Ne tür bir güvenlik yazılımı kullanmam gerektiği sorulduğunda cevabım her zaman şu şekilde başlıyor: “İyi bir şifre yöneticisi bulun ve onu kullanın.”
Konuyla ilgili çoğu mantıklı ve cevaplanması gereken aynı soruları ve itirazları duymaya devam ediyorum. Ve çoğu zaman konu LastPass’a gelir.
LastPass’e ne oldu?
Parolalarınızı düzenlemenize yardımcı olan çevrimiçi hizmetler arasında LastPass ilk liderlerden biriydi. Ve önemli bir oyuncu olmaya devam ediyor. LastPass markası, LogMeIn’in şirketi sekiz yıl önce 110 milyon dolara satın almasına yetecek kadar değerliydi. Birkaç yıl sonra LastPass, LogMeIn’in sahibi olan özel sermaye şirketlerinin kontrolü altında kalarak kendi başına bir şirket haline geldi. Satışa ilişkin açıklamasında, PCMag bu şirketlerin “bir varlığın değerini daha sonraki satışlar için en üst düzeye çıkarma konusunda uzmanlaşmak.”
Bu durum bir BT güvenlik şirketi için pek de güven verici değildi. Bu nedenle sonuç tahmin edilebilirdi. LogMeIn, 2021’de LastPass’ı ayrı bir şirkete dönüştüreceğini duyurdu. Yazılım sektörünün akıllı gözlemcileri bu senaryonun da nadiren iyi sonuçlar verdiğini biliyor. En iyi ihtimalle, birleşme ve satın almalar bağlamındaki yeniden yapılanmalar nedeniyle çalışanlarınızın dikkatleri görevlerinden uzaklaştırılır. En kötü senaryo…işte başlıyoruz.
En son LastPass saldırısı neden bu kadar felaketti?
LastPass, en az 2011’den bu yana birçok saldırının kurbanı oldu. Ancak 2022’deki iki saldırı özellikle ciddiydi. LastPass blog gönderisinin Aralık 2022 tarihli resmi bildiriminin başlığı yalnızca “Son Güvenlik Olayı Bildirimi” idiancak bu gönderinin içeriği, sırlarını güvende tutmayı vaat eden bir çevrimiçi hizmet için ödeme yapan müşteriler için bir kabus senaryosuydu.
Yakın zamanda, yetkisiz bir tarafın, LastPass’ın üretim verilerimizin arşivlenmiş yedeklerini depolamak için kullandığı üçüncü taraf bulut tabanlı depolama hizmetine eriştiğini size bildirmiştik.
Bu saldırı, Ağustos 2022’de LastPass ağlarına yapılan başka bir başarılı saldırının ardından gerçekleşti. Bu olayda saldırganlar, bir LastPass çalışanını hedef almak için kullandıkları bilgileri elde etti ve Amazon’un AWS’sindeki dosyalara erişmek ve bunların şifresini çözmek için kullandıkları kimlik bilgilerini ve anahtarları ele geçirdiler. S3.
Ve hepsi bu değil.
Bugüne kadar, bulut depolama hizmeti erişim anahtarı ve çift depolama konteyneri şifre çözme anahtarları alındıktan sonra saldırganın müşteri hesap bilgilerini ve şirket adları, son kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları dahil olmak üzere ilgili meta verileri kopyaladığını belirledik. ve müşterilerin LastPass hizmetine eriştiği IP adresleri.
Bilgisayar korsanı ayrıca, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi kullanıcı adları ve şifreleri gibi tamamen şifrelenmiş hassas alanları içeren özel bir ikili formatta saklanan şifrelenmiş depolama konteynerinden müşterilerin kasa verilerinin bir yedeğini kopyalamayı başardı. , güvenli notlar ve formlara doldurulmuş veriler.
Çalınan verilerle ilgili teknik detayları öğrenmek istiyorsanız bunu okuyun davanın ayrıntılı özeti Lawrence Abrams tarafından Bleeping Computer’da.
Kötü haber ise çok sayıda müşteri verisinin çalınmış olması. İyi haber şu ki, şifre kasaları, kullanıcının şifresinden türetilen ve LastPass ile hiçbir zaman paylaşılmayan benzersiz bir şifreleme anahtarıyla 256 bit AES teknolojisi kullanılarak şifrelenmişti, bu da onları kırmanın olağanüstü miktarda zaman ve bilgi işlem kaynakları gerektireceği anlamına geliyordu.
(Ek not: böyle bir paragraftan sonra insanın asla okumak istemeyeceği kelime Fakat. Ne yazık ki…)
Ancak LastPass, web sitesi URL’leri ve “e-posta adresleri” de dahil olmak üzere diğer müşteri verilerine aynı düzeyde şifreleme uygulamamıştır. Saldırganların hangi parola kasalarının en yararlı olacağını belirlemesine olanak tanıdığı için bu bilgilerin son derece değerli olduğu kanıtlandı. Güvenlik uzmanı Brian Krebs’e göre bu hedefleme saldırı dalgasını açıklayabilir LastPass hackinden kısa bir süre sonra başlayan kripto para cüzdanlarına karşı:
Uzun zamandır en iyi uygulama, parolaları ya parola yöneticisi gibi şifrelenmiş bir kapta ya da Trezor ya da Ledger cüzdanı gibi belirli amaçlı bir çevrimdışı donanım şifreleme aygıtında saklamak olmuştur.
Şifre çok önemli,” diyor kripto para birimi cüzdan kurtarma konusunda uzmanlaşmış bir şirket olan Unciphered’in analitik direktörü Nick Bax. “Eğer benim şifrem sizde varsa onu kopyalayıp cüzdanınıza yapıştırabilirsiniz ve ardından tüm hesaplarımı görebilirsiniz. Ve paramı transfer edebilirsin.”
[…]
Güvenlik araştırmacıları, Aralık 2022’den bu yana her ay yaklaşık iki ila beş büyük dolarlık hırsızlıkla birlikte, 35 milyon dolardan fazla kripto para hırsızlığını 150’den fazla kurbanla ilişkilendiren benzersiz bir imza belirlediler. Röportaj yapılan kişi, kripto para cüzdanlarının parolalarını LastPass’ta sakladıkları yönünde.
LastPass’ın başına gelenler başka bir şifre yöneticisinin başına da gelebilir mi?
Tüm göstergeler LastPass’ın yıllardır inanılmaz derecede ihmalkar olduğunu gösteriyor. Hedeflenen çalışan, AWS şifre çözme anahtarlarına erişimi olan dört DevOps mühendisinden biriydi. En hassas müşteri verilerine erişen herkesin, güvenli bir ağ üzerinde çalışan özel bir bilgisayar kullanacağını düşünürsünüz. Ama hayır.
Mühendis bu verilere, üçüncü taraf bir medya sunucusunu da çalıştıran kişisel bir bilgisayardan erişti ve bu bilgisayar da neredeyse aynı saldırganlar tarafından ele geçirildi. Onlar da bu açıktan yararlanarak çalışanın LastPass hesaplarındaki ana parolasını ve LastPass müşteri verilerine erişme ve şifrelerini çözme anahtarlarını içeren şifrelenmiş notları çalmak için kullandılar.
LastPass daha önce müşterilerinin ana şifrelerinin gerekli uzunluğunu 8’den 12 karaktere çıkarmış ve ayrıca bu yeni şifrelerden özel anahtarlar oluşturmak için kullanılan yineleme sayısını da artırmıştı. Ne yazık ki şirket, kullanıcılardan mevcut şifrelerini değiştirmelerini talep etmemişti; bu, eski bir şifre kullanan uzun süreli müşterilerin, kaba kuvvet saldırılarına karşı çok daha savunmasız olan zayıf şifreleme kullandığı anlamına geliyordu.
Olayın ardından LastPass, güvenlik politikalarında uzun bir değişiklik listesi duyurdu. Ama hasar çoktan verilmişti.
Bunlar LastPass’e yönelik ilk saldırılar değildi. 2017 yılında araştırmacılar, şirketin 2FA kimlik bilgilerini işleme biçiminde utanç verici bir kusuru ortaya çıkardı. Bu kusur, önceki yıldaki çok sayıda istismarın ardından geldi ve Google’ın Project Zero’sundan Tavis Ormandy’nin inanamayarak şu soruyu sormasına yol açtı: “İnsanlar gerçekten LastPass kullanıyor mu?”
Başka hiçbir tanınmış şifre yöneticisinin (ve çok sayıda vardır) böyle bir geçmişi yoktur.
Tüm şifrelerinizi tek bir yere koymak sorun yaratmaz mı?
Evet, teoride.
Ancak özel bir şifre yöneticisi, sıradan hafızaya sahip insanların, kullandıkları her güvenli hizmet için güçlü, benzersiz, rastgele şifreler oluşturup hatırlamasının tek pratik yolu olmaya devam ediyor.
Bir benzetme yapmak gerekirse: Eğer 10.000 Euro’luk nakit paranız olsaydı, her yüz Euro’luk banknotu plastik kilitli ucuz bir kumbarada mı saklamayı tercih ederdiniz, yoksa o tomar banknotu bankadaki bir kasaya mı koymayı tercih ederdiniz? güçlü? LastPass’ın yaptığı şey, anahtarları tezgahtaki kasaya bırakmak ve ön kapıyı kilitlemeyi unutmaktı.
Neyse… Şifrelerinizi şifreli bir kasaya koyarsanız, zorluk o kasayı korumaktır.
Ve işte en önemli şey: güçlü şifreleme gerçekten işe yarıyor! LastPass dahil tüm modern şifre yönetimi hizmetleri, sıfır bilgi modeli kullanır; bu, hizmetin, hesabınıza erişmek için kullandığınız özel şifreleme anahtarınıza veya parolanıza erişimi olmadığı anlamına gelir.
Bu şifrelenmiş dosyaların çalınabilmesi için çok kararlı bir saldırganın ve LastPass’in ağır ihmalinin bir araya gelmesi gerekti. Bildiğim kadarıyla başka hiçbir şifre hizmeti bu tür müşteri verilerini kaybetmedi. Eğer böyle olsaydı manşetlere taşınırdı.
Birisinin şifrelenmiş şifrelerinizi çalma ihtimalinden gerçekten endişeleniyorsanız, KeePass gibi bir şifre yöneticisi seçebilirsiniz. güvenli mağaza ayrı bir yerde. Ancak iyi çalışan bir şifre yönetimi hizmeti (LastPass değil), günlük işlerinin bir parçası olarak bu görevi yerine getirebilmelidir.
Birisi ana şifremi çalarsa şifre kasamdaki her şeye erişemez mi?
Parola yönetimi hizmetiniz işini yapıyorsa ve yeni bir cihazda ek kimlik doğrulama gerektiriyorsa (bir saldırganın kimlik bilgilerinizi çalıp daha sonra bunları kendi cihazından kullanmaya çalışması gibi) durum böyle değildir.
Ana şifrenizi çalan bir bilgisayar korsanı, bu anahtarı sağlayamayacağı için şifrelenmiş kasanıza erişemeyecektir.
Ek olarak çoğu şifre yöneticisi, hesabınıza ve şifre verilerinize erişime izin vermeden önce yeni girişleri onaylamak için güvenilir bir cihaz kullanmanızı gerektiren iki faktörlü kimlik doğrulamayı ayarlamanıza izin verir. Burada da ana şifrenizi ele geçiren bir bilgisayar korsanı, izninizi almadan ve sizi önceden uyarmadan bu şifreyi kullanamayacaktır.
Tarayıcı tabanlı bir şifre yöneticisi kullanabilir miyim?
Hatırlayabildiğim kadarıyla her tarayıcı üreticisi şifre doldurma işlevleri sunuyordu. Birkaç yıl önce bu işlevler ilkel düzeydeydi ve üçüncü taraf seçeneğini tercih etmek mantıklıydı.
Ancak son yıllarda tüm modern tarayıcılar (Apple, Google, Microsoft ve Mozilla) kimlik doğrulama çözümlerinde büyük ilerlemeler kaydettiler ve bu da onları iyi bir şifre yöneticisinin temel özellik kümesine eşdeğer hale getirdi. Hepsi ücretsiz olduğundan ve iyi yönetilen bulut depolamayı kullandığından, tamamen kabul edilebilir seçeneklerdir.
Kaynak : “ZDNet.com”