Hacker veröffentlicht Source Code für KeeFarce – einem Tool zum extrahieren von KeePass-Informationen

Artikel_KeePassSchlechte Nachrichten für Nutzer des Passwort-Managers KeePass. Der Hacker und Forscher für das neuseeländische Sicherheitsberatungsunternehmen „Security Assessment“ namens Denis Andzakovic hat jüngst den Quellcode für das Tool KeeFarce veröffentlicht, ein Tool, welches sämtliche Informationen innerhalb von KeePass mühelos auslesen kann – vorausgesetzt der attackierte Nutzer ist aktuell in KeePass eingeloggt. Und damit sind wirklich alle Informationen gemeint wie Nutzernamen, Passwörter, Notizen oder URLs, die im Anschluss im Klartext als CSV exportiert werden können.

Aktuell bestätigt Andzakovic das Extrahieren von Informationen von KeePass in den Versionen 2.28, 2.29 sowie 2.30 unter Windows 8.1 (32 bit und 64 bit). Das Tool soll jedoch auch unter älteren Windows-Versionen laufen.

In der Theorie könnte ein Hacker sogar weitergehen, als nur die Daten zu extrahieren. Gegenüber Ars Technica sagte Andzakovic, dass ein Angreifer theoretisch – sobald er Admin-Zugang zu einer Domain erlangt – auch auf Netzwerk-Hardware zugriff erlangen könnte. Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.

(via Net Security / Danke Patrik!)

Update Carsten Knobloch: Um die Verwirrung hoffentlich etwas zu entketten: Es geht hier im Beitrag nur um den Inhalt, dass der Source eines solchen Tools in die Freiheit entlassen wurde und einfach kompiliert und ausgenutzt werden kann. Das Problem liegt nicht im eigentlichen KeePass (das meines Erachtens beste kostenlose Tool seit vielen Jahren), dennoch dient es als schlechtes Beispiel, wie Kollege Marco Götze in seinem Blog auch beschrieben hat. Dass ein Nutzer weitaus größere Probleme hat, wenn ein solches Tool auf seinem Rechner zum Einsatz kommt, das steht ebenfalls außer Frage. Lange Rede, kurzer Sinn: es gibt keinen Grund, KeePass nun weniger zu vertrauen.

getkey_big

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

86 Kommentare

  1. @xpac: 2 Doofe, ein Gedanke – gleichzeitig ^^

  2. DatGoogleGuy says:

    Ich weiß wirklich nicht, was ich mit dieser Nachricht anfangen soll. Ich habe keinen wirklichen Informationsmehrwert daraus gezogen. Ich werde weiterhin KeePass nutzen und wüsste nicht, wovor ich mich jetzt fürchten sollte.

    @marius
    Bevor ich zu Keepass gewechselt bin, habe ich auch darüber nachgedacht, meine Passwörter aufzuschreiben und die Notiz irgendwo zu verwahren. Das war mir aber zu unsicher. Die Liste könnte jederzeit gestohlen, vernichtet (Wohnungsbrand, etc.) oder gelesen (Mitbewohner, Freundin, etc.) werden. Deine Offline-Notizen sind nicht „unhackbar“ und garantiert nicht sicherer als eine digitale Version.

    Ich habe aktuelle Sicherheitskopien meines Passwort-Tresors in kaskadierender Verschlüsselung auf fünf Cloud-Speichern gespeichert. Ferner habe ich noch Offline-Kopien auf dem NAS meiner Eltern und einen USB-Stick im Schließfach der Bank, den ich alle sechs Monate aktualisere. Es ist nahezu unmöglich, dass ich jemals den Zugriff auf meine Passwort-Datenbank verliere.

  3. Was ein schlimmer Artikel. Da fehlt ja die Hälfte von dem Ars Technica Artikel…

  4. @Pascal Wuttke:
    Was der Ars Technica Artikel dir sagt, spiegelt leider die Realität wider: Mit Vollzugriff ist eh alles egal. Das empfindest du als Panikmache? Dann hast du offensichtlich keine Ahnung, denn es ist eine Wahrheit, die eigentlich jeder präsent haben sollte, der sich anmaßt, über solche Themen zu schreiben. Spätestens wenn du den Ars Technica-Artikel liest, weißt du, dass schon die KeePass-Macher selbst dich davor warnen.

    Dass es da für KeePass jetzt ein Tool gibt, mag man von mir aus als Nachricht sehen. Aber dann sollte man auch die Einordnung vornehmen, wie Ars Technica das tut, wenn man was auf sich hält bzw. zu dem gedanklichen Schritt im Stande ist.

    @icancompute:
    Das ist natürlich komfortabel, dass du dafür gerade „keine Zeit hast“. Wie man wahrscheinlich merkt, bin ich da heute etwas freier, ich zersäg dich also gerne, wenn du noch Zeit findest.

    @solariz:
    Und wie wir dein Ansatz verhindern, dass man ganz KeePass gegen eine Pseudoversion mit Backdoor ersetzt? Das kann man mit Vollzugriff immerhin genauso.

  5. Ist mehr Panikmache als eine Gefahr, hab mit dem Code eben mal etwas rummgespielt.
    Ja er kann die DB Exportieren; Aber nicht immer und man kann es verhindern.

    Ich schreib dazu heute Abend mal mehr zusammen aber ich bleibe bei KeePass – ist mir mit 2 Faktor Auth und Lokal Only einfach lieber als die Daten in der Cloud.

    https://solariz.de/de/keefarce-keepass-gefahr.htm

    Nochmal Danke an Caschy für den Hinweis hab das bei ARS total übesehen.

  6. Auweia, dieser Blog beweist seine Kompetenz jeden Tag mehr.

  7. Ich habe echt das Gefühl, dass es sich hier um einen gekauften Artikel handelt, insbesonders wie in den Kommentaren die auch befallenen kostenpflichtigen Alternativen beworben werden.

  8. Unterirdischer Artikel:
    „Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.“
    Wirklich? Das entschärft die Situation nicht nur komplett, das macht die ganze News lächerlich…
    Wer etwas Ahnung von security hat, den sollte es nicht wirklich überraschen, dass bei Zugriff auf das System die Passwörter ausgelesen werden können. Das hier ist keine News, das ist Panikmache (zumindest ohne Einordnung, und die fehlt hier!)

    xpac Kommentar sollte es verdeutlichen:
    „NEWS: Hacker mit Zugriff auf den PC können Dateien aus gemounteten TrueCrypt-Containern lesen, kopieren und sogar verändern! ;D“

  9. Hm… bin auch kurz erschrocken, aber das ist nun wirklich piepschnurz… ein Angreifer, der Zugriff aufs System hat, könnte über einen Keylogger genauso das Masterpasswort auslesen.

  10. Karl Kurzschluss says:

    Kostenlos.
    Open Source.
    Sicher.
    Muahahaha!

  11. @Marius: „Alle meine Passwörter sind in einem Notizbuch aufbewahrt. Das ist immer noch am sichersten! Offline = unhackbar“

    Auch das ist falsch. Sobald du die eintippst beim Einloggen kann ein Keylogger das mitschneiden.

    Wenn ein Hacker so tief in deinem System ist, bist du dem ausgeliefert, so oder so. Auch mit Offline Notizbuch für Passwörter.

    Ausser du benutzt die Passwörter niemals, dann brauchst du die aber nicht aufschreiben 😉

  12. Oh oben gab es schon ein paar Kommentare ähnlichen Inhalts, hatte nur überflogen. Gerade erst den Rest gelesen.

  13. @Marius „Panik ist berechtigt! Offline speichern ist die Devise!“

    Das ist IMMER falsch. Panik ist Scheisse, da macht man nur Fehler. Erst nachdenken dann handeln. „Offline ist sicherer“ ist eh Unsinn, außer du bist NUR offline. Kein Facebook, kein Internet, etc dann ist es wirklich sicherer. Aber nur dann.

  14. Ja, das ist ja mal wieder so ein völliger Panik Artikel. Natürlich kann ich alle Informationen aus einem Programm auslesen, wenn ich a) Zugriff auf den Rechner habe und b) der Benutzer eingeloggt ist. Wer will denn hier KeePass runtermachen, ist wohl ein Schelm. 🙂
    Zusatz: Open Source hat ja gerade den Vorteil, dass man den Source Coude erkennen kann und ihn prüfen kann. Eine Verschlüsselung ist nur dann als sicher anzusehen, wenn alles offengelegt ist und nur das Passwort ein Geheimnis ist.
    Aber hier nur wieder mal BILLIGE Panikmache auf Kosten der User, die nicht gerade INformatik studiert haben. Das ist traurig.

  15. WOW !! Nach diesem Artikel musste ich echt nachschauen, ob ich auf der richtigen Seite bin. CB für Caschys Blog oder CB für Computer Bild.

    Ich gebe zu ich habe die Posts nur überflogen, denn zum Lesen hatte ich, nachdem was ich überflogen hatte, keine Lust mehr. Vermutlich haben ein paar hier auch die Buchstaben CB verwechselt.

  16. Da wird man hier durch einen spektakulären Artikel angelockt und erfährt relevante Dinge mal wieder erst in den Kommentaren. 🙁

  17. Ich finde es belustigend, dass jetzt die KeePass-Fraktion ihren Shitstorm abbekommt und die LastPass-Nutzer, die vor kurzem alle als doof dargestellt wurden, jetzt zurückschießen.

    Dennoch denke ich, dass es falsch ist zu sagen „wenn jemand auf deinem Rechner ist, hast du eh verloren“. Klar ist das im Regelfall so, aber genauso tragisch ist das eigentlich auch.

    Ich denke man sollte hier über Lösungen nachdenken, die vielleicht in Zukunft mehr Sicherheit versprechen:

    Ich gehe davon aus, dass eben KeePass besser ist als beispielsweise eine mit TrueCrypt verschlüsselte Text-Datei, weil ich eben diese Datei nur einmal kopieren muss und alles habe. Im Zweifel ist das Truecrypt-Volume häufiger offen, als ich eigentlich Passwörter brauche. Desweiteren entschlüsselt ein vernünftiger Passwortmanager erst einmal nicht alle Passwörter auf einmal, sodass ich auch erst einmal nicht alle klauen kann, hat also schon seine Vorteile.

    Dennoch sollte man sich natürlich nach wie vor überlegen, ob man die Passwortmanager verbessern kann, in dem man andere Algorithmen nutzt, das Auslesen der Daten verhindert oder auch neben der pyhsischen Tastatur beispielsweise eine virtuelle Tastatur nutzen kann, um Keyloggern die Arbeit zu erschweren.

    Es ist zudem möglich auch separate Hardware zu verwenden, beispielsweise mit dem momentan etwas gehypten Yubikey, die dann vom System losgelöster sind oder auch weitere Schutzmechanismen eingebaut haben können. Manche dieser Hardware-Tokens können sich sogar pyhsisch zerstören, wenn beispielsweise ein Passwort mehrfach falsch eingegeben wurde.

    Zwei-Faktor-Authentifizierung wurde ebenfalls häufig angesprochen und kann auch hier für zusätzliche Sicherheit sorgen. Das können unabhängig voneinander generierte „Zufallszahlen“ sein oder auch Codes, die per SMS o.ä. übermittelt werden.

    ich denke, dass es einige Ansätze gibt, die sinnvoll wären. Man muss es nur schaffen, dass die Nutzbarkeit so wenig wie möglich eingeschränkt wird und das ist oft ein großes Problem.

    Den Vorwurf der Panikmache halte ich für übertrieben. Aber man kann nicht oft genug auf diese Problematiken hinweisen und zudem versuchen die Menschen zu sensibilisieren. Was ist da ein besserer Anstoß als ein Tool, dass die Passwörter ausliest?

    P.S.: Ich nutze natürlich auch einen dieser unsicheren Manager und bin auch zu faul für alles „sichere“ Maßnahmen zu treffen. Aber ich fühle mich nicht unbedingt gut dabei. Das ist das gleiche Thema wie „ich bin zu faul ein Backup zu machen“, was man so lange denkt, bis es einen erwischt.

  18. @caschy: Dass der Artikel gekauft sein soll, ist wirklich lächerlich.

    Aber ich hoffe du facepalmst auch für den Artikel selber, denn

    „Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.“

    ist wirklich der Hammer und die Kritik, die euch hier zum Teil entgegenschlägt, mehr als gerechtfertigt.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.