Gerenciadores de senhas deixam informações na memória

Gerenciadores de senhas deixam informações na memória. Uma auditoria em alguns gerenciadores de senhas populares para o Windows revelou fraquezas.

Felizmente, nenhum dos problemas é um obstáculo que deve afastar as pessoas de tais aplicativos.

Independent Security Evaluators, sediados em Baltimore, divulgaram na terça-feira, 20 de fevereiro, os resultados de sua análise nas versões para Windows do LastPass, KeePass, Dashlane e 1Password.

Os pesquisadores descobriram que os aplicativos não conseguiram eliminar todos os bits de dados deixados na memória, o que representa um risco se um invasor tiver acesso físico à máquina.

Ficamos surpresos com a inconsistência na limpeza e retenção de segredos na memória quando em execução desbloqueado e, mais importante, quando colocados em estado de bloqueado“, escreve o ISE em seu relatório.

Se os gerenciadores de senhas não conseguirem limpar segredos em um estado de execução bloqueado, esse será o problema que fornecerá o caminho de menor resistência a um comprometimento bem-sucedido de um gerenciador de senhas em execução na estação de trabalho de um usuário.“, complementa.

Os gerenciadores de senhas são ferramentas incrivelmente valiosas na era das violações de dados. A maioria possui geradores de senhas embutidos, que podem criar e gerenciar uma senha exclusiva para cada site ou serviço diferente usado por um usuário.

Isso é importante porque as invasões de contas geralmente são causadas por pessoas que reutilizam senhas que já foram roubadas por hackers. Muitos especialistas em segurança da informação também recomendam que todos usem um gerenciador de senhas.

Geoffrey A. Fowler Colunista de Tecnologia do Washington , baseado em  Sao Francisco divulgou um vídeo, no Washignton Post onde mostra como os gerenciadores de senhas são uma maneira muito melhor (e mais segura) de gerenciar as senhas em seus sites favoritos.

Mas como acontece com qualquer software, existem riscos. Os gerenciadores de senhas geralmente são desbloqueados com uma senha mestra, que é a chave para todos os outros dados confidenciais e, portanto, um possível ponto único de falha.

Como qualquer aplicativo, os gerenciadores de senhas também interagem com o sistema operacional e a memória de um computador, por isso é importante para a segurança máxima que os aplicativos deixem o mínimo possível de rastros digitais.

Os desenvolvedores de gerenciadores de senhas se preocupam com a segurança e reforçaram sua infraestrutura e usam corretamente uma criptografia robusta, diz Adrian Bednarek, analista sênior de segurança e pesquisador do ISE. Mas os clientes e usuários continuam sendo o elo mais fraco, e é por isso que os vestígios de dados de senha em um computador podem representar um risco se forem comprometidos, diz ele.

Queríamos esclarecer que os gerenciadores de senhas executados em computadores de usuários devem empregar todas as defesas possíveis para protegê-los contra ameaças existentes e emergentes“, diz Bednarak.

1Password: Não limpa o suficiente

Então aqui está a boa notícia, resumidamente, primeiro: Todos os aplicativos testados protegeram adequadamente suas senhas armazenadas e senhas mestres quando não estavam em execução. Mesmo se um invasor tivesse acesso a uma máquina local, nenhuma informação útil poderia ser coletada.

Nenhum dos pontos fracos encontrados pelo ISE pode ser explorado remotamente pela Internet.

Menos encorajador, no entanto, foi uma olhada quando os gerenciadores de senhas foram desbloqueados ou desbloqueados e bloqueados novamente.

As versões do 1Password parecem ter tido mais problemas. O ISE encontrou 1Password4 deixa uma versão ofuscada da senha mestre na memória após o aplicativo ter sido desbloqueado. Embora tenha sido ofuscado, o ISE conseguiu inverter duas sequências para revelar o texto claro.

A versão atual, 1Password7, foi mais problemática. O mecanismo de bloqueio foi “essencialmente ineficaz”, escreve o ISE.

Descobrimos que 1Password7 não limpa as senhas individuais, a senha mestra, nem a chave secreta (um campo extra introduzido no 1Password6 que combina com a senha mestra para derivar a chave de criptografia) da memória ao fazer a transição de desbloqueado para bloqueado“, escreve o ISE .

A única maneira de limpar esses dados é encerrar 1Password7 completamente, o que libera os dados da memória. O ISE também se deparou com um bug de exceção do modo kernel no 1Password7 causado por um problema de hardware não relacionado.

Ao examinar este arquivo de despejo de memória, nos deparamos com nossos segredos que o 1Password7 mantinha o texto puro [sic], na memória, em um estado bloqueado quando ocorria o erro de parada“, escreve o ISE.

Para Goldberg a ameaça real destas questões é limitada. Além disso, nenhum aplicativo pode ser executado com segurança em um computador em que um invasor tenha acesso à memória.

No fórum da 1Password, Goldberg diz que “usar um gerenciador de senhas não é suficiente, você ainda precisa praticar os hábitos de segurança de bloquear seu sistema, mantê-lo atualizado e muito mais.”.  Esta é uma questão bem conhecida que tem sido discutida publicamente muitas vezes antes, mas qualquer cura plausível pode ser pior do que a doença“, complementa.

A longo prazo, talvez não precisemos fazer essa troca. Mas, dadas as ferramentas à nossa disposição, tivemos que tomar uma decisão, e é uma que eu mantenho. Não vamos voltar aos velhos e maus dias da memória corrompida do programa. Questões de segurança raramente têm respostas simples (levando assim ao meu “e-mail longo”). E os projetos de segurança geralmente envolvem compensações de segurança / proteção que exigem consideração ponderada de riscos. Espero que os leitores vejam que nos envolvemos nesse processo.”, finaliza Goldberg em seu post.

Dashlane, KeePass, LastPass

O Dashlane também expõe seu banco de dados de senhas completo em estado bloqueado e desbloqueado, segundo o ISE.

Normalmente, apenas a última senha que uma pessoa usou é deixada na memória. Mas por algum motivo, o ISE descobriu que, se um usuário atualizasse uma entrada, todo o banco de dados seria exposto em texto não criptografado em estado bloqueado e desbloqueado.

O CEO da Dashlane, Emmanuel Schalit, diz à ISMG que o risco delineado pela pesquisa, onde alguém obtém o controle local de uma máquina e acesse dados na memória, é uma fraqueza compartilhada por qualquer aplicativo em um computador. Ele alertou que a pesquisa não deve impedir as pessoas de usar gerenciadores de senhas, já que os benefícios superam os riscos.

É geralmente bem conhecido no mundo da segurança cibernética que o cenário acima é extremo, no sentido de que nenhum mecanismo pode proteger a informação digital em um dispositivo se esse dispositivo já estiver totalmente comprometido“, diz Schalit.

O KeePass expõe alguns dados de texto não criptografado na memória, mas no lado positivo, a senha mestra é irrecuperável. Embora o KeePass supostamente elimine dados, o ISE escreve que o KeePass indicou que as APIs do sistema operacional Windows “podem fazer cópias de vários buffers de memória que podem não ser expostos ao KeePass para limpeza“.

As senhas descriptografadas também continuam a viver na memória no LastPass versão 4.1.59, que não é a versão mais recente. A senha mestra também “vazou em um buffer de sequência de caracteres na memória e nunca foi limpa, mesmo quando o LastPass é colocado em um estado bloqueado“, escreve o ISE.

O desenvolvedor do KeePass, Dominik Reichl, diz que o ISE encontrou um problema bem conhecido com gerenciadores de senhas.

No site do KeePass Help Center informa que :

Enquanto o KeePass está em execução, os dados confidenciais são armazenados criptograficamente na memória do processo. Isso significa que, mesmo que você despeje a memória do processo KeePass no disco, não será possível encontrar dados confidenciais. Por motivos de desempenho, a proteção de memória de processo só se aplica a dados confidenciais; dados confidenciais aqui incluem, por exemplo, a chave mestra e senhas de entrada, mas não nomes de usuários, notas e anexos de arquivos. Observe que isso não tem nada a ver com a criptografia dos arquivos de banco de dados; Nos arquivos de banco de dados, todos os dados (incluindo nomes de usuário, etc.) são criptografados. Além disso, o KeePass apaga toda a memória crítica de segurança (se possível) quando não é mais necessária, isto é, substitui essas áreas de memória antes de liberá-las.”

O LastPass já resolveu os problemas!

Um porta-voz do LastPass disse que os bugs foram corrigidos em uma atualização do LastPass for Applications, que é um recurso pago pelo LastPass. Ela acrescentou que a versão testada pelo ISE é usada por menos de 0,2% de seus usuários e que “não temos nenhuma indicação ou razão para acreditar que algum dado sensível do usuário do LastPass tenha sido comprometido“.

O porta-voz também disse que os invasores precisariam de acesso local e de administrador ao computador comprometido. Esse é um ponto importante que se aplica a todos os problemas encontrados pelo ISE. Nenhum dos pontos fracos encontrados pelo ISE poderia ser explorado remotamente pela internet, o que seria um cenário muito mais perigoso.

Ainda assim, o ISE ressalta que é comum que os administradores visualizem máquinas que foram comprometidas por malware como parte da resposta a incidentes. Isso significa que arquivos de memória, registros de falhas ou logs de depuração podem ser copiados e armazenados em outros locais. Se isso aconteceu com alguém que está executando o 1Password7, por exemplo, a pessoa “deve assumir que todos os segredos foram comprometidos“, diz o relatório.

Bednarek acrescenta: “Um gerenciador de senhas bloqueado não deve expor segredos, e estamos felizes em ver as medidas sendo tomadas para reduzir a probabilidade de exposição de informações sensíveis à atividade adversária“.

Reforço das Defesas

Geoffrey, escreve sua notícia no Washington Post que ambos os lados concordam em uma coisa: “seus dispositivos pessoais são o elo fraco”. É muito mais difícil para um gerenciador de senhas – ou qualquer software – proteger seus dados valiosos se o computador em que você está trabalhando estiver comprometido.

Portanto, reforce suas defesas para não ser invadido:

  • Atualizando seu software religiosamente. Novas versões contêm patches de segurança muito importantes.
  • Verificando o seu computador em busca de malware.
  • Ser muito cuidadoso com a instalação de software proveniente de locais que não sejam lojas de aplicativos gerenciados pela Microsoft, Apple e Google. Diga não às extensões do navegador da Web e mensagens pop-up.
  • Não armazenar segredos extremamente valiosos, como chaves privadas de bitcoin em gerenciadores de senhas.

A outra lição da nova pesquisa está em como os gerenciadores de senhas lidaram com o problema. “Todos eles não são criados iguais“, disse Bednarek. Dashlane e KeePass fizeram o melhor trabalho em proteger senhas mestras na memória do computador.

Geofrey diz que também aprendeu com a seriedade com que eles responderam ao ISE quando Bednarek os contatou – e para ele próprio quando os contactou. O KeePass descartou isso como notícias antigas. Dashlane colocou-o ao telefone com seu CEO. O Chief Defender do 1Password enviou longos e-mails discutindo o problema. O LastPass me fez falar com seu principal executivo técnico.

Troy Hunt, especialista em segurança que administra o banco de dados de senhas comprometidas Haveibeenpwned.com, diz que os gerenciadores de senhas devem ser o mais resilientes possível. “Se o resultado disso é que os gerenciadores de senhas afetados fortalecem ainda mais sua postura de segurança, isso é bom“, disse ele. “Contanto que isso não afugente seus usuários.”

Fonte: The Washington PostBankInfoSecurity & 1Password Fórum & ISE

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Os desafios da diversidade de gênero na Segurança da Informação
  2. Amazon envia emails com informações de reembolsos para pessoas erradas - Minuto da Segurança da Informação
  3. Top 20 Controles Críticos de Segurança para Higiene Cibernética Eficiente
  4. Crowdfense oferece US $ 3 milhões para vulnerabilidades Zero day

Deixe sua opinião!