LastPass: Sicherheitsforscher wollen Anfälligkeit demonstrieren
von caschy | 16 Kommentare
Die BlackHat EU steht im November an – hier werden sich wieder Sicherheitsforscher die Klinke in die Hand drücken und sicherlich die eine oder andere Bombe platzen lassen. Alberto Garcia und Martin Vigo scheinen mit einem interessanten Vortrag auftreten zu wollen, dreht sich dieser doch um den Passwort-Manager LastPass. Eine Software, die zu den beliebtesten Passwort-Managern da draußen gehört. Anwendungen oder Dienste, die die immer mehr werdenden Passwörter verwalten, sind beliebt, zudem eignen sich die Programme oder Onlinedienste ja auch zur Speicherung anderer Daten – wie zum Beispiel Daten der Kreditkarte.
Lohnenswertes Ziel für Angreifer, bekommen sie doch nach Knacken eines solchen Zuganges nicht nur den Zugriff auf nur einen Dienst, sondern einfach auf alles. Alberto Garcia und Martin Vigo sagen aus, dass sie eben jenen Zugriff auf die Kronjuwelen eines jeden Nutzers vollziehen können. Hierfür hat man sich die LastPass-Erweiterungen geschnappt und diese auseinandergenommen. Hier fand man mehrere Wege, um Daten zu stehlen, ferner sei es möglich, an das Master Passwort zu bekommen – auch unter Umgehung der Zwei-Faktor-Authentifizierung, die LastPass einsetzt. Wie das Ganze vonstatten geht, ist bislang unbekannt – ich tippe mal auf modifizierte Erweiterungen, die man dem Nutzer unterjubelt.
Man darf also gespannt zur BlackHat Europe schauen – oftmals trommeln Sicherheitsforscher gerne, doch im Falle der Stagefright-Lücke hat man gesehen, dass auch im Vorfeld angekündigte Vorträge echten Sprengstoff enthalten können.
Wird geladen ...
Wie jemand schon mal sagte, es ist selten dämlich seine Passwörter in die Cloud zu legen, hielt mich das ab? Nein, auch ich nutzte immer Last Pass (super bequem), bis zum letzten Hack, da habe ich endgültig auf eine lokale Lösung umgestellt, KeePass Portable auf den Stick und A….geleckt….Man sollte heute mehr denn je überlegen, was man „da draußen“ alles an relevanten Daten ablegt….
Ich nutze lieber 1Password – aber hier habe ich mich auch noch nicht mit dem Selbstschutz von 1Password befasst.
@Thorsten 1Password geht auch wunderbar lokal (optional über iCloud und Dropbox) sowie Sync per WLAN.
@catopuma..Ich habe mich inzwischen an KeePass gewöhnt, schön in der Firewall für ausgehende Verbindungen blockiert und ich denke der Käse ist gegessen :-)….An fremden Rechner bin ich da sehr vorsichtig! :-/
Ich bin selbst KeePass-Nutzer, aber irgendwie möchte ich nicht mit dem Finger auf Nutzer von LastPass zeigen. Wie im letzten Absatz des verlinkten Artikels zu lesen ist, brauchen die Angreifer Zugriff auf die Maschine des Opfers. Wenn sich jemand auf eurem System einnisten kann, dann ist es in aller Regel egal, ob ihr KeePass oder LastPass nutzt – der Angreifer liest eure Master-Passwörter mit und lädt die Datenbanken inkl. Schlüsseldatei auf einen eigenen Server hoch.
Das Problem mit LastPass ist vielmehr, dass der Quellcode immer noch nicht offen liegt und folglich nicht überprüft werden kann. Deswegen traue ich der Software auch nicht.
@ThatGoogleGuy: Mal abgesehen davon, dass ein offener Quelltext nicht zwangsläufig mehr Sicherheit bedeutet – hast du den Quelltext des Betriebssystems, in deren Kontext du Keepass einsetzt? Wenn nicht, was bringt dir dann der „überprüfte“ Quelltext der Applikation?
@zhet
Dein Gedanke lässt sich unendlich weiterführen. Ja, natürlich kann mein OS mit einer Hintertür versehen worden sein oder es klaffen Sicherheitslücken im System. Ähnliches gilt für meine Hardware, die Hardware meines ISP, meine u.U. verwanzte Wohnung, fremde USB-Sticks, etc.
Daraus ergibt sich eine unendlich lange Liste von potentiellen Angriffsvektoren. Wenn ich immerhin die Hintertür in meinem Open-Source-Programm ausschließen kann, verringert sich die Summe der Vektoren um 1.
Natürlich ist das Argument etwas hinfällig, da KeePass bisher kein Audit durchlaufen hat, aber Sicherheitsexperten wie Bruce Schneier halten die Software für sicher. Das soll mir reichen.
Was hat LastPass zu verstecken? Wieso kann man den Code nicht einfach offenlegen? Auf dem Papier liest sich ihr Sicherheitskonzept sehr gut, aber niemand weiß, ob sie ihren Angaben auch wirklich folgen oder nicht kritische Sicherheitslücken übersehen haben.
@caschy: „Wie das Ganze vonstatten geht, ist bislang unbekannt – ich tippe mal auf modifizierte Erweiterungen, die man dem Nutzer unterjubelt.“
Ich behaupte mal der Weg wäre trivial und keinen Vortrag wert. Die werden schon mindestens Lücken in der Originalerweiterung gefunden haben.
@zhet: Ich habe ihn. Nächstes Problem ist dann die nicht offene Hardware und evtl. Firmware-BLOBs. Open-Source ist auf jeden Fall eine notwendige Bedingung für Sicherheit, nur halt nicht von alleine hinreichend.
@ThatGoogleGuy – ja, ich finde gerade die Annahme, das offener Quelltext = keine Hintertüren ein Trugschluss ist (siehe z.B. OpenSSL). Da greift „was haben die zu verstecken“ zu kurz, genauso kannst du sagen, das Hintertüren im offenen Quelltext nicht nur von den „guten“ Jungs entdeckt werden… Letzlich vertraue ich auch Leuten, die mir den Quelltext nicht öffnen, deren Job/Firma aber den Bach runtergeht, wenn da Mist gebaut wird.
@zhet: wenns danach geht müssten alle die in der Richtung etwas aktiver sind ein eigens kompiliertes (vorher natürlich vollständig auf Backdoors überprüftes) Linux mit nur ausgewählten selbst kompilierten (ebenfalls eigens überprüften) Programmen.
Das können und wollen wohl nur die wenigsten.
Ich würde mich für sowas auch intressieren, aber habe da wohl keine Zeit mir das alles anzueignen.
Niemand sagt, dass offene Software keine Sicherheitslücken oder Hintertüren enthalten kann. Aber die Wahrscheinlichkeit, dass solche Defizite gefunden werden, dürfte bei offene Software höher sein als bei geschlossenem Code. Natürlich hängt das auch ein wenig davon ab, wie weit verbreitet die jeweilige Software ist.
Dennoch denke ich, dass viele Augen mehr sehen als einige wenige. Kritische Software-Lösungen sollten generell einem oder mehreren Audits unterzogen werden. Warum es hierfür immer noch keine öffentlich-rechtliche Stiftung auf nationaler / internationaler Ebene gibt, ist mir ein Rätsel.
selber schuld wer sich auf so nen müll verlässt …..
@chiccio – Müll ist nur eins…Dein Kommentar.
@Rainer: du hast aber schon gesehen, dass der Beitrag da mit Verweis auf uns geschrieben wurde?
Ach so…, sorry
Wurden hier Kommentare, u.a. meiner, gelöscht? Es wurde lt. dem Zähler 20 mal kommentiert, aber es sind aktuell nur noch 16 Kommentare vorhanden. Was ist da los?
Ich wüsste nicht, dass es dazu einen Anlass gäbe.