Hacker veröffentlicht Source Code für KeeFarce – einem Tool zum extrahieren von KeePass-Informationen
Schlechte Nachrichten für Nutzer des Passwort-Managers KeePass. Der Hacker und Forscher für das neuseeländische Sicherheitsberatungsunternehmen „Security Assessment“ namens Denis Andzakovic hat jüngst den Quellcode für das Tool KeeFarce veröffentlicht, ein Tool, welches sämtliche Informationen innerhalb von KeePass mühelos auslesen kann – vorausgesetzt der attackierte Nutzer ist aktuell in KeePass eingeloggt. Und damit sind wirklich alle Informationen gemeint wie Nutzernamen, Passwörter, Notizen oder URLs, die im Anschluss im Klartext als CSV exportiert werden können.
Aktuell bestätigt Andzakovic das Extrahieren von Informationen von KeePass in den Versionen 2.28, 2.29 sowie 2.30 unter Windows 8.1 (32 bit und 64 bit). Das Tool soll jedoch auch unter älteren Windows-Versionen laufen.
In der Theorie könnte ein Hacker sogar weitergehen, als nur die Daten zu extrahieren. Gegenüber Ars Technica sagte Andzakovic, dass ein Angreifer theoretisch – sobald er Admin-Zugang zu einer Domain erlangt – auch auf Netzwerk-Hardware zugriff erlangen könnte. Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.
(via Net Security / Danke Patrik!)
Update Carsten Knobloch: Um die Verwirrung hoffentlich etwas zu entketten: Es geht hier im Beitrag nur um den Inhalt, dass der Source eines solchen Tools in die Freiheit entlassen wurde und einfach kompiliert und ausgenutzt werden kann. Das Problem liegt nicht im eigentlichen KeePass (das meines Erachtens beste kostenlose Tool seit vielen Jahren), dennoch dient es als schlechtes Beispiel, wie Kollege Marco Götze in seinem Blog auch beschrieben hat. Dass ein Nutzer weitaus größere Probleme hat, wenn ein solches Tool auf seinem Rechner zum Einsatz kommt, das steht ebenfalls außer Frage. Lange Rede, kurzer Sinn: es gibt keinen Grund, KeePass nun weniger zu vertrauen.
Für 1.x ist das nicht bestätigt, oder? 🙂
Das zum Thema „ich wechsel von LastPass zu KeePass“.
Soviel dazu “ Opensource ist viel sicherer“
@ChackZz
Hast du physikalischen Zugriff auf ein System ist nichts sicher….
Großartig… hab gerade erst vor ein paar Wochen meine Passwörter in KeePass gestopft und überall alle Passwörter geändert -.-
DAs klingt so, als ob es unter Windows 10 nicht funktioniert?
Aber man muss KeePass offen haben und sich angemeldet haben?!
Also als so großes Sicherheitsleck sehe ich das jetzt weiß Gott nicht. Über den TeamViewer sehe ich den Bildschirm des Opfers (also Benutzername, URL, …), und sobald das Passwort mal in die Zwischenablage kopiert wird habe ich es auch in meiner. Ist TeamViewer jetzt auch ein Hacker Tool? Nicht zu vergessen RemoteDesktop. usw.
Ok, Export als csv geht nicht so… Peanuts.
Ich verstehe das Problem nicht so ganz. Wenn jemand Zugriff auf meinem Rechner hat UND das Passwort Tool entsperrt ist habe ich immer ein Problem. Daher einfach KeePass schnell wieder sperren:
Tools -> Options -> Lock workspace after KeePass inactivity
Alle meine Passwörter sind in einem Notizbuch aufbewahrt. Das ist immer noch am sichersten! Offline = unhackbar 🙂
Jetzt erklär mir bitte mal einer, welches Tool noch sicher sein soll, wenn Angreifer vollen Adminzugriff auf den PC hat und wie das funktionieren soll.
Im Beispiel eines Passwortmanagers müssen Daten entschlüsselt werden, um sie irgendwo einzugeben/weiterzuleiten. Wenn ich Zugriff auf den Programm(arbeits-)speicher habe, kann ich mich ÜBERALL austoben, das ist ABSOLUT TRIVIAL und dagegen ist NICHTS sicher. Ein sicheres Programm auf einem unsicheren System ist eben nicht mehr sicher.
Ist die „News“ hier irgendeine andere als „Bei Keepass hat das jemand in ein Programm gegossen, was überall geht“ oder ist das wiedermal nur bremerhavener Panikmache?
Der Autor sollte vielleicht mal den Ars Technica Artikel gelesen haben. Dort steht ausdrücklich drin, dass dieser Angriff NICHT KeePass spezifisch ist. Ihr könnt euch also auch nicht sicher sein wenn ihr einen anderen PW-Manager nutzt. Das ist eine wichtige Information.
@Herr Wuttke: Untertitel des verlinkten Ars Technica-Artikels:
‚“KeeFarce“ targets KeePass, but virtually all password managers are vulnerable.‘
Also wie gesagt Panikmache. Ich muss ich gerade sehr beherrschen keine Kraftausdrücke zu verwenden.
Ich finde das schon bedenklich.
Der physische Zugriff ist doch sicher auch nicht mehr notwendig, wenn der Hacker anderweitig Zugriff mit entsprechenden Rechten auf das System erlangt. Bei mir steht noch das aktuelle Update aus, was das Problem ja leider nicht schon behebt. Ich frage mich nur, warum ein Sicherheitsforscher sowas so dreist veröffentlicht. Arbeitet der für einen Konkurrenten, dessen Software kostenpflichtig ist?
Ich sehe das ähnlich wie MichaelBr und 2cent. In dem Artikel bei Ars Technica wird Denis Andzakovic ja auch zitiert: „Indeed, if the operating system is owned, then it’s game over“. Wenn der Hacker so tief im System ist, kann er auch Keylogger, Bots und sonstwas laufen lassen..
Btw: KeePass verhindert, dass die Passwörter einfach aus dem Ram gelesen werden können.
@2cent
Panikmache? Also zu wissen, dass nicht nur Keepass sondern alle Passwordmanager betroffen sind macht es nicht besser… ja da könnte man erst recht in Panik verfallen. Es gibt nichts schön zu reden. Die Panik ist berechtigt! Offline speichern ist die Devise!
Wenn ich Vollzugriff auf einen Rechner habe, dann hat der Nutzer wahrscheinlich andere Probleme.
Wenn ein Tool aus einer geöffneten Datenbank Passwörter auslesen kann, dann haben wahrscheinlich alle Passwort-Manager ein Problem. Auch richtig.
Dafür finde ich bei anderen Anbietern aber noch keinen Suorce Code. Das ist offenbar die Nachricht. Nun können auch Kiddies was damit anstellen.
Eher weniger kritisch. Wenn ich Zugriff auf den Rechner habe, auf welchem die Keepass Datenbank geöffnet ist, habe ich bereits andere Probleme.
Unterirdischer Artikel
Wer Vollzugriff auf einen Rechner hat kann auch einfach einen Keylogger installieren.
Aus einem geöffnetem Container den Key zu extrahieren ist kein Kunststück.
@Marius
Panikmache weil es völlig trivial ist, dass nichts mehr sicher ist, wenn man volle Gewalt über den Rechner hat. Das betrifft ALLES und war schon immer so.
Dagegen mag dich deine Offlinespeicherung beschützen. Vorausgesetzt du gibst deine Passwörter nie auf einem solchen System ein. 😉 Du hast also genau das gleiche Problem.
@Marius
Wenn ein Hacker Vollzugriff hat, kannst du benutzen was du willst. Auch wenn das PW nur in deinem Kopf ist, der Keylogger liest mit. Das ist als würde jemand dein Notizbuch in den Händen halten. Also kein Hexenwerk.