LastPass napadnut preko kućnog računara zaposlenog
Kompanija LastPass ja napadnuta preko kućnog računara zaposlenog, stoji u objavi ove kompanije, a sumnja se na istog napadač koji je prošle godine imao pristup korisničkim podacima uskladištenim na kompromitovanom skladištu u oblaku.
LastPass napadnut preko kućnog računara zaposlenog; Dizajn: Saša Đurić
Organizacija bezbjednosti
U kompaniji LastPass kažu da samo četiri inžinjera imaju pristup ključevima za dešifrovanje pristupa Amazon Web Services (AWS) servisu, gdje se čuvaju kopije korisničkih podataka, uključujući i trezore sa lozinkama.
Ove kopije obuhvataju podatke o korisničkom računu uz potpuno šifrovana polja sa osjetljivim podacima, za koja u ovoj kompaniji kažu da su osigurana 256-bitnom AES enkripcijom. Za pristup ovom skladištu u oblaku, zlonamjerni napadač mora imati pristup ključevima za dešifrovanje pristupa AWS servisu i ključevima za dešifrovanje generisanim LastPass-om.
Šta se desilo?
Kako bi došao do pristupa skladištu u oblaku, zlonamjerni napadač je izvršio napad na kućni računar jednog od četvorice inžinjera, iskorištavajući ranjivost softverskog paketa za multimediju. Postoje informacije da je riječ o softveru Plex, uz informacije koje ukazuju i da je ova kompanija za Internet prenos sadržaja (eng. streaming) kompromitovana otprilike u isto vrijeme. Ranjivost je omogućila napadaču da na računaru izvrši pokretanje proizvoljnog kôda, nakon čega je ubačen softver koji prati korisničku aktivnost unosa podataka – Keylogger.
Koristeći ovaj zlonamjerni softver, napadač je saznao glavnu lozinku za pristup komparativnom trezoru sa lozinkama ovog zaposlenog inžinjera u LastPass-u. Nakon toga je izvršio preuzimanje sadržaja trezora u kojem su između ostalog bile bilješke sa ključevima za dešifrovanje i pristup AWS servisu i još nekim kritičnim resursima.
Napadač je na kraju otkriven kada je bezbjednosni sistem AWS servisa otkrio neobično ponašanje korisnika koji je pokušavao da obavi neke neovlaštene aktivnosti, nakon čega je obaviještena kompanija LastPass.
Šta se preduzima?
Kompanija LastPass uz pomoć sigurnosne kompanije Mandiant vrši prikupljanje dokaza koji detaljno opisuju potencijalne aktivnosti zlonamjernog napadača. Iako još uvijek nije utvrđeno ko stoji iza napada, istraga pokazuje da je napadač bio uporan i snalažljiv.
Urađeno je i jačanje bezbjednosti kućne mreže inžinjera i njegovih ličnih resursa. Uz to kompanija je rotirala podatke za pristup sa visokim privilegijama za koje se zna da su bili dostupni napadaču, radi se na rotaciji podatka za pristup sa nižim privilegijama, kao i na opozivu i izdavanju novih certifikata za koje se sumnja da je napadač kompromitovao.
Savjeti za korisnike
Korisnici sa podrazumijevanim podešavanjima LastPass-a koji koriste jedinstvenu glavnu lozinku od najmanje dvanaest znakova ne moraju poduzimati ništa. Međutim, korisnici koji imaju slabije lozinke i korisnici koji ne koriste LastPass federated servis za prijavu trebaju razmisliti o promjeni sačuvanih lozinki.
Korisnici moraju shvatiti da su menadžeri lozinki prirodna meta za zlonamjerne napadače, jer tako pokušavaju doći do pristupa korisničkim nalozima. Jedan uspješan napad omogućava napadaču pristup svim korisničkim lozinkama koje se čuvaju u trezoru sa lozinkama. Uprkos ovom riziku, preporuka je da korisnici koriste menadžere lozinki sve dok oni poštuju tehničke standarde koji sprečavaju samog pružaoca usluge, a time i napadače da pristupe glavnom ključu za dešifrovanje.
Kompanija LastPass u svojoj izjavi kaže sljedeće: “LastPass nikada nije upoznat sa glavnom lozinkom i LastPass je ne čuva niti održava. Šifrovanje i dešifrovanje podataka se vrši samo na lokalnom LastPass klijentu.”
