Hacker veröffentlicht Source Code für KeeFarce – einem Tool zum extrahieren von KeePass-Informationen

Artikel_KeePassSchlechte Nachrichten für Nutzer des Passwort-Managers KeePass. Der Hacker und Forscher für das neuseeländische Sicherheitsberatungsunternehmen „Security Assessment“ namens Denis Andzakovic hat jüngst den Quellcode für das Tool KeeFarce veröffentlicht, ein Tool, welches sämtliche Informationen innerhalb von KeePass mühelos auslesen kann – vorausgesetzt der attackierte Nutzer ist aktuell in KeePass eingeloggt. Und damit sind wirklich alle Informationen gemeint wie Nutzernamen, Passwörter, Notizen oder URLs, die im Anschluss im Klartext als CSV exportiert werden können.

Aktuell bestätigt Andzakovic das Extrahieren von Informationen von KeePass in den Versionen 2.28, 2.29 sowie 2.30 unter Windows 8.1 (32 bit und 64 bit). Das Tool soll jedoch auch unter älteren Windows-Versionen laufen.

In der Theorie könnte ein Hacker sogar weitergehen, als nur die Daten zu extrahieren. Gegenüber Ars Technica sagte Andzakovic, dass ein Angreifer theoretisch – sobald er Admin-Zugang zu einer Domain erlangt – auch auf Netzwerk-Hardware zugriff erlangen könnte. Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.

(via Net Security / Danke Patrik!)

Update Carsten Knobloch: Um die Verwirrung hoffentlich etwas zu entketten: Es geht hier im Beitrag nur um den Inhalt, dass der Source eines solchen Tools in die Freiheit entlassen wurde und einfach kompiliert und ausgenutzt werden kann. Das Problem liegt nicht im eigentlichen KeePass (das meines Erachtens beste kostenlose Tool seit vielen Jahren), dennoch dient es als schlechtes Beispiel, wie Kollege Marco Götze in seinem Blog auch beschrieben hat. Dass ein Nutzer weitaus größere Probleme hat, wenn ein solches Tool auf seinem Rechner zum Einsatz kommt, das steht ebenfalls außer Frage. Lange Rede, kurzer Sinn: es gibt keinen Grund, KeePass nun weniger zu vertrauen.

getkey_big

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

86 Kommentare

  1. Für 1.x ist das nicht bestätigt, oder? 🙂

  2. Das zum Thema „ich wechsel von LastPass zu KeePass“.

  3. Soviel dazu “ Opensource ist viel sicherer“

  4. @ChackZz
    Hast du physikalischen Zugriff auf ein System ist nichts sicher….

  5. Großartig… hab gerade erst vor ein paar Wochen meine Passwörter in KeePass gestopft und überall alle Passwörter geändert -.-

  6. DAs klingt so, als ob es unter Windows 10 nicht funktioniert?

  7. Thomas Baumann says:

    Aber man muss KeePass offen haben und sich angemeldet haben?!
    Also als so großes Sicherheitsleck sehe ich das jetzt weiß Gott nicht. Über den TeamViewer sehe ich den Bildschirm des Opfers (also Benutzername, URL, …), und sobald das Passwort mal in die Zwischenablage kopiert wird habe ich es auch in meiner. Ist TeamViewer jetzt auch ein Hacker Tool? Nicht zu vergessen RemoteDesktop. usw.
    Ok, Export als csv geht nicht so… Peanuts.

  8. Ich verstehe das Problem nicht so ganz. Wenn jemand Zugriff auf meinem Rechner hat UND das Passwort Tool entsperrt ist habe ich immer ein Problem. Daher einfach KeePass schnell wieder sperren:

    Tools -> Options -> Lock workspace after KeePass inactivity

  9. Alle meine Passwörter sind in einem Notizbuch aufbewahrt. Das ist immer noch am sichersten! Offline = unhackbar 🙂

  10. Jetzt erklär mir bitte mal einer, welches Tool noch sicher sein soll, wenn Angreifer vollen Adminzugriff auf den PC hat und wie das funktionieren soll.

    Im Beispiel eines Passwortmanagers müssen Daten entschlüsselt werden, um sie irgendwo einzugeben/weiterzuleiten. Wenn ich Zugriff auf den Programm(arbeits-)speicher habe, kann ich mich ÜBERALL austoben, das ist ABSOLUT TRIVIAL und dagegen ist NICHTS sicher. Ein sicheres Programm auf einem unsicheren System ist eben nicht mehr sicher.

    Ist die „News“ hier irgendeine andere als „Bei Keepass hat das jemand in ein Programm gegossen, was überall geht“ oder ist das wiedermal nur bremerhavener Panikmache?

  11. Der Autor sollte vielleicht mal den Ars Technica Artikel gelesen haben. Dort steht ausdrücklich drin, dass dieser Angriff NICHT KeePass spezifisch ist. Ihr könnt euch also auch nicht sicher sein wenn ihr einen anderen PW-Manager nutzt. Das ist eine wichtige Information.

  12. @Herr Wuttke: Untertitel des verlinkten Ars Technica-Artikels:
    ‚“KeeFarce“ targets KeePass, but virtually all password managers are vulnerable.‘

    Also wie gesagt Panikmache. Ich muss ich gerade sehr beherrschen keine Kraftausdrücke zu verwenden.

  13. Ich finde das schon bedenklich.
    Der physische Zugriff ist doch sicher auch nicht mehr notwendig, wenn der Hacker anderweitig Zugriff mit entsprechenden Rechten auf das System erlangt. Bei mir steht noch das aktuelle Update aus, was das Problem ja leider nicht schon behebt. Ich frage mich nur, warum ein Sicherheitsforscher sowas so dreist veröffentlicht. Arbeitet der für einen Konkurrenten, dessen Software kostenpflichtig ist?

  14. Ich sehe das ähnlich wie MichaelBr und 2cent. In dem Artikel bei Ars Technica wird Denis Andzakovic ja auch zitiert: „Indeed, if the operating system is owned, then it’s game over“. Wenn der Hacker so tief im System ist, kann er auch Keylogger, Bots und sonstwas laufen lassen..

    Btw: KeePass verhindert, dass die Passwörter einfach aus dem Ram gelesen werden können.

  15. @2cent
    Panikmache? Also zu wissen, dass nicht nur Keepass sondern alle Passwordmanager betroffen sind macht es nicht besser… ja da könnte man erst recht in Panik verfallen. Es gibt nichts schön zu reden. Die Panik ist berechtigt! Offline speichern ist die Devise!

  16. Wenn ich Vollzugriff auf einen Rechner habe, dann hat der Nutzer wahrscheinlich andere Probleme.

    Wenn ein Tool aus einer geöffneten Datenbank Passwörter auslesen kann, dann haben wahrscheinlich alle Passwort-Manager ein Problem. Auch richtig.

    Dafür finde ich bei anderen Anbietern aber noch keinen Suorce Code. Das ist offenbar die Nachricht. Nun können auch Kiddies was damit anstellen.

  17. Eher weniger kritisch. Wenn ich Zugriff auf den Rechner habe, auf welchem die Keepass Datenbank geöffnet ist, habe ich bereits andere Probleme.

  18. anoni110949 says:

    Unterirdischer Artikel
    Wer Vollzugriff auf einen Rechner hat kann auch einfach einen Keylogger installieren.
    Aus einem geöffnetem Container den Key zu extrahieren ist kein Kunststück.

  19. @Marius
    Panikmache weil es völlig trivial ist, dass nichts mehr sicher ist, wenn man volle Gewalt über den Rechner hat. Das betrifft ALLES und war schon immer so.

    Dagegen mag dich deine Offlinespeicherung beschützen. Vorausgesetzt du gibst deine Passwörter nie auf einem solchen System ein. 😉 Du hast also genau das gleiche Problem.

  20. @Marius
    Wenn ein Hacker Vollzugriff hat, kannst du benutzen was du willst. Auch wenn das PW nur in deinem Kopf ist, der Keylogger liest mit. Das ist als würde jemand dein Notizbuch in den Händen halten. Also kein Hexenwerk.

  21. Zum Thema „Offline ist sicher“ – Das stimmt natürlich überhaupt nicht.
    Wenn ein Angreifer so ein Tool installieren kann, dann hat er vollen Zugriff auf das System und kann auch einen Keylogger installieren, und spätestens wenn ich das Passwort eintippe, hat er es.

  22. Wow, wie überraschend. Ich denke, die Übertreibung erkennt man wunderbar an dieser Aussage: „In der Theorie könnte ein Hacker sogar weitergehen, als nur die Daten zu extrahieren. Gegenüber Ars Technica sagte Andzakovic, dass ein Angreifer theoretisch – sobald er Admin-Zugang zu einer Domain erlangt – auch auf Netzwerk-Hardware zugriff erlangen könnte. “ Ach ne, wenn man die Zugangsdaten zu einem Admin-Account einer Domain so erlangt, dann kann man auf Netzwerkhardware zugreifen? Ist ja was ganz neues, daß man mit Adminrechten auf die Hardware zugreifen kann. Als nächstes kommt sicher ein Paßwortsafe von denen.

    @Marius:
    Die Panikmache ist falsch, denn wenn Dein Rechner korrumpiert ist, besteht bereits Zugriff zu allen Dingen, auch zu offline gespeicherten sobald Du sie eingibst.

  23. @caschy
    Und die Kiddies brauchen dann immer noch Vollzugriff auf den Rechner, wo wir wieder bei den anderen Probleme wären. Da tuts dann auch ein Keylogger o.ä.

    Die Nachricht ist also nichts/Panikmache und der Autor hat es nicht mal über die Überschrift des von ihm verlinkten Artikels geschafft. Arm bis peinlich.

    • „Da tuts dann auch ein Keylogger o.ä.“
      Interessant wäre dann mal zu vergleichen, wie KeeFarce von AV-Software erkannt wird – im Gegensatz zu Loggern. Ich sehe kein Problem bei einer News, die darauf hinweist, dass ein solches Tool im Source bereit steht.

      „Ich muss ich gerade sehr beherrschen keine Kraftausdrücke zu verwenden.“
      Wäre toll 😉

  24. @Gast
    @2cent
    Wie übersetzt ihr denn „“KeeFarce“ targets KeePass, but virtually all password managers are vulnerable.“?
    Für mich ist das korrekt übersetzt. Die Info, dass potentiell mit der von KeeFarce benutzten Methode jeder andere PW-Manager ebenfalls kompromittiert werden kann, wäre natürlich trotzdem sinnvoll gewesen. Das ändert doch aber nichts an der korrekten Übersetzung für den Teil, den Pascal hier beschrieben hat.

    @2cent
    Warum soll das Panikmache sein? Viele der Leser hier dürften KeePass nutzen und dankbar für diese Info sein. Über LastPass wird hier ja auch berichtet. Und so wird dank gerade deiner Kommentare eben noch zusätzlich auf eine generelle Schwachstelle von PW-Managern hingewiesen, was dann eher für mehr Panik sorgen dürfte, als zu beruhigen. Oder verstehe ich dich irgendwie falsch? Ich bin mir da nicht sicher.

  25. Also meine Keepass Datenbank muss mit meinem Kennwort geöffnet sein ? Was ist denn dann das Tolle an Keefarce ? Da kann ich ja nen Autoit Script oder was auch immer schreiben, was gleich den Export aus Keepass in CSV macht. (Datei->Exportieren->Anpassbare HTML-Datei) z.B..

  26. Diese Attacke ist grundsätzlich auf alle Passwortmanager anwendbar die lokal laufen. Keepass hat design-technisch nichts falsch gemacht. Und wenn der Angreifer Zugriff auf den Computer hat ist sowieso schon vieles verloren. KeepassX und V.1 ist übrigens nicht mit KeeFarce angreifbar.
    Außerdem sollte sich der Ottonormalnutzer lieber Gedanken machen wenn er Keepass auch auf den Telefon benutzt, bei Android kann man ziemlich viel abgreifen wenn man es darauf ankommen lässt. Zwischenablagenüberwachung ist nur ein Beispiel. Aber das ist nicht nur ein Problem von Keepass.

  27. @caschy:
    Willst du gerade ernsthaft entgegenhalten, dass man ein verwundbares/unsicheres System mit Schlangeöl-AV beschützen kann? Autsch, dass kostet Respekt-Punkte! 😉
    Abgesehen vom Punkt, dass die AV-Software KeeFarce dann genauso wie einen Keylogger erkennen sollte, kann man beides so modifizieren, dass es nicht mehr erkannt wird bzw. die AV-Software dank unsicherem System/Vollzugriff gleich voll zerlegen.

    Wie du siehst beherrsche ich mich ja, aber meine Stirn blutet schon fast. m( 😀

  28. @2cent
    Wie wäre es, wenn du den Artikel auf ars einfach noch mal liest und dann die Nachricht, die er beinhaltet, versuchst zu erkennen? Ob du ihn erkannt hast, werde ich dann sicherlich an deinem nächsten Kommentar, meinem hier nachfolgend, erkennen.

  29. @icancompute:
    Panikmache ist, dass dir etwas völlig offensichtliches als neue Bedrohung verkauft wird: Wenn jemand Vollzugriff auf deinen Rechner erlangt, ist alles verloren, was du damit machst. Und die Panikmache wird dadurch verstärkt, dass ich mir eine Software rausgreife und verschweige, dass das ein grundsätzliches Problem ist, das schon immer bestanden hat.

  30. @caschy: Super dank für den Hinweis.

    Ich habe den Source Code eben mal geladen compiliert und getestet – es ist in der Tat eine einefache DLL Injection welche komplett alles in Klartext zurück gibt.

    Ich habe aber eine Idee wie man sein Keepass schützen kann, probiere ich nachher mal aus und bei Interesse kann ich dir Infos geben.

    Hier mal ein Screenshot der Resultate wenn das Tool über eine KDBX läuft:

    https://solarizde-163e.kxcdn.com/media/uploads/2015/11/2015-11-0411_52_48.jpg

  31. Robert Marcy says:

    Gut das ich damals beim Lastpass Skandal nicht zu Keepass gewechselt bin. Jede Software ist Angreifbar. Meiner Meinung nach ist Lastpass am sichersten, da Sie schnell Angriffe (die jede Firma betreffen, die meisten kommunizieren Sie nur nicht so offen) offenlegen. Da lohnen Sich die 12€ im Jahr

    Keapass ist auch gut, braucht aber einfach mal eine Usability Kur. Versucht mal Keapass mit einem Macbook und Safari zu benutzen…

  32. Wenn man Windows+Keepass2 benutzt und genug Angst vor KeeFarce hat vielleicht einfach mal ne Zeitlang KeepassX Beta 2 benutzen. https://www.keepassx.org/news/2015/09/514

  33. @icancompute
    Vielleicht möchtest du mir mal verraten, was für eine Nachricht du meinst. Dass der Ars Technica dir in ungefähr jedem Absatz sagt, was ich dir hier sage? Mein Problem ist, dass das im hier kommentierten Artikel eben verschwiegen wird. Am Ars Technica-Artikel habe ich nichts auszusetzen, den würde ich auch nicht als Panikmache bezeichnen. Im Gegenteil, die ordnen das korrekt ein, wiederholen das mehrfach und geben ein korrektes Fazit.

  34. @solariz: Klingt gut, du weisst, wie du mich erreichst 🙂 Vielleicht schlägste es ja auch den KeePass-Machern vor 🙂

  35. Pascal Wuttke says:

    @2Cent: Hach, die Trolle fliegen heute wieder sehr tief. Ich sehe eher den Artikel von Ars Technica als Panikmache an, da es ja auf jedes System angewandt werden KÖNNTE. Das KÖNNTE ist hier entscheidend, denn mein Artikel bezieht sich korrekt auf die Meldung, dass der Herr Andzakovic den Source Code für KeeFarce veröffentlicht hat – einem Tool, dass speziell auf KeePass abzielt. Dies steht so in der Überschrift, inklusive „SOURCE CODE“. Hast du schon eine weitere Meldung darüber gelesen, dass die Methode in weitere Tools verbaut wurde? Ich nämlich noch nicht. Somit beziehe ich mich nicht auf „hätte, wenn und aber“, sondern gebe den Inhalt der eigentlichen Meldung wieder. Sollte eine Meldung auftauchen, dass ein ähnliches Tool es nun insbesondere auf LastPass, Dashlane und Co. abgesehen haben sollte, werden wir entsprechend darüber berichten. Ich weiß echt nicht, wo dein Problem liegt und halt mal den Ball flach. Wenn du eine andere Sicht der Dinge hast, ist das OK. Diskutiere darüber in den Kommentaren, dafür sind sie da. Aber lass die Beleidigungen und such dir lieber n anderes Hobby.

  36. Passwortkarte á la Savernova oder INES und keine Software kann was…

  37. Hmm, unter den im Artikel beschriebenen Voraussetzungen, damit das Tool Passwörter abgreifen kann, kann ich jetzt nicht eine allgemeine „Gefährlichkeit“ erkennen. Wenn ich physischen Zugriff auf einen anderen Rechner habe und der Anwender im KeePass eingeloggt ist, dann ist der Zugriff auf die Passwörter in KeePass sowie so nicht mehr sicher.
    Daher für mich leider eher eine Überschrift im Boulevard-Blatt-Stil.

  38. @2cent
    Jau, du hast die Nachricht in dem Text auf ars nicht gefunden, wie deine zwei Kommentare eindrucksvoll belegen. Ich habe allerdings keine Zeit und auch keine Lust, dir da jetzt auf die Sprünge zu helfen, da du das offenbar auch nicht erkennen möchtest. Von daher noch einen schönen Tag!

  39. NEWS: Hacker mit Zugriff auf den PC können Dateien aus gemounteten TrueCrypt-Containern lesen, kopieren und sogar verändern! ;D

  40. Okay, der Hacker muss Zugriff auf das System haben UND der Nutzer muss auch noch in Keypass eingeloggt sein… ich seh jetzt das Problem nicht… das ist ja, wie wenn man es Truecrypt als Sicherheitsmanko ankreidet, wenn ein ins System bereits eingedrungener Angreifer Zugriff auf einem vom User selbst gemounteten Container erlangt. Erstens hat der User eh bereits viel größere Probleme, wenn ein Angreifer Vollzugriff auf sein System hat und zweitens ist die Datenbank, sofern sie geöffnet ist, natürlich unverschlüsselt, sonst könnte man ja mit dem Tool nicht arbeiten. Der Hacker hätte also nicht extra ein Programm dafür schreiben müssen, Screenshots oder ein Zugriff auf die enthaltene Export-Funktion hätten wohl auch gereicht. Ich sehe hier nicht mal wirklich den Hack an dem Hack…

  41. @xpac: 2 Doofe, ein Gedanke – gleichzeitig ^^

  42. DatGoogleGuy says:

    Ich weiß wirklich nicht, was ich mit dieser Nachricht anfangen soll. Ich habe keinen wirklichen Informationsmehrwert daraus gezogen. Ich werde weiterhin KeePass nutzen und wüsste nicht, wovor ich mich jetzt fürchten sollte.

    @marius
    Bevor ich zu Keepass gewechselt bin, habe ich auch darüber nachgedacht, meine Passwörter aufzuschreiben und die Notiz irgendwo zu verwahren. Das war mir aber zu unsicher. Die Liste könnte jederzeit gestohlen, vernichtet (Wohnungsbrand, etc.) oder gelesen (Mitbewohner, Freundin, etc.) werden. Deine Offline-Notizen sind nicht „unhackbar“ und garantiert nicht sicherer als eine digitale Version.

    Ich habe aktuelle Sicherheitskopien meines Passwort-Tresors in kaskadierender Verschlüsselung auf fünf Cloud-Speichern gespeichert. Ferner habe ich noch Offline-Kopien auf dem NAS meiner Eltern und einen USB-Stick im Schließfach der Bank, den ich alle sechs Monate aktualisere. Es ist nahezu unmöglich, dass ich jemals den Zugriff auf meine Passwort-Datenbank verliere.

  43. Was ein schlimmer Artikel. Da fehlt ja die Hälfte von dem Ars Technica Artikel…

  44. @Pascal Wuttke:
    Was der Ars Technica Artikel dir sagt, spiegelt leider die Realität wider: Mit Vollzugriff ist eh alles egal. Das empfindest du als Panikmache? Dann hast du offensichtlich keine Ahnung, denn es ist eine Wahrheit, die eigentlich jeder präsent haben sollte, der sich anmaßt, über solche Themen zu schreiben. Spätestens wenn du den Ars Technica-Artikel liest, weißt du, dass schon die KeePass-Macher selbst dich davor warnen.

    Dass es da für KeePass jetzt ein Tool gibt, mag man von mir aus als Nachricht sehen. Aber dann sollte man auch die Einordnung vornehmen, wie Ars Technica das tut, wenn man was auf sich hält bzw. zu dem gedanklichen Schritt im Stande ist.

    @icancompute:
    Das ist natürlich komfortabel, dass du dafür gerade „keine Zeit hast“. Wie man wahrscheinlich merkt, bin ich da heute etwas freier, ich zersäg dich also gerne, wenn du noch Zeit findest.

    @solariz:
    Und wie wir dein Ansatz verhindern, dass man ganz KeePass gegen eine Pseudoversion mit Backdoor ersetzt? Das kann man mit Vollzugriff immerhin genauso.

  45. Ist mehr Panikmache als eine Gefahr, hab mit dem Code eben mal etwas rummgespielt.
    Ja er kann die DB Exportieren; Aber nicht immer und man kann es verhindern.

    Ich schreib dazu heute Abend mal mehr zusammen aber ich bleibe bei KeePass – ist mir mit 2 Faktor Auth und Lokal Only einfach lieber als die Daten in der Cloud.

    https://solariz.de/de/keefarce-keepass-gefahr.htm

    Nochmal Danke an Caschy für den Hinweis hab das bei ARS total übesehen.

  46. Auweia, dieser Blog beweist seine Kompetenz jeden Tag mehr.

  47. Ich habe echt das Gefühl, dass es sich hier um einen gekauften Artikel handelt, insbesonders wie in den Kommentaren die auch befallenen kostenpflichtigen Alternativen beworben werden.

  48. Unterirdischer Artikel:
    „Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.“
    Wirklich? Das entschärft die Situation nicht nur komplett, das macht die ganze News lächerlich…
    Wer etwas Ahnung von security hat, den sollte es nicht wirklich überraschen, dass bei Zugriff auf das System die Passwörter ausgelesen werden können. Das hier ist keine News, das ist Panikmache (zumindest ohne Einordnung, und die fehlt hier!)

    xpac Kommentar sollte es verdeutlichen:
    „NEWS: Hacker mit Zugriff auf den PC können Dateien aus gemounteten TrueCrypt-Containern lesen, kopieren und sogar verändern! ;D“

  49. Hm… bin auch kurz erschrocken, aber das ist nun wirklich piepschnurz… ein Angreifer, der Zugriff aufs System hat, könnte über einen Keylogger genauso das Masterpasswort auslesen.

  50. Karl Kurzschluss says:

    Kostenlos.
    Open Source.
    Sicher.
    Muahahaha!

  51. @Marius: „Alle meine Passwörter sind in einem Notizbuch aufbewahrt. Das ist immer noch am sichersten! Offline = unhackbar“

    Auch das ist falsch. Sobald du die eintippst beim Einloggen kann ein Keylogger das mitschneiden.

    Wenn ein Hacker so tief in deinem System ist, bist du dem ausgeliefert, so oder so. Auch mit Offline Notizbuch für Passwörter.

    Ausser du benutzt die Passwörter niemals, dann brauchst du die aber nicht aufschreiben 😉

  52. Oh oben gab es schon ein paar Kommentare ähnlichen Inhalts, hatte nur überflogen. Gerade erst den Rest gelesen.

  53. @Marius „Panik ist berechtigt! Offline speichern ist die Devise!“

    Das ist IMMER falsch. Panik ist Scheisse, da macht man nur Fehler. Erst nachdenken dann handeln. „Offline ist sicherer“ ist eh Unsinn, außer du bist NUR offline. Kein Facebook, kein Internet, etc dann ist es wirklich sicherer. Aber nur dann.

  54. Ja, das ist ja mal wieder so ein völliger Panik Artikel. Natürlich kann ich alle Informationen aus einem Programm auslesen, wenn ich a) Zugriff auf den Rechner habe und b) der Benutzer eingeloggt ist. Wer will denn hier KeePass runtermachen, ist wohl ein Schelm. 🙂
    Zusatz: Open Source hat ja gerade den Vorteil, dass man den Source Coude erkennen kann und ihn prüfen kann. Eine Verschlüsselung ist nur dann als sicher anzusehen, wenn alles offengelegt ist und nur das Passwort ein Geheimnis ist.
    Aber hier nur wieder mal BILLIGE Panikmache auf Kosten der User, die nicht gerade INformatik studiert haben. Das ist traurig.

  55. WOW !! Nach diesem Artikel musste ich echt nachschauen, ob ich auf der richtigen Seite bin. CB für Caschys Blog oder CB für Computer Bild.

    Ich gebe zu ich habe die Posts nur überflogen, denn zum Lesen hatte ich, nachdem was ich überflogen hatte, keine Lust mehr. Vermutlich haben ein paar hier auch die Buchstaben CB verwechselt.

  56. Da wird man hier durch einen spektakulären Artikel angelockt und erfährt relevante Dinge mal wieder erst in den Kommentaren. 🙁

  57. Ich finde es belustigend, dass jetzt die KeePass-Fraktion ihren Shitstorm abbekommt und die LastPass-Nutzer, die vor kurzem alle als doof dargestellt wurden, jetzt zurückschießen.

    Dennoch denke ich, dass es falsch ist zu sagen „wenn jemand auf deinem Rechner ist, hast du eh verloren“. Klar ist das im Regelfall so, aber genauso tragisch ist das eigentlich auch.

    Ich denke man sollte hier über Lösungen nachdenken, die vielleicht in Zukunft mehr Sicherheit versprechen:

    Ich gehe davon aus, dass eben KeePass besser ist als beispielsweise eine mit TrueCrypt verschlüsselte Text-Datei, weil ich eben diese Datei nur einmal kopieren muss und alles habe. Im Zweifel ist das Truecrypt-Volume häufiger offen, als ich eigentlich Passwörter brauche. Desweiteren entschlüsselt ein vernünftiger Passwortmanager erst einmal nicht alle Passwörter auf einmal, sodass ich auch erst einmal nicht alle klauen kann, hat also schon seine Vorteile.

    Dennoch sollte man sich natürlich nach wie vor überlegen, ob man die Passwortmanager verbessern kann, in dem man andere Algorithmen nutzt, das Auslesen der Daten verhindert oder auch neben der pyhsischen Tastatur beispielsweise eine virtuelle Tastatur nutzen kann, um Keyloggern die Arbeit zu erschweren.

    Es ist zudem möglich auch separate Hardware zu verwenden, beispielsweise mit dem momentan etwas gehypten Yubikey, die dann vom System losgelöster sind oder auch weitere Schutzmechanismen eingebaut haben können. Manche dieser Hardware-Tokens können sich sogar pyhsisch zerstören, wenn beispielsweise ein Passwort mehrfach falsch eingegeben wurde.

    Zwei-Faktor-Authentifizierung wurde ebenfalls häufig angesprochen und kann auch hier für zusätzliche Sicherheit sorgen. Das können unabhängig voneinander generierte „Zufallszahlen“ sein oder auch Codes, die per SMS o.ä. übermittelt werden.

    ich denke, dass es einige Ansätze gibt, die sinnvoll wären. Man muss es nur schaffen, dass die Nutzbarkeit so wenig wie möglich eingeschränkt wird und das ist oft ein großes Problem.

    Den Vorwurf der Panikmache halte ich für übertrieben. Aber man kann nicht oft genug auf diese Problematiken hinweisen und zudem versuchen die Menschen zu sensibilisieren. Was ist da ein besserer Anstoß als ein Tool, dass die Passwörter ausliest?

    P.S.: Ich nutze natürlich auch einen dieser unsicheren Manager und bin auch zu faul für alles „sichere“ Maßnahmen zu treffen. Aber ich fühle mich nicht unbedingt gut dabei. Das ist das gleiche Thema wie „ich bin zu faul ein Backup zu machen“, was man so lange denkt, bis es einen erwischt.

  58. @caschy: Dass der Artikel gekauft sein soll, ist wirklich lächerlich.

    Aber ich hoffe du facepalmst auch für den Artikel selber, denn

    „Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.“

    ist wirklich der Hammer und die Kritik, die euch hier zum Teil entgegenschlägt, mehr als gerechtfertigt.

  59. Zitat: „vorausgesetzt der attackierte Nutzer ist aktuell in KeePass eingeloggt“

    Wie bitte was? Wer hat denn da das Rad neu erfunden? Natürlich kann man Zugriff erlangen, wenn man direkten Zugriff auf einen PC erlangt und auch noch Admin-Rechte hat. Ich nutze zwar 1PW (ist weniger kommerziell als KeePass), aber wenn ich das Tool gesperrt habe, ein Hacker, sodenn er überhaupt an der Hardwarefirewall vorbeikommt, in das Windows-Benutzerkonto (natürlich ohne Adminrechte) rutschen sollte, kann er mit meiner IMO blowfish-verschlüsselten 1PW-db genauso wenig anfangen, wie im Falle KeePass. Und selbst wenn der Hacker soweit in mein System käme, würde sein Passwort-Knacker bei meinem 16-stelligen PW mit Zahlen, Groß-/Kleinbuchstaben und Sonderzeichen…ähmm…wie viele hundert Jahre brauchen? Ich denke, sein Tool würde ihn selbst überdauern 🙂

    Wenn ich aber die DB offen habe und das Windows-Konto Admin-Rechte hat, braucht ein Hacker auch kein Toll wie KeeFarce zum Ausbuddeln der Daten. Da reicht auch ein CSV-Export 🙂

    Von daher, man korrigiere mich bitte, lehne ich mich beim Lesen dieser Panikmache doch entspannt zurück und wäge mich halbwegs in Sicherheit 🙂

  60. Frage an die Profis: Angenommen es hat jemand von außen Zugriff auf den PC und man hat seine *.kdb Datei geöffnet,….würde es helfen wenn KeePass in einer virtuellen Umgebung aufruft?

  61. Hey, ich hab noch eine Lücke gefunden:
    http://keepass.info/plugins.html#formfiller
    Wenn ein Angreifer Zugriff zum Rechner hat, kann er damit (Keeform, Keefox) sich auch die Datenbankeinträge auslesen.
    Hat ungefähr das gleiche Niveau. Es ist keine Lücke bei Keepass, was hier beschrieben wird. Wenn jemand bereits auf dem System vorliegt, hat er Zugriff auf alles, was freigeschaltet ist.
    Das wäre, als würde man behaupten, Truecrypt/Veracrypt sei unsicher, weil wenn man die Platte entschlüsselt hat, hätte jemand mit Systemzugriff auch Zugriff auf die Verschlüsselung.

    @Pascal:
    Das Tool, wie Du es nennst, benötigt Systemzugriff. Eine Lücke wäre es, wenn jemand durch Keepass Systemzugriff erlangen würde oder aber die DB auslesen könnte ohne daß der Benutzer sie entsperrt hätte. Deswegen solltest Du die konstruktive Kritik (ist sicher nicht alles konstruktiv) ruhig zu Herzen nehmen, jeder macht mal Fehler.

  62. „Desweiteren entschlüsselt ein vernünftiger Passwortmanager erst einmal nicht alle Passwörter auf einmal, sodass ich auch erst einmal nicht alle klauen kann, hat also schon seine Vorteile.“

    Doch, tut er… eine geöffnete KeePass-Datenbank ist so gesehen nichts anderes als ein gemounteter TrueCrypt-Container. Sobald das Masterpasswort drin ist, sind die Daten offen. Bedenkt man Funktionen wie die – ja erwünschte – Funktion zum Export der Daten oder die durch APIs realisierten Browsererweiterungen, die unter anderem natürlich auch die Möglichkeit haben müssen, in den Datenbankfeldern zu suchen, macht das ja auch eigentlich Sinn. Und da die Passwörter in der gleichen Datenbank ja auch alle mit dem gleichen Schlüssel verschlüsselt, würde ein separates Entschlüsseln erst beim Zugriff auf einen bestimmten Eintrag auch nicht wirklich viel Sinn machen, sondern nur den Funktionsumfang und der Performance schaden.

    Weshalb man hier, meiner Meinung nach zurecht, den Artikel kritisiert, ist, weil er wirklich reißerisch formuliert ist. Die Überschrift hätte nämlich genauso gut lauten können „Hacker hat ein neues Export-Tool für KeePass geschrieben“, denn faktisch ist das hier nichts anderes. Eine Alternative Headline wäre „Überraschung: Hacker die vollen Zugriff auf euren Rechner haben, können eure Passwörter auslesen – und sogar Solitär starten“. Hätte nur beides nicht so gut und spektakulär geklungen wie jetzt eine riesige Lücke in einem bis dahin als sicher geltenden Passwortmanager zu suggerieren. In sofern ist das auch nicht wirklich mit der LastPass-Sache zu vergleichen.

  63. @Holgi:
    Wenn jemand vollen Zugriff auf deinen PC hat, kann er auch darauf laufende VMs kompromittieren. Immerhin hat er ja vollen Zugriff auf die Virtuelle Festplatte, den Speicher… Theoretisch, das ist natürlich schon ein gezielter Angriff.

  64. ich hab ein tool entwickelt, welches geld von jedem bankkonto der welt plündern kann. vorausgesetzt der besitzer ist beim online banking eingeloggt und hat seine tan nummer für die überweisung schon eingetragen.

  65. @2cent: Hmm, dann muss man halt einfach weiter aufpassen das eben keiner Zugriff von außen auf das System bekommt, oder eben den Stecker ziehen. Mehr bleibt dann vorerst nicht übrig.

  66. pommesmeister says:

    Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.

    Das entschärft die Situation komplett. Fehlt dir das Technische Hintergrundwissen oder war der letzte Satz ein versehen ?

  67. DatGoogleGuy says:

    @Holgi & @2cent

    Holgis Frage hat mich auch schon öfter beschäftigt. Ich habe dann etwas gegooglet und bin auf „Qubes OS“ gestoßen – ein linuxbasiertes Host-System für virtuelle Maschinen. Wenn ich mich richtig erinnere, dann ist Qubes OS so konfiguriert, dass das Host-System KEINEN Zugriff auf das Internet hat. Die einzelnen Gastsysteme wiederum können so eingestellt werden, dass sie auf die Netzwerkhardware des Computers zugreifen können, um so eine Verbindung mit dem Internet herzustellen.

    Das wäre also die perfekte Trennung. Host-System ist isoliert, Gast-System ist offen.
    Natürlich könnte das Gast-System jederzeit kompromittiert werden, ließe sich aber per Snapshot schnell wiederherstellen. Es ließe sich auch darüber nachdenken, eine eigene VM für KeePass zu haben, die isoliert vom Netzwerk betrieben wird. Ich weiß allerdings gerade nicht, ob man in Qubes OS Inhalte (z.B. ein KeePass-Passwort) von einer VM in eine andere kopieren kann.

    Schade, dass dieser Ansatz bisher nicht so weit verbreitet ist. Virtualisierung bzw. Isolation sind ein wirksamer Schutzmechanismus. Microsoft hat selbst vor einigen Jahren darüber nachgedacht, Windows standardmäßig auf einem Hypervisor laufen zu lassen. Leider wurde die Idee wohl nicht weiter verfolgt.

  68. Oder noch einfacher ohne VM, stattdessen mit einem Tool wie Sandboxie?

  69. Einige Leute schreiben hier echt ohne Ahnung zu haben.
    @Micha:
    Wenn der Keepasscontainer offen ist, ist eben nicht alles unverschlüsselt im Speicher. Das stimmt einfach nicht. Keepass und Co. haben zumindest unter Windows Schutzmechanismen so dass Login&Passwörter verschlüsselt im Speicher liegen (und auch keine Logins&Passwörter in den Swap Speicher/Auslagerungsdatei landen, zumindest nicht unverschlüsselt). Quelle: http://keepass.info/help/base/security.html#secmemprot
    Z.B. ist Windows da im Gegensatz vor OS X und Linux nicht vor Memory Dumps sicher.

    Keefarce hebelt durch Programmroutinen diesen Schutz auf weil es einen Export anstößt intern.

  70. Name (erforderlich) says:

    @ChackZz (Pos2): Blödsinn! Bei Lastpass liegen die Daten irgendwo, irgendwo in der Cloud – außerhalb meiner Kontrolle. Bei Keepass bestimme ich, wo der Container liegt.
    Und solange das System „sauber“ ist und kein dritter Zugriff hat um diese Software zu starten kann wenig passieren. Das gilt übrigens für alle Trojaner, Keylogger etc.
    Ist sowas auf dem Rechner aktiv, hast du sowieso verloren. Egal ob du Keepass nutzt, etwas anderes oder die Passwörter vom Zettel abtippst – spätestens dann haben sie dich sowieso.

  71. FriedeFreudeEierkuchen says:

    Immer wieder erstaunlich, wie in Deutschland im Umfeld von IT-Seiten die Emotionen bei Artikeln hochkochen und die Überheblichkeit rausplatzt. Unter dem verlinkten Ars Technica Artikel geht es dagegen größtenteils konstruktiv zu. Da wir über Angriffsvektoren, Gegenmittel etc diskutiert. Hier in den Kommentaren scheint es im wesentlichen darum zu gehen, Pascal, Caschy oder Leute mit anderer Meinung für blöd zu erklären.

    Um die Diskussion hier mal ein bisschen mit Fakten zu unterfüttern habe ich die ganze Prozedur getestet: KeePass installiert, eine Fake-Datenbank angelegt, mir die KeeFarce-Dateien geholt und bei geöffnetem KeePass das Tool gestartet. Voilà, schon hatte ich den Export in CSV-Form in %AppData/Roaming liegen.
    Wohlgemerkt: ich habe keine Admin Rechte und musste das Tool nicht installieren.

    Das ständige Argument hier „wenn du einen Rechner unter Kontrolle hast kannst du alles machen“ geht damit völlig am Problem vorbei. Auch der Satz „ein neues Export-Tool für KeePass“ geht an den Fakten vorbei. Das Tool lädt nicht einfach eine KeePass DLL, sondern nutzt DLL-Injection bei einem laufenden KeePass-Prozess. Das ist etwas mehr als „ein weiteres Export-Tool“.
    Ein Angreifer muss überhaupt nicht das System kapern, er braucht auch keine Admin-Rechte. Ein ganz normaler Benutzeraccount reicht völlig. Das vergrößert die Angriffsfläche enorm.

    Ein bequemer Angriffsvektor wäre, ein kleines, witziges oder sehr nützliches Programm zu schreiben oder ein bestehendes Open Source Programm ein bisschen umzustricken und den öffentlich verfügbaren KeeFarce-Code einzubauen.
    Man sieht auf den Mobil-Plattformen, dass dieses Prinzip funktioniert. Es gab unzählige Apps mit Schadfunktionen, auf allen Plattformen.
    Du musst die Sache nur entsprechend viral machen, dann klappt das – das wurde in der Vergangenheit immer wieder bewiesen.
    Mit einer gefüllten KeePass-Datenbank könnte man soviel Unfug treiben, dass es sich durchaus finanziell lohnt, entsprechend Manpower in das Projekt zu stecken. Da gibt es sicherlich genügend Gangs oder Solo-Hacker, für die sich ein solches Projekt lohnen würde. Mal abgesehen von den ganzen Geheimdiensten denen ohnehin wahnwitzige Geldmittel zur Verfügung stehen.

    Ansätze auf KeePass-Seite gegen einen solchen Angriff wär z.B. ein Export-Passwort oder besser noch eine spezielle visuelle Gestaltung der Export-Abfrage, die nicht vorhersehbar bzw. automatisierbar ist, z.B. zufällig verteilte Bilder oder Eingabefelder die man anklicken muss.

  72. @FriedeFreudeEierkuchen Okay, klingt interessant. Die Frage wie so ein Angriff praktisch aussieht ist für mich damit aber noch nicht geklärt. So wie ich dich verstanden habe läuft das Tool ohne Zutun des Users (und kann theoretisch automatisch gestartet werden?). Der User gibt dann das Masterpasswort ein und öffnet die Datenbank – anschließend liest Keefarce die Datenbank aus und macht einen Dump.
    Diesen Dump müsste ein Angreifer dann aber noch vom System herunter bekommen.
    Bleibt folgendes offen – wie kommt das Tool auf das Zielsystem, wie wird es gestartet und wie kommt der Datenbankauszug vom System zum Angreifer.
    Das dürften auch die Stellen sein an denen ein erster Schutz ansetzt.
    Was mich auch interessiert – warum läuft das nur auf Windowssystemen? Klingt nämlich so als wäre das auch (aber nicht nur) ein Windows Problem.

  73. FriedeFreudeEierkuchen says:

    @stefan: Das Tool muss man schon irgendwann selbst starten bzw. es wird von einem anderen Programm gestartet. Programme in den üblichen Autostart-Orten bei WIndows wären zu auffällig. Wer nicht gezielt einzelne Nutzer attackiert, sondern massenhaft Zugangsdaten abziehen will, muss unter dem Radar bleiben.
    Es wäre aber machbar, die Startroutine in ein anderes Programm einzupacken, das ich dem Nutzer unterjubele. Dieses Programm wäre so etwas wie die Taschenlampen-Apps die es für Android gab: es wird eine für den Nutzer interessante Funktion bereit gestellt, aber im Hintergrund werden Daten abgezogen.
    Den Export von KeeFarce muss das Programm natürlich hochladen. Wenn aber das „Mutterschiff“ z.B. eine Highscore-Funktion hat, kann man den Upload völlig unauffällig gestalten.
    Soweit ich es verstanden habe, nutzt KeeFarce Windows spezifische Funktionen. In wie weit sich die Speicher- und Prozessverwaltung von *nix basierten Systemen unterscheidet, kann ich nicht sagen.
    Da es hier irgendwo gefragt wurde: Microsofts EMET schütz zumindest in der Default-Einstellung nicht. Bei mir läuft EMET im Hintergrund und es hat (zumindest mit der portablen KeePass Version) trotzdem funktioniert. Ich habe mich allerdings noch nie genauer mit der EMET-Konfiguration beschäftigt.

    Unter dem Ars Technica Artikel gibt es in den User Diskussionen auch einige interessante Ansätze wie man mit dem Problem umgehen kann, dass der Passwort Manager der „single point of failure“ ist. Sehr einfach umsetzbar scheint mir, im jeweilige Passwort Manager nie das komplette Passwort zu speichern, sondern jedes Mal von Hand noch einige Zeichen dazu zu tippen. Diese kann man fix halten oder vom jeweiligen Datenbank-Eintrag ableiten (z.B. erste drei Buchstaben). Andere haben vorgeschlagen KeePass auf einem Gerät ohne Netzzugang zu nutzen, z.B. ein altes Smartphone. Einer nutzt einen alten iPod dafür.

  74. +++ Achtung +++

    1. Wenn mein Computer übernommen wurde, dann kann der Dieb auch meine mit GnuPG verschlüsselten Mails lesen – wenn ich sie offen und entschlüsselt habe!

    2. Wenn mein Computer übernommen wurde, dann kann der Dieb auch meine Daten aus meinem TrueCrypt-Container lesen – wenn ich ihn offen/gemountet habe!

    3. Wenn ein Bösewicht meinen Computer übernommen hat, dann kann er auch meine Passwörter für TrueCrypt und GnuPG loggen, sobald ich sie eingebe! Das kann er auch mit KeePass machen – sogar ohne KeeFarce!

    Fazit: OpenSource bringt’s nicht! Finger weg! Kostenlos und daher unsicher! Nutzt LastPass und BitLocker! Damit passiert euch sowas nicht! Auf gar keinen Fall! Qualität hat halt seinen Preis!

    Und btw: Wozu überhaupt dieser ganze Verschlüsselungskram?! Hat hier etwa jemand was zu verbergen?!

  75. @therealmarv: Nein, die Datensätze liegen natürlich nicht offen im RAM… das tun sie nichtmal bei der Nutzung – bzw. erst, wenn sie irgendwo eingefügt wurden. Aber die Schlüssel sind aufgrund der geöffneten Datenbank trotzdem frei abgreifbar. Eben weil KeePass die Daten sowohl über die Export-Funktion als auch über die API bereit stellt bzw. bereit stellen muss. Ich sagte: die Daten liegen offen, sobald man eingeloggt ist, ich sagte – undmeinte erst recht nicht – das dein komplettes Passwortarchiv beim Öffnen der Datenbank unverschlüsselt in deinem RAM (und somit auch in keiner Pagefile) landet. Tut es nicht, muss es ja auch nicht. Und niemand hat etwas anderes behauptet. Gerade DESHALB ist das hier ja kein Hack oder sonstwas… 😉

  76. @FriedeFreudeEierkuchen: Also mal abseits, das jedes Anti-Malware-Tool mit Behaviourscan (also so ziemlich jedes) dieses Verhalten selbst ohne Signatur unterbinden sollte, halt ich den Angriffsvektor auch für sehr klein, schlicht weil der Nutzen nicht da wäre. Wie hier schon einige Male gesagt, wenn eh schon Malware auf dem System ist, kann das gleiche Ziel auch viel einfacher und gleichzeitig unauffälliger erreicht werden. Es braucht da keine „auffälligen“ DLL Injections, kein KeeFarce… nichtmal irgendwelche Techniken die nicht der simpelste Trojaner beherrscht. Der KeePass-Autor hat sich dazu auch bereits geäußert: http://sourceforge.net/p/keepass/discussion/329220/thread/8e511d96/#e919

    Wer geschützte Daten auf einem komprimitierten System öffnet, hat seine Daten quasi der Welt zur Verfügung gestellt. Das war immer so, das ist in sich auch logisch. Und mehr als diese Erkentniss gibt halt leider am Ende dieses Tool nicht her. Und dafür ist der Artikel zu… „dramatisch“ geschrieben.

  77. Aber was schließen wir daraus?
    Es gibt Taschenlampen die Zwischenablage überwachen. In offene Keypass Datenbanken gucken oder Tastaturangaben überwachen können in der Theorie.

    Also nix ist sicher aber schön das wir mal drüber geredet haben`?

  78. @FriedeFreudeEierkuchen:
    Dann guck dir doch mal den Untschied zwischen dem Artikel bei Ars Technica und dem hier an. Das dürfte, zumindest in meinem Fall, auch die unterschiedliche Reaktion erklären.

    Davon abgesehen bin ich erstaunt, dass der Autor von KeeFarce ja scheinbar angibt, es benötige Adminrechte, so wie es auch im qualitativ guten Artikel bei Ars Technica steht. Ist also vielleicht dein Setup schon von vornherein unsicherer als es sein müsste?

    @Robert:
    Hier hast du deinen Fisch: >

  79. FriedeFreudeEierkuchen says:

    @Micha: Kaspersky hat in den Tests bezüglich Verhaltenserkennung ziemlich gut abgeschnitten, aber es hat die Ausführung nicht verhindert.
    Ich halte den Angriffsvektor für groß, da der Computer eben nicht verseucht sein muss, sondern ein beliebiges Programm mit Backdoor-Funktionen ausreicht. Für gezielte Attacken auf bestimmte Personen (Geheimnisträger) kann man bestimmt eine Lösung finden. Wenn man diesen Vektor für Massenangriffe nutzen will, muss die Köder-Software viral erfolgreich sein. Aber das waren die Taschenlampen-Apps auch. Scheint mir also durchaus realistisch zu sein.

    @2cent: Andzakovic spricht nicht davon, dass man Admin-Rechte haben muss. Er malt nur aus was passiert, wenn ein Domain-Admin von der Attacke betroffen wäre. Du kannst es ja selbst testen: weder KeePass, noch KeeFarce müssen installiert werden, beide können portabel genutzt werden.

    @Robert: Ich habe es schon geschrieben: man muss den Computer nicht übernehmen.
    Ich nehme mal an, dass dein Fazit ironisch bzw. sarkastisch gemeint sein soll 😉

  80. Achtung, EC Karten sind alle unsicher:
    Wenn man vorm Bankautomaten steht und seine pin uns Karte eingegeben hat und dann einfach wegrennt,kann der nächste in der Schlange Geld vom Konto abheben! Alarm!!

  81. @FriedeFreudeEierkuchen Du schreibst:
    „Ich halte den Angriffsvektor für groß, da der Computer eben nicht verseucht sein muss, sondern ein beliebiges Programm mit Backdoor-Funktionen ausreicht.“
    Wenn auf meinem Rechner ein Programm läuft, dass eine Hintertür aufmacht, dann ist der Rechner versucht. Keefarce liefert nur ein Tool um die Daten aus dem Gerät heraus zu holen.

  82. @FriedeFreudeEierkuchen:
    Fürs ausprobieren fehlts mir da gerade am passenden OS.
    Ich hatte ‚“Indeed, if the operating system is owned, then it’s game over,“ Denis Andzakovic, a researcher at Security Assessment and the creator of KeeFarce, told Ars.‘ so verstanden, dass man den Rechner hat schon „ownen“ muss. Und er spricht ja von OS und nicht von z.B. account. Dann musst du KeePass als anderer Nutzer ausführen, wenn das sonst so durchlässig ist und Windows?

    Nichtsdestotrotz handelt es sich um ein generelles Problem, was der Artikel vor dem Update zunächst überhaupt nicht widerspiegelte. Anstatt zu vermitteln, dass vorsichtig sein muss, was man ausführt/auf den Rechner lässt, war die Message, KeePass sei unsicher. Wir sind uns wohl einig, dass sich das im Ars Technica-Artikel ganz anders darstellt.

    Freut mich, dass sich Carsten zu einem Update durchgerungen hat. Danke dafür.