25 feb. 2019

Investigadores extraen contraseña maestra en texto claro de 1Password (y otros gestores)

Los usuarios regulares de Internet hacen malabarismos con sus cuentas en diversas plataformas y sitios web, a menudo usando la misma contraseña débil para todos ellos. Los usuarios con conocimientos tecnológicos emplean distintas contraseñas fuertes para diferentes cuentas. Aquellos que son verdaderamente concientes usan un administrador de contraseñas. Pero ¿es eso realmente algo tan inteligente?

ISE, una firma de consultoría de seguridad independiente con sede en Baltimore, Maryland, decidió probar esta idea investigando cinco administradores de contraseñas populares para ver si podían hacerles entregar sus secretos. Si bien no es fácil, aparentemente se puede hacer.

El grupo revela sus hallazgos en un artículo titulado Administradores de contraseñas: El lado oculto de la Administración de Secretos. Comienzan por describir las "garantías de seguridad" que un administrador de contraseñas típico debería ofrecer en diferentes circunstancias. Denominan a estas como "estados" (bloqueados, desbloqueados, en ejecución) y, dependiendo de cada estado en el que se encuentre la aplicación, se deben imponer ciertas garantías. Desafortunadamente, cada aplicación que ISE probó contenía vulnerabilidades que filtraban contraseñas, y el equipo incluso recuperó la contraseña maestra de una instancia bloqueada de 1Password v4.
El popular administrador de contraseñas y rellenador de formularios entrega su contraseña "maestra" en texto en claro.
Vale la pena leer el documento completo, al igual que la publicación (igualmente larga) del blog dedicada a los hallazgos, con gráficos y todo. Ambos son lo suficientemente técnicos como para no aburrir al amante de la tecnología que hay en uno, pero lo suficientemente digeribles como para no asustar a tu novato interior. También es una investigación importante porque puede educar a los usuarios de administradores de contraseñas de que forma funcionan estas herramientas.

No está claro si ISE contactó a cada proveedor con estos hallazgos para solicitar el lanzamiento de una actualización, pero sí esbozan una lista de defensas adicionales que los administradores de contraseñas deberían emplear para mantener seguras las contraseñas de los usuarios. Para los usuarios finales, el equipo ofrece una lista de las mejores prácticas de seguridad. ISE también promete repetir sus pruebas en el futuro para verificar y ver si las herramientas populares de protección de credenciales funcionan mejor.

Otras aplicaciones analizadas

1Password4 para Windows (v4.6.2.626)

Como puntos positivos de esta versión, en el caso de que un usuario acceda a varias contraseñas de la base de datos, una vez que está logeado, el programa se encarga de eliminar de memoria la contraseña anterior para cargar la nueva seleccionada.

1password7 para Windows (v7.2.57)

A pesar de ser una versión actual, se descubrió que es menos segura que su predecesor 1password4, ya que descifra y cachea todas las contraseñas de la base de datos en vez de una por una. También falló al eliminar las contraseñas de memoria, incluyendo la maestra al cerrar sesión.

Dashlane para Windows (v6.1843.0)

Como puntos positivos Dashlane, al igual que 1password4, solo carga en memoria la contraseña que se está utilizando, eliminando la utilizada anteriormente. También destacar el uso de frameworks para el manejo de memoria y GUI que evitan que la información pase por diferentes APIs del sistema.

Como punto negativo, cuando el usuario actualiza algún dato, se expone la base de datos entera en texto plano, manteniéndose hasta incluso cuando cerramos sesión en la aplicación.

KeePass Password Safe (2.40)

Keepas es un proyecto Open Source, y al igual que 1password4, va descifrando según vamos utilizando cada contraseña, almacenándola en memoria. Lo que ocurre es que no va eliminando los registros después de ser utilizados por lo que al rato de ser utilizado, tendremos la lista de contraseñas usadas cargada en memoria. Por otro lado, una vez utilizada la contraseña maestra, se elimina y se vuelve irrecuperable.
La versión 2.41 soluciona el problema.

LastPass (v4.1.59)

La base de datos entera permanece en memoria incluso cuando está bloqueada o cerramos sesión. Además, cuando se obtiene la clave de descifrado, la contraseña maestra se filtra en un string buffer, de donde no se elimina, incluso cuando la aplicación se bloquea.

Algunas de las marcas afectadas han defendido públicamente sus productos, afirmando que estos problemas descubiertos son parte de complejas decisiones o "trade-offs" de diseño.

LastPass afirmó que había solucionado los problemas encontrados en su producto y señaló que un atacante aún requeriría acceso privilegiado a la máquina del usuario.

Traducción: Raúl Batista de la Redacción de Segu-Info
Autor: Filip Truta
Fuente: Hot for Security - Bitdefender

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!