Sikkhetseksperten Bogner har også lagt ut en video av hvordan han lurer KeePass.
Sikkhetseksperten Bogner har også lagt ut en video av hvordan han lurer KeePass.

Annonse


Kjent passord-program prioriterer inntjening foran sikkerhet

KeePass, utviklet av Dominik Reichl, er ute i hardt vær etter at en sikkerhetsekspert påpekte en graverende feil i oppdateringsmekanismen til programmet.

Liten men stor
KeePass er kanskje ikke like kjent som LastPass og andre, men har vært i bruk i en årrekke av svært mange brukere. Spesielt populær har den vært blant IT-avdelinger og ellers i bedrifter. En av grunnene til dette er antallet plattformer den er tilgjengelig på, muligheten til å dele passordfiler og ikke minst synkronisering med egen server.

Mannen i midten
Det var Florian Bogner, en sikkerhetsekspert hos Kapcsh fra Østerrike, som først påpekte en sikkerhetsbrist i oppdaterings-mekanismen til KeePass 2. Bristen består i at keepass.info ikke bruker https for å kryptere trafikken til og fra siden, og dette er også hvor oppdateringsfilene til programmet lastes ned fra.

Dette gjør det mulig å gjennomføre et MitM (Man in the Middle) angrep, hvor en angriper utgir seg for å være keepass.info, og kan dermed fore brukere med skadevare ved å late som om de serverer en oppgradering til programmet.

Annonse


@SecuriTay fikk også med seg denne saken:

Mister inntekter
I et tilsvar til Bogner skriver Reichl at «Sikkerhetsbristen vil ikke bli fikset. De indirekte kostnadene med å bytte til HTTPS (som tapte reklameinntekter) gjør det til en ikke-levedyktig løsning».

Vil bytte, senere
I en diskusjon på SourceForge skriver Reichl at «det er sant at KeePass ikke er tilgjengelig via HTTPS frem til nå. Å flytte oppdateringsfilen til et HTTPS nettsted er ubrukelig hvis KeePass nettstedet fremdeles bruker HTTP. Det gir bare mening når HTTPS brukes for begge.»

Han legger videre til at «dessverre, av ulike grunner er å benytte HTTPS for tiden ikke er mulig, men jeg følger dette og vil selvfølgelig bytte til HTTPS når det blir mulig.»

Verifiser filen uansett
I samme diskusjonen på SourceForge kommer Reichl med et forslag til hvordan man kan forsikre seg om at filen du lastet ned er filen han har lagt ut:

«Mye viktigere er det å bekrefte nedlastingen (som jeg vil anbefale uavhengig av hvor du laster ned KeePass fra). Binærfilene er digitalt signert (Authenticode); du kan sjekke dem ved hjelp av Windows Utforsker, ved å til “Egenskaper ” ->  fanen “Digitale signaturer”».

Se en video hvor Bogner demonstrerer angrepet her:

Kilde:
@Securitay via Bogner.sh
Engadget

Annonse