Hacker veröffentlicht Source Code für KeeFarce – einem Tool zum extrahieren von KeePass-Informationen
Schlechte Nachrichten für Nutzer des Passwort-Managers KeePass. Der Hacker und Forscher für das neuseeländische Sicherheitsberatungsunternehmen „Security Assessment“ namens Denis Andzakovic hat jüngst den Quellcode für das Tool KeeFarce veröffentlicht, ein Tool, welches sämtliche Informationen innerhalb von KeePass mühelos auslesen kann – vorausgesetzt der attackierte Nutzer ist aktuell in KeePass eingeloggt. Und damit sind wirklich alle Informationen gemeint wie Nutzernamen, Passwörter, Notizen oder URLs, die im Anschluss im Klartext als CSV exportiert werden können.
Aktuell bestätigt Andzakovic das Extrahieren von Informationen von KeePass in den Versionen 2.28, 2.29 sowie 2.30 unter Windows 8.1 (32 bit und 64 bit). Das Tool soll jedoch auch unter älteren Windows-Versionen laufen.
In der Theorie könnte ein Hacker sogar weitergehen, als nur die Daten zu extrahieren. Gegenüber Ars Technica sagte Andzakovic, dass ein Angreifer theoretisch – sobald er Admin-Zugang zu einer Domain erlangt – auch auf Netzwerk-Hardware zugriff erlangen könnte. Um die Software KeeFarce zum Laufen zu bringen, muss der Angreifer jedoch erst einmal Zugriff auf den Rechner erlangen. Doch das entschärft die Situation sicherlich nur geringfügig.
(via Net Security / Danke Patrik!)
Update Carsten Knobloch: Um die Verwirrung hoffentlich etwas zu entketten: Es geht hier im Beitrag nur um den Inhalt, dass der Source eines solchen Tools in die Freiheit entlassen wurde und einfach kompiliert und ausgenutzt werden kann. Das Problem liegt nicht im eigentlichen KeePass (das meines Erachtens beste kostenlose Tool seit vielen Jahren), dennoch dient es als schlechtes Beispiel, wie Kollege Marco Götze in seinem Blog auch beschrieben hat. Dass ein Nutzer weitaus größere Probleme hat, wenn ein solches Tool auf seinem Rechner zum Einsatz kommt, das steht ebenfalls außer Frage. Lange Rede, kurzer Sinn: es gibt keinen Grund, KeePass nun weniger zu vertrauen.
@Micha: Kaspersky hat in den Tests bezüglich Verhaltenserkennung ziemlich gut abgeschnitten, aber es hat die Ausführung nicht verhindert.
Ich halte den Angriffsvektor für groß, da der Computer eben nicht verseucht sein muss, sondern ein beliebiges Programm mit Backdoor-Funktionen ausreicht. Für gezielte Attacken auf bestimmte Personen (Geheimnisträger) kann man bestimmt eine Lösung finden. Wenn man diesen Vektor für Massenangriffe nutzen will, muss die Köder-Software viral erfolgreich sein. Aber das waren die Taschenlampen-Apps auch. Scheint mir also durchaus realistisch zu sein.
@2cent: Andzakovic spricht nicht davon, dass man Admin-Rechte haben muss. Er malt nur aus was passiert, wenn ein Domain-Admin von der Attacke betroffen wäre. Du kannst es ja selbst testen: weder KeePass, noch KeeFarce müssen installiert werden, beide können portabel genutzt werden.
@Robert: Ich habe es schon geschrieben: man muss den Computer nicht übernehmen.
Ich nehme mal an, dass dein Fazit ironisch bzw. sarkastisch gemeint sein soll 😉
Achtung, EC Karten sind alle unsicher:
Wenn man vorm Bankautomaten steht und seine pin uns Karte eingegeben hat und dann einfach wegrennt,kann der nächste in der Schlange Geld vom Konto abheben! Alarm!!
@FriedeFreudeEierkuchen Du schreibst:
„Ich halte den Angriffsvektor für groß, da der Computer eben nicht verseucht sein muss, sondern ein beliebiges Programm mit Backdoor-Funktionen ausreicht.“
Wenn auf meinem Rechner ein Programm läuft, dass eine Hintertür aufmacht, dann ist der Rechner versucht. Keefarce liefert nur ein Tool um die Daten aus dem Gerät heraus zu holen.
@FriedeFreudeEierkuchen:
Fürs ausprobieren fehlts mir da gerade am passenden OS.
Ich hatte ‚“Indeed, if the operating system is owned, then it’s game over,“ Denis Andzakovic, a researcher at Security Assessment and the creator of KeeFarce, told Ars.‘ so verstanden, dass man den Rechner hat schon „ownen“ muss. Und er spricht ja von OS und nicht von z.B. account. Dann musst du KeePass als anderer Nutzer ausführen, wenn das sonst so durchlässig ist und Windows?
Nichtsdestotrotz handelt es sich um ein generelles Problem, was der Artikel vor dem Update zunächst überhaupt nicht widerspiegelte. Anstatt zu vermitteln, dass vorsichtig sein muss, was man ausführt/auf den Rechner lässt, war die Message, KeePass sei unsicher. Wir sind uns wohl einig, dass sich das im Ars Technica-Artikel ganz anders darstellt.
Freut mich, dass sich Carsten zu einem Update durchgerungen hat. Danke dafür.