репорту, потому что требуются права Администратора. Кипасс при тех же самых условиях (повторю - это тоже самое, одинаковое) оценили на 7.5 (высокая опасность).

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Дело не в том, как запускается KeePass или KPM. Права админа должны быть у вредоносного ПО, потому что чтение памяти другого процесса требует этих прав. А если в целом, то не надо запускать Кипас от админа, как и вообще любое ПО не надо запускать без крайней нужды. Это в целом плохое поведение.

Ссылка на сообщение
Поделиться на другие сайты
15 часов назад, Umnik сказал:

Стас, ёклмн!!! У ЛК была ровно эта же проблема

Была, значит уже исправлена и всё хорошо?

Ссылка на сообщение
Поделиться на другие сайты

Не знаю. Мне обещали, что будут деражать в курсе, но после того обещания новых писем не было. Я просто не стал проверять.

Ссылка на сообщение
Поделиться на другие сайты
37 минут назад, Umnik сказал:

Не знаю. Мне обещали, что будут деражать в курсе, но после того обещания новых писем не было. Я просто не стал проверять.

Скажи пожалуйста, если я сижу за компом от имени администратора, то и КПМ запускается всегда от имени администратора? Или по умолчанию он запускается без админских прав? 

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, Umnik сказал:

то не надо запускать Кипас от админа

Где то читал рекомендовали от админа запускать, мотивировали тем что тогда ПО запущенное без прав админа не сможет что то сделать, как то так

Ссылка на сообщение
Поделиться на другие сайты
2 hours ago, Mrak said:

если я сижу за компом от имени администратора,

Если UAC включен, то нет. По умолчанию ты сидишь, на самом деле, под пользователем. А вот чтобы получить админские права, ты нажимаешь "Разрешить" в запросе UAC. В этом случае запускается НОВЫЙ процесс от ДРУГОГО пользователя и вот он уже имеет админские права. Ты можешь сделать простой эксперимент - открыть командную строку и увидишь, что она работает в таск менеджере под твоим пользователем. Зачем запустить ещё одну и она тоже будет под твоим именем. А затем запустить третью, но от имени администратора, и увидишь, что третья работает уже не от твоего имени.

 

Чтобы работать реально с админскими правами в Windows Vista и новее, нужно выключать UAC или лоигинться под учётной записью, которая называется Adminisraotor (встроенная). То есть ты можешь создать себе ещё профиль админа, залогиниться в него, опустить своей рабочей учётке права до Пользователь и повесить на нового админа пароль. И продолжать работать под своей рабочей юзерской учёткой. И при попытке выполнить действие от администратора, у тебя будет запрошен пароль той, новой учётки. По мере того, как тебе будет лень его вводить, ты будешь совершать меньше ошибок безопасности :) Я так делал до ухода на Линукс, отучал себя тыкать разрешения просто так.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, Umnik сказал:

называется Adminisraotor (встроенная). То есть ты можешь создать себе ещё профиль админа, залогиниться в него, опустить своей рабочей учётке права до Пользователь и повесить на нового админа пароль.

Не понял зачем мне тогда создавать ещё одну учётку, если учетка админа встроенная? 

2 минуты назад, Umnik сказал:

По мере того, как тебе будет лень его вводить, ты будешь совершать меньше ошибок безопасности :) Я так делал до ухода на Линукс, отучал себя тыкать разрешения просто так.

Что значит просто так? Каждый запрос означает, что я скачал какую-то программу и запускаю. Думаешь, необходимость вводить пароль, остановит меня от запуска программы? Но в таком случае зачем я её качал? Очевидно, в любом случае запущу, раз Касперский Плюс на неё не ругается.

Ссылка на сообщение
Поделиться на другие сайты
33 minutes ago, ska79 said:

Где то читал рекомендовали от админа запускать

Нельзя так делать. Во-первых приучаешь себя к плохому поведению - запускать всё подряд от админа, во-вторых ошибка в самом ПО может привести к серьёзным проблемам. Грубо говоря, попытка удалить файл по неправильному пути от админа и от юзера может привести к разным результатам.

35 minutes ago, ska79 said:

ПО запущенное без прав админа не сможет что то сделать

Оно и так не особо может. Ну может прибить процесс, который запущен от этого же пользователя. Прибитый процесс - не страшно и палевно. А вот чтобы прочитать данные другого процесса - уже нужны права админа.

Само предложение, видимо, основано на поведение Unix-подобных систем, где ПО изолируется через пользователей. Это вообще шикарно, но Windows архитектурно на это не ориентирован. Нужно потратить много сил, чтобы добиться похожего поведения.

 

К примеру, вот три процесса рядом и все три работают от разных пользователей у меня:

image.png.417979d3376676a0efc09ab752efcf41.png

1 minute ago, Mrak said:

Не понял зачем мне тогда создавать ещё одну учётку, если учетка админа встроенная?

Чтобы было не как в XP. Встроенная учётка даст тебе поведение, как было у админской учётки в XP. Правда я не знаю, позволяет 10+ в неё логиниться или нет. 7-ка позволяла.

3 minutes ago, Mrak said:

Думаешь, необходимость вводить пароль, остановит меня от запуска программы?

А ты попробуй. Мне помогло. Вдруг и тебе поможет пересмотреть подход.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
4 минуты назад, Umnik сказал:

Чтобы было не как в XP. Встроенная учётка даст тебе поведение, как было у админской учётки в XP. Правда я не знаю, позволяет 10+ в неё логиниться или нет. 7-ка позволяла.

То есть это разные админские права? Встроенная учётка - более крутой админ, чем тот, о создании которого ты говоришь?

Ссылка на сообщение
Поделиться на другие сайты

Админ, который создаётся - это вообще не админ. Это пользователь, которому, так и быть, можно дёргать за рукав настоящего (встроенного) админа в системе. Это что-то вроде использования sudo.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Подписки на услуги и товары стали так распространены, что обычному человеку становится все труднее удержать в голове все свои подписки. И в большинстве случаев мы значительно — больше чем в два с половиной раза — недооцениваем ежемесячные траты на них, поскольку списания небольших сумм «размазаны» во времени и не складываются в общую картину. А по статистике*, в развитых странах подписчики тратят в год на подписки сумму, сопоставимую со среднемесячным заработком.
      Согласно нашему исследованию*, в среднем по миру подписчик тратит в год $938 на 12 подписок. На первом месте жители США — у них в среднем по 18 подписок общей стоимостью $2349 в год. Жители Бразилии, Индии и России имеют в среднем по 10 подписок и тратят на них $732 в год, а дешевле всего подписки обходятся жителям Турции — $478 за 12 подписок.
      Почему такой разброс? Дело в том, что средняя стоимость одной подписки в США, Германии и Великобритании ($12 в месяц) аж в три раза выше средней стоимости подписки в России ($4).
      В среднем на подписки в год уходит сумма, сопоставимая со среднемесячной зарплатой
      Проблемой управления подписками даже озаботилось правительство США: недавно анонсированная инициатива призвана упростить отказ от ненужных подписок. Как получилось, что подписки проникли во все сферы жизни, и всегда ли это оправдано?
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Как правило, разработчики ПО являются как минимум продвинутыми пользователями компьютеров. Поэтому может сложиться впечатление, что они с большей вероятностью смогут выявить и отразить атаку злоумышленников. Но, как показывает практика, от социальной инженерии не защищен никто — надо лишь найти к человеку правильный подход. В случае IT-специалистов таким подходом часто может стать предложение хорошо оплачиваемой работы в престижной компании. В погоне за вакансией мечты даже опытные айтишники иногда теряют осторожность и начинают вести себя ничем не лучше школьников, скачивающих пиратские игры из Интернета. А реальной целью (а точнее жертвой) атаки может стать его текущий работодатель.
      Недавно стало известно о новой схеме, которую хакеры используют для заражения компьютеров интересующих их разработчиков: под видом тестового задания они подсовывают соискателям скрипт с бэкдором. И это не изолированный случай, а лишь самая свежая итерация хорошо отлаженного процесса. Хакеры уже несколько лет активно используют фейковые вакансии для охоты на IT-специалистов — и в ряде случаев добиваются поистине оглушительного успеха.
      Казалось бы, это должно быть личной проблемой айтишника. Но в современных условиях велика вероятность, что и основную работу, и тестовое задание на новую вакансию специалист будет делать на одной и той же машине. То есть под угрозой может оказаться не только личная, но и корпоративная информация.
      Фейковая вакансия, криптоигра и ограбление на $540 миллионов
      Один из самых громких случаев успешного применения тактики фейковой вакансии произошел в 2022 году. Тогда злоумышленникам удалось связаться (вероятно, через LinkedIn) с одним из старших инженеров компании Sky Mavis, которая разрабатывает криптоигру Axie Infinity, и предложить ему высокооплачиваемую работу.
      Получив заманчивое предложение, сотрудник прилежно прошел несколько инсценированных взломщиками этапов отбора. В итоге все, естественно, закончилось получением оффера, который был отправлен жертве в виде PDF-файла.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Группа исследователей безопасности обнаружила серьезную уязвимость в веб-портале, принадлежащем южнокорейскому автопроизводителю Kia, которая позволяла удаленно взламывать автомобили и следить за их владельцами. При этом, по сути, для взлома достаточно было всего лишь знать автомобильный номер потенциальной жертвы. Рассказываем подробнее об этой уязвимости.
      Слишком подключенные автомобили
      Не все об этом задумываются, но автомобили за последние пару десятилетий превратили в очень большие компьютеры на колесах. Даже не самые «умные» из них под завязку напичканы всевозможной электроникой и оборудованы целой кучей датчиков — от сонаров и видеокамер до датчиков движения и GPS.
      В последние же годы автомобили — это чаще всего не просто компьютеры, но компьютеры, постоянно подключенные к Интернету, со всеми вытекающими последствиями. Не так давно мы уже писали о том, как современные автомобили собирают массу данных о своих владельцах и передают их автопроизводителям. А также о том, как автоконцерны продают собранные данные другим компаниям, в частности страховщикам.
      Но у этой проблемы есть также и другая сторона. Постоянное подключение автомобиля к Интернету означает, что при наличии уязвимостей — как в самом автомобиле, так и в облачной системе, с которой он коммуницирует — кто-нибудь может ими воспользоваться для взлома и слежки за владельцем авто без ведома автопроизводителя.
      Так называемое «головное устройство» автомобиля — это лишь верхушка айсберга, на самом деле электроники в современных авто гораздо больше
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Как мы уже рассказывали, нельзя просто так взять и начать использовать приложения для трекинга бега, не настроив предварительно конфиденциальность и приватность как в целом на смартфоне, так и в самом трекинговом приложении. При настройках по умолчанию эти приложения делятся со всем Интернетом полной информацией о ваших тренировках, включая точную геопозицию. А мошенники и преступники умеют использовать эти данные в своих целях.
      Если вы хоть немного заботитесь о своей приватности, изучите уже опубликованные инструкции по настройке смартфонов и популярных беговых приложений — Strava, Nike Run Club, MapMyRun. А сегодняшний пост — для всех ценителей трех полосок: настроим приватность в трекинговом приложении adidas Running (версии для Android и iOS).
      Ранее известное как Runtastic, это фитнес-приложение теперь принадлежит крупнейшему европейскому производителю спортивной одежды и обуви и называется просто adidas Running. Настроек приватности в adidas Running не так много, как, например, в Strava. Тем не менее стоит убедиться в том, что все сконфигурировано правильно.
      Чтобы попасть в настройки приватности приложения adidas Running, нажмите на кнопку Профиль в правом нижнем углу, затем на кнопку с шестеренкой в правом верхнем углу и выберите пункт Конфиденциальность (в списке есть два пункта с таким названием, вам нужен верхний — с иконкой, на которой изображен ключ).
      Где найти настройки приватности в приложении adidas Running (Runtastic): Профиль → Настройки → Конфиденциальность
      Содержимое этого раздела почему-то забыли перевести на русский язык. В первую очередь здесь вас интересует пункт Maps (кому видны ваши карты) — убедитесь в том, что галочка стоит напротив Followers (подписчикам), а еще лучше — Only me (только мне).
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      «Пожалуйста, прикрепите селфи с паспортом, чтобы подтвердить свою личность» —такие предложения все чаще встречаются в различных интернет-сервисах. Фото с документом в руках требуют банки, сервисы по аренде авто, а иногда — даже будущие работодатели и владельцы съемных квартир.
      Делиться своими конфиденциальными данными таким способом или нет — личное решение каждого из вас. Мы же собрали все аргументы за и против, а также подготовили советы, как обезопасить себя, если сделать подобное селфи все же необходимо.
      Стоит ли делать селфи с документами?
      Без фотографии с паспортом в руках нельзя установить на смартфон некоторые банковские приложения, зарегистрироваться в каршеринге и аналогичных популярных сервисах или быстро оформить кредит. И тут решение, делать селфи с паспортом или нет, совершенно прозрачно.
      Хотите пользоваться популярными услугами? Делайте фото. Переживаете насчет безопасности своих данных? Не делайте фото. Но тогда вы не сможете, например, быстро перевести деньги на другой счет, приехать на работу в арендованном на скорую руку автомобиле или решить финансовые проблемы микрокредитом. Риски просты и понятны: либо безопасность, либо возможность пользоваться популярными услугами.
      Популярный аргумент у сторонников делать селфи с паспортом — предположения о том, что все их данные уже и так неоднократно слиты, поэтому им якобы не страшны возможные риски безопасности. Что ж, если разбрасываться селфи с паспортом направо и налево, иметь во всех аккаунтах один и тот же пароль вроде «12345» и не менять его десятилетиями, то на самом деле можно не переживать — все данные, скорее всего, уже давно слиты.
       
      View the full article
×
×
  • Создать...