Hacker veröffentlicht Source Code für KeeFarce – einem Tool zum extrahieren von KeePass-Informationen
Schlechte Nachrichten für Nutzer des Passwort-Managers KeePass. Der Hacker und Forscher für das neuseeländische Sicherheitsberatungsunternehmen „Security Assessment“ namens Denis Andzakovic hat jüngst den Quellcode für das Tool KeeFarce veröffentlicht, ein Tool, welches sämtliche Informationen innerhalb von KeePass mühelos auslesen kann – vorausgesetzt der attackierte Nutzer ist aktuell in KeePass eingeloggt. Und damit sind wirklich alle Informationen gemeint wie Nutzernamen, Passwörter, Notizen oder URLs, die im Anschluss im Klartext als CSV exportiert werden können.
Aktuell bestätigt Andzakovic das Extrahieren von Informationen von KeePass in den Versionen 2.28, 2.29 sowie 2.30 unter Windows 8.1 (32 bit und 64 bit). Das Tool soll jedoch auch unter älteren Windows-Versionen laufen.
In der Theorie könnte ein Hacker sogar weitergehen, als nur die Daten zu extrahieren. Gegenüber Ars Technica sagte Andzakovic, dass ein Angreifer theoretisch – sobald er Admin-Zugang zu einer Domain erlangt – auch auf Netzwerk-Hardware zugriff erlangen könnte. Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.
(via Net Security / Danke Patrik!)
Update Carsten Knobloch: Um die Verwirrung hoffentlich etwas zu entketten: Es geht hier im Beitrag nur um den Inhalt, dass der Source eines solchen Tools in die Freiheit entlassen wurde und einfach kompiliert und ausgenutzt werden kann. Das Problem liegt nicht im eigentlichen KeePass (das meines Erachtens beste kostenlose Tool seit vielen Jahren), dennoch dient es als schlechtes Beispiel, wie Kollege Marco Götze in seinem Blog auch beschrieben hat. Dass ein Nutzer weitaus größere Probleme hat, wenn ein solches Tool auf seinem Rechner zum Einsatz kommt, das steht ebenfalls außer Frage. Lange Rede, kurzer Sinn: es gibt keinen Grund, KeePass nun weniger zu vertrauen.
Zum Thema „Offline ist sicher“ – Das stimmt natürlich überhaupt nicht.
Wenn ein Angreifer so ein Tool installieren kann, dann hat er vollen Zugriff auf das System und kann auch einen Keylogger installieren, und spätestens wenn ich das Passwort eintippe, hat er es.
Wow, wie überraschend. Ich denke, die Übertreibung erkennt man wunderbar an dieser Aussage: „In der Theorie könnte ein Hacker sogar weitergehen, als nur die Daten zu extrahieren. Gegenüber Ars Technica sagte Andzakovic, dass ein Angreifer theoretisch – sobald er Admin-Zugang zu einer Domain erlangt – auch auf Netzwerk-Hardware zugriff erlangen könnte. “ Ach ne, wenn man die Zugangsdaten zu einem Admin-Account einer Domain so erlangt, dann kann man auf Netzwerkhardware zugreifen? Ist ja was ganz neues, daß man mit Adminrechten auf die Hardware zugreifen kann. Als nächstes kommt sicher ein Paßwortsafe von denen.
@Marius:
Die Panikmache ist falsch, denn wenn Dein Rechner korrumpiert ist, besteht bereits Zugriff zu allen Dingen, auch zu offline gespeicherten sobald Du sie eingibst.
@caschy
Und die Kiddies brauchen dann immer noch Vollzugriff auf den Rechner, wo wir wieder bei den anderen Probleme wären. Da tuts dann auch ein Keylogger o.ä.
Die Nachricht ist also nichts/Panikmache und der Autor hat es nicht mal über die Überschrift des von ihm verlinkten Artikels geschafft. Arm bis peinlich.
„Da tuts dann auch ein Keylogger o.ä.“
Interessant wäre dann mal zu vergleichen, wie KeeFarce von AV-Software erkannt wird – im Gegensatz zu Loggern. Ich sehe kein Problem bei einer News, die darauf hinweist, dass ein solches Tool im Source bereit steht.
„Ich muss ich gerade sehr beherrschen keine Kraftausdrücke zu verwenden.“
Wäre toll 😉
@Gast
@2cent
Wie übersetzt ihr denn „“KeeFarce“ targets KeePass, but virtually all password managers are vulnerable.“?
Für mich ist das korrekt übersetzt. Die Info, dass potentiell mit der von KeeFarce benutzten Methode jeder andere PW-Manager ebenfalls kompromittiert werden kann, wäre natürlich trotzdem sinnvoll gewesen. Das ändert doch aber nichts an der korrekten Übersetzung für den Teil, den Pascal hier beschrieben hat.
@2cent
Warum soll das Panikmache sein? Viele der Leser hier dürften KeePass nutzen und dankbar für diese Info sein. Über LastPass wird hier ja auch berichtet. Und so wird dank gerade deiner Kommentare eben noch zusätzlich auf eine generelle Schwachstelle von PW-Managern hingewiesen, was dann eher für mehr Panik sorgen dürfte, als zu beruhigen. Oder verstehe ich dich irgendwie falsch? Ich bin mir da nicht sicher.
Also meine Keepass Datenbank muss mit meinem Kennwort geöffnet sein ? Was ist denn dann das Tolle an Keefarce ? Da kann ich ja nen Autoit Script oder was auch immer schreiben, was gleich den Export aus Keepass in CSV macht. (Datei->Exportieren->Anpassbare HTML-Datei) z.B..
Diese Attacke ist grundsätzlich auf alle Passwortmanager anwendbar die lokal laufen. Keepass hat design-technisch nichts falsch gemacht. Und wenn der Angreifer Zugriff auf den Computer hat ist sowieso schon vieles verloren. KeepassX und V.1 ist übrigens nicht mit KeeFarce angreifbar.
Außerdem sollte sich der Ottonormalnutzer lieber Gedanken machen wenn er Keepass auch auf den Telefon benutzt, bei Android kann man ziemlich viel abgreifen wenn man es darauf ankommen lässt. Zwischenablagenüberwachung ist nur ein Beispiel. Aber das ist nicht nur ein Problem von Keepass.
@caschy:
Willst du gerade ernsthaft entgegenhalten, dass man ein verwundbares/unsicheres System mit Schlangeöl-AV beschützen kann? Autsch, dass kostet Respekt-Punkte! 😉
Abgesehen vom Punkt, dass die AV-Software KeeFarce dann genauso wie einen Keylogger erkennen sollte, kann man beides so modifizieren, dass es nicht mehr erkannt wird bzw. die AV-Software dank unsicherem System/Vollzugriff gleich voll zerlegen.
Wie du siehst beherrsche ich mich ja, aber meine Stirn blutet schon fast. m( 😀
@2cent
Wie wäre es, wenn du den Artikel auf ars einfach noch mal liest und dann die Nachricht, die er beinhaltet, versuchst zu erkennen? Ob du ihn erkannt hast, werde ich dann sicherlich an deinem nächsten Kommentar, meinem hier nachfolgend, erkennen.
@icancompute:
Panikmache ist, dass dir etwas völlig offensichtliches als neue Bedrohung verkauft wird: Wenn jemand Vollzugriff auf deinen Rechner erlangt, ist alles verloren, was du damit machst. Und die Panikmache wird dadurch verstärkt, dass ich mir eine Software rausgreife und verschweige, dass das ein grundsätzliches Problem ist, das schon immer bestanden hat.
@caschy: Super dank für den Hinweis.
Ich habe den Source Code eben mal geladen compiliert und getestet – es ist in der Tat eine einefache DLL Injection welche komplett alles in Klartext zurück gibt.
Ich habe aber eine Idee wie man sein Keepass schützen kann, probiere ich nachher mal aus und bei Interesse kann ich dir Infos geben.
Hier mal ein Screenshot der Resultate wenn das Tool über eine KDBX läuft:
https://solarizde-163e.kxcdn.com/media/uploads/2015/11/2015-11-0411_52_48.jpg
Gut das ich damals beim Lastpass Skandal nicht zu Keepass gewechselt bin. Jede Software ist Angreifbar. Meiner Meinung nach ist Lastpass am sichersten, da Sie schnell Angriffe (die jede Firma betreffen, die meisten kommunizieren Sie nur nicht so offen) offenlegen. Da lohnen Sich die 12€ im Jahr
Keapass ist auch gut, braucht aber einfach mal eine Usability Kur. Versucht mal Keapass mit einem Macbook und Safari zu benutzen…
Wenn man Windows+Keepass2 benutzt und genug Angst vor KeeFarce hat vielleicht einfach mal ne Zeitlang KeepassX Beta 2 benutzen. https://www.keepassx.org/news/2015/09/514
@icancompute
Vielleicht möchtest du mir mal verraten, was für eine Nachricht du meinst. Dass der Ars Technica dir in ungefähr jedem Absatz sagt, was ich dir hier sage? Mein Problem ist, dass das im hier kommentierten Artikel eben verschwiegen wird. Am Ars Technica-Artikel habe ich nichts auszusetzen, den würde ich auch nicht als Panikmache bezeichnen. Im Gegenteil, die ordnen das korrekt ein, wiederholen das mehrfach und geben ein korrektes Fazit.
@solariz: Klingt gut, du weisst, wie du mich erreichst 🙂 Vielleicht schlägste es ja auch den KeePass-Machern vor 🙂
@2Cent: Hach, die Trolle fliegen heute wieder sehr tief. Ich sehe eher den Artikel von Ars Technica als Panikmache an, da es ja auf jedes System angewandt werden KÖNNTE. Das KÖNNTE ist hier entscheidend, denn mein Artikel bezieht sich korrekt auf die Meldung, dass der Herr Andzakovic den Source Code für KeeFarce veröffentlicht hat – einem Tool, dass speziell auf KeePass abzielt. Dies steht so in der Überschrift, inklusive „SOURCE CODE“. Hast du schon eine weitere Meldung darüber gelesen, dass die Methode in weitere Tools verbaut wurde? Ich nämlich noch nicht. Somit beziehe ich mich nicht auf „hätte, wenn und aber“, sondern gebe den Inhalt der eigentlichen Meldung wieder. Sollte eine Meldung auftauchen, dass ein ähnliches Tool es nun insbesondere auf LastPass, Dashlane und Co. abgesehen haben sollte, werden wir entsprechend darüber berichten. Ich weiß echt nicht, wo dein Problem liegt und halt mal den Ball flach. Wenn du eine andere Sicht der Dinge hast, ist das OK. Diskutiere darüber in den Kommentaren, dafür sind sie da. Aber lass die Beleidigungen und such dir lieber n anderes Hobby.
Passwortkarte á la Savernova oder INES und keine Software kann was…
Hmm, unter den im Artikel beschriebenen Voraussetzungen, damit das Tool Passwörter abgreifen kann, kann ich jetzt nicht eine allgemeine „Gefährlichkeit“ erkennen. Wenn ich physischen Zugriff auf einen anderen Rechner habe und der Anwender im KeePass eingeloggt ist, dann ist der Zugriff auf die Passwörter in KeePass sowie so nicht mehr sicher.
Daher für mich leider eher eine Überschrift im Boulevard-Blatt-Stil.
@2cent
Jau, du hast die Nachricht in dem Text auf ars nicht gefunden, wie deine zwei Kommentare eindrucksvoll belegen. Ich habe allerdings keine Zeit und auch keine Lust, dir da jetzt auf die Sprünge zu helfen, da du das offenbar auch nicht erkennen möchtest. Von daher noch einen schönen Tag!
NEWS: Hacker mit Zugriff auf den PC können Dateien aus gemounteten TrueCrypt-Containern lesen, kopieren und sogar verändern! ;D
Okay, der Hacker muss Zugriff auf das System haben UND der Nutzer muss auch noch in Keypass eingeloggt sein… ich seh jetzt das Problem nicht… das ist ja, wie wenn man es Truecrypt als Sicherheitsmanko ankreidet, wenn ein ins System bereits eingedrungener Angreifer Zugriff auf einem vom User selbst gemounteten Container erlangt. Erstens hat der User eh bereits viel größere Probleme, wenn ein Angreifer Vollzugriff auf sein System hat und zweitens ist die Datenbank, sofern sie geöffnet ist, natürlich unverschlüsselt, sonst könnte man ja mit dem Tool nicht arbeiten. Der Hacker hätte also nicht extra ein Programm dafür schreiben müssen, Screenshots oder ein Zugriff auf die enthaltene Export-Funktion hätten wohl auch gereicht. Ich sehe hier nicht mal wirklich den Hack an dem Hack…