Cosa succede se un password manager come LastPass viene violato/compromesso?

Cosa succede se un gestore di password viene compromesso dipende molto da che tipo di attacco è stato eseguito e esattamente quali informazioni sono state compromesse. Userò LastPass come esempio qui, perché ha avuto il maggior numero di violazioni della sicurezza pubblicamente divulgate. In generale queste informazioni si applicano alla maggior parte delle applicazioni di gestione delle password. Ci sono diversi scenari probabili per quanto riguarda l'attacco e la compromissione dell'applicazione. I possibili attacchi includono:

COMPROMISSIONE DEL SITO WEB DEL FORNITORE

In questo scenario, un aggressore è riuscito ad ottenere un accesso non autorizzato al sito web del fornitore, ed è stato in grado di ottenere informazioni sull'account del cliente come indirizzi e-mail, suggerimenti per il recupero della password e password hash di accesso al sito del fornitore. È possibile, ma meno probabile, che l'attaccante possa ottenere i numeri delle carte di credito o i file criptati del caveau delle password. Questo è lo scenario di attacco più probabile, ed è realmente accaduto.

Analisi: Tutte le applicazioni di gestione delle password rispettabili mantengono le password degli utenti in un file criptato.

• Un caveau di password criptate significa che le password degli utenti sono al sicuro, anche se un attaccante ha violato il sito web del fornitore e ha copiato il file del caveau. LastPass, come la maggior parte dei suoi concorrenti, utilizza la crittografia AES-256 e una forte chiave del caveau (100.000 giri di hashing BPKDF2). È improbabile che un attaccante sia in grado di decifrare questo file durante la vita della vittima, a meno che la master password del vault sia debole (per esempio, una password che è già in una lista di password compromesse).
• In teoria, gli utenti dovrebbero avere password diverse per l'account del sito web del fornitore e la master password del vault. Sono utilizzate procedure diverse per derivare la chiave del caveau e l'hash della password memorizzata nel sito web del fornitore (l'hash della password sul sito web del fornitore include un sale e idealmente un valore di pepe che non è presente quando si deriva la chiave del caveau). Questo impedisce a un attaccante di usare l'hash della password per ottenere la chiave del caveau, anche se l'utente ha selezionato la stessa password per il suo account con il fornitore dell'applicazione e il suo caveau di password.

Risultato previsto dell'attacco: L'utente è costretto a cambiare la propria password sul sito del fornitore dell'applicazione di gestione delle password, e l'utente potrebbe dover monitorare l'attività sulla carta di credito utilizzata per acquistare il software. Nessuna compromissione delle password di altri account è probabile.

Risultato effettivo dell'attacco: LastPass ha effettivamente avuto questo tipo di compromesso due volte, nel 2011 e di nuovo nel 2015. In entrambi i casi, gli aggressori potrebbero essere stati in grado di ottenere indirizzi e-mail, suggerimenti per il recupero della password, password di accesso hash e valori di sale delle password. Non ci sono prove che i dati delle password degli utenti siano stati compromessi a seguito di questi attacchi.

Vulnerabilità dell'estensione del browser del gestore di password

In questo scenario, un attaccante ha scoperto e sta attivamente sfruttando le falle nel codice dell'estensione del browser del gestore di password. Questo permette all'attaccante di richiedere password per altri siti o di iniettare codice. Questo è anche uno scenario probabile ed è anche realmente accaduto.

Analisi: La maggior parte delle applicazioni di gestione delle password includono estensioni per i browser web più diffusi che consentono loro di compilare automaticamente le informazioni sulle password per conto dell'utente. Queste estensioni tipicamente usano l'URL del sito e il contenuto della pagina per determinare quali dati della password fornire, e poi riempiono i campi automaticamente. Ci sono due aree di vulnerabilità in questo approccio, dove i difetti di programmazione potrebbero essere sfruttati da un attaccante:

• Un attaccante potrebbe ingannare l'estensione nel fornire credenziali errate. Questo attacco potrebbe consentire a un sito web maligno di raccogliere nomi utente e password per un sito diverso dal gestore di password. È probabile che tali attacchi avrebbero bisogno di raccogliere le password una per una, e causerebbero un comportamento insolito del browser mentre l'attacco è in corso.
• Un attaccante potrebbe far eseguire all'estensione del codice dannoso. Molti tipici difetti di programmazione permettono ad un attaccante di eseguire codice arbitrario, di solito allo stesso livello di privilegio dell'estensione, del browser o dell'utente. Questo codice potrebbe potenzialmente essere usato per raccogliere le password come nel caso precedente, o potrebbe essere usato come vettore

Risultato previsto dell'attacco: Idealmente il venditore dovrebbe trovare e correggere le falle nel suo codice prima che vengano sfruttate. Se la falla viene affrontata prima che un attaccante la sfrutti, l'unico effetto sugli utenti finali è che devono aggiornare le loro estensioni del sito web. Se sfruttato, questo tipo di attacco potrebbe potenzialmente consentire ad un attaccante di ottenere il testo in chiaro di una o più password dall'applicazione di gestione delle password. Dopo la divulgazione di questo tipo di attacco, gli utenti devono aggiornare le loro estensioni del browser per assicurarsi che non siano più vulnerabili. Se è stato condotto un attacco alla vulnerabilità, gli utenti devono anche cambiare le password che potrebbero essere state colpite.

Risultato effettivo dell'attacco: LastPass ha effettivamente avuto questo tipo di vulnerabilità quattro volte, due vulnerabilità trovate e risolte nel 2016 e altre due trovate e risolte nel 2017. LastPass ha risolto le vulnerabilità segnalate da terzi prima che i problemi fossero divulgati pubblicamente, e prima che gli attaccanti fossero in grado di sfruttarli. In tutti e quattro i casi, l'unico effetto sugli utenti è stato quello di dover aggiornare le estensioni del browser.

INFEZIONE MALWARE

In questo scenario, un aggressore ha compromesso il vostro computer e installato un software dannoso con privilegi a livello di sistema. Oltre ai soliti effetti di una tale infezione, il malware che prende di mira il software di gestione delle password potrebbe potenzialmente utilizzare i suoi privilegi per ottenere le password mentre vengono decriptate per l'uso, o recuperare il caveau delle password criptate e monitorare le sequenze di tasti dell'utente per determinare la master password del caveau. Questo è uno scenario improbabile (a meno che non siate nella linea di lavoro di James Bond).

Analisi: Questa infezione richiederebbe tipicamente più vulnerabilità, compreso un vettore di infezione (come un attacco di phishing o un difetto di programmazione in un browser web o un'estensione del browser) che permette all'attaccante di eseguire il codice di infezione, così come una vulnerabilità del sistema operativo che permette al codice di infezione di bypassare le misure di protezione antivirus e di sistema per installare il software dannoso. Infine, il malware dovrebbe mirare a specifiche applicazioni di gestione delle password per estrarre i dati necessari.

Risultato previsto dell'attacco: Oltre a tutti gli altri risultati di un'infezione da malware, l'utente deve supporre che tutte le password del suo caveau siano state compromesse. Dopo la reinstallazione su un sistema conosciuto e pulito, l'utente deve utilizzare una nuova password principale e deve cambiare le password per tutti i suoi account.

Non sono a conoscenza di un attacco corrispondente a questo scenario perpetrato contro qualsiasi applicazione di gestione delle password.