Суббота, 6 июня, 08:01
дома безопасность KeePass решает не исправлять недостатки безопасности!

KeePass решает не исправлять недостатки безопасности!

Менеджер паролей KeePass преднамеренно отказался исправить уязвимость, которая допускает атаки MitM (Man-in-the-Middle) во время процесса обновления приложения.

В феврале прошлого года Флориан Богнер, разработчик для Kapsch BusinessCom, обнаружил, что все версии KeePass 2.x оснащены небезопасным механизмом обновлений, который запрашивает у серверов KeePass новые версии через небезопасные HTTP соединение.

KeePass решает не исправлять недостатки безопасности!

Bogner смог создать и запустить MITM-атаку, заменив обновление KeePass вредоносным файлом (вы можете увидеть видео ниже). Эта атака была возможной, потому что KeePass не использовал HTTP и не мог контролировать отброшенные пакеты.

[su_youtube url = ”https://youtu.be/gOxcQSbpA-Q” width = ”640 ″ height =” 380 ″] https://www.youtube.com/watch?v=B7o0qA4L4So [/ su_youtube]

Исследователь сообщил руководителю проекта KeePass Доминику Рейхлю, который в феврале сообщил Богнеру по электронной почте, что «уязвимость не будет исправлена. Косвенные затраты на переход на HTTPS (такие как потеря рекламных доходов) делают его неустойчивым решением ».

После получения CVE-ID от Mitre, CVE-2016-5119, исследователь решил публично его исследования, которые вскоре пришли на все форумы, посвященные безопасности, не из-за умного подвига, а скорее из-за ответа Рейхла, который выбрал сладкие деньги реклама вместо безопасности своих пользователей.

После реакции многих пользователей Рейхл ответил своим критикам, заявив, что его отношение не изменилось, чтобы добавить поддержку HTTPS во время процесса обновления, но показал, что он добавил поддержку цифровые подписи для всех пакетов обновлений KeePass. Полный ответ Райхла следующий:

«Это правда, что веб-сайт KeePass не был доступен через HTTPS до сих пор. Перемещение файла с информацией об обновлении на веб-сайт HTTPS бесполезно, если сайт KeeePass все еще использует HTTP. Это имеет смысл, только если HTTPS используется для обоих. К сожалению, по разным причинам использование HTTPS временно невозможно, но, учитывая это, я, конечно, переключусь на HTTPS, когда это возможно. Гораздо важнее проверить вашу загрузку (которую я бы порекомендовал независимо от того, где вы загружаете KeePass). Двоичные файлы имеют цифровую подпись (Authenticode). Вы можете проверить их с помощью проводника Windows, перейдя на вкладку «Свойства -> Цифровые подписи». "

Пока Рейхл передумает и добавляет HTTPS Поддерживая процесс обновления KeePass, лучше всего использовать функцию цифровых подписей для проверки пакетов обновлений или перейти на веб-сайт KeePass и загрузить файлы вручную.

Это не первый раз, когда KeePass проверяется исследователями в области безопасности. Напомним нашим читателям, что осенью прошлого года другой исследователь безопасности создал KeeFarceинструмент для извлечения паролей в виде простого текста из внутренней базы данных KeePass.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

LIVE NEWS

Call of Duty Black Ops Cold War: утечка первого видео

Первое видео из игрового процесса Call of Duty 2020, которое, по слухам, называется Black Ops Cold War, только что было опубликовано.

Элон Маск: «Пора расстаться с Амазонкой»

Элон Маск усиливает борьбу с Джеффом Безосом новым твитом: генеральный директор Tesla Inc., Элон Маск, сказал ...

Атака на американские 5G башни в субботу!

По сообщению NATE, в течение выходных запланированы акции протеста против подключения 5G. Согласно рекомендации, которая была определена ...

Обновления Windows 10: Вы можете заблокировать их с помощью Wu10Man!

Microsoft выпустила обновление для Windows 10 в мае 2020 года, поэтому оно скоро будет доступно на вашем компьютере ....

ECh0raix Ransomware: новая кампания, ориентированная на устройства QNAP NAS!

Вредоносные агенты eCh0raix Ransomware запустили новую кампанию, ориентированную на устройства QNAP NAS. Эхраикс наблюдался ...

Mac: Как изменить место хранения ваших скриншотов?

Когда вы делаете снимки экрана на вашем устройстве Mac с помощью ярлыка Shift-Command-3, чтобы сделать снимок экрана всего экрана компьютера или Shift-Command-4 ...

Malware USBCulprit: направляет устройства, которые не подключены к сети

Вы думали, что устройства без какого-либо подключения к локальной или другой сети (устройства с воздушным зазором) безопасны? Подумай еще раз! Вредоносная программа USBCulprit, которая ...

Бесплатные команды Microsoft: вы, наконец, можете создавать встречи!

Пользователи бесплатной версии Microsoft Teams теперь могут создавать видео встречи. Изменение, обозначенное ...

Сертификация систем информационной безопасности и управления информационными услугами

Сертификация систем информационной безопасности и управления ИТ-услугами: ISONIKE Ltd - европейский орган по оценке и сертификации, год основания которого ...

Топ 10 хакерских компаний в Европоле

Хакерские атаки, которые происходят во всем мире, постоянно растут, поэтому многие компании, которые осуществляет Европол, нейтрализуют различные подобные спирали / группы. Ниже...