KeySteal - az összes jelszó ellopása a macOS Keychain-ből

 ( trey | 2019. február 7., csütörtök - 9:22 )

Linuz Henze egy YouTube videón mutatja be KeySteal nevű segédprogramját, amivel állítólag minimális erőfeszítéssel - a "Show me your secrets ;)" gomb megnyomásával - tudja lopni a felhasználók macOS Keychain-ben tárolt jelszavait. Normális esetben, ha egy biztonsági szakember ilyen jellegű problémát talál, értesíti a gyártót és időt ad neki a hiba javítására. Henze tüntetőleg nem működik együtt az Apple-lel, mert az nem kínál bug bounty-t a macOS hibákra.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ha valaki az internet böngészőjében letárolja belépéseit, jelszavait, ha ugyanígy idegenként be tudok lépni a gépébe mindenféle segédprogram nélkül is láthatom, ellophatom. Akkor most ez egy még ennél is súlyosabb biztonsági hiba ami az összes böngésző programot érinti?

Teljesen vaktában lövöldözök, de szerintem a keychain-re lehet mester jelszót tenni, szóval attól hogy a gépe előtt ülsz még nem biztos hogy azonnal odaadja az összes jelszót.

"Ha valaki az internet böngészőjében letárolja belépéseit, jelszavait"
Ez nekem eleve antipattern

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

""Ha valaki az internet böngészőjében letárolja belépéseit, jelszavait"
Ez nekem eleve antipattern"

+1

--
trey @ gépház

Na igen, de itt arról van szó hogy a Keychain mester jelszó törhető,a videós programmal le lehet nyúlni a jelszavakat és ez ott komoly biztonsági hibának számít.

OK hogy antipattern. De ettől függetlenül ott van benne és a "csak" felhasználók nagy része épp emiatt mert ott van mint lehetőség, használja is. Sőt, a böngésző ezt a lehetőséget jelzi, fel is kínálja a felhasználónak. Nem mondja hogy ne használd mert nem annyira biztonságos és használj inkább más megoldást másképpen.

A keychain-t barmi hasznalhatja.

"Ha valaki az internet böngészőjében letárolja belépéseit, jelszavait, ha ugyanígy idegenként be tudok lépni a gépébe mindenféle segédprogram nélkül is láthatom, ellophatom"

Ha nem használt Master Password-öt / beírta előtte. Használj Master Password-öt.

--
trey @ gépház

Sosem értettem egyébként azt, miért jó az ÖSSZES jelszavamat EGY helyen tárolni.

Tipikus kényelem kontra biztonság téma.

--
robyboy

Feltételezve hogy a keychain egy jelszókezelő (mint a keepass), akkor ez egyáltalán nem biztos, hogy rossz, sőt. Úgy szokták ezeket összerakni, hogy a biztonság és a kényelem megfelelő egyensúlyban legyen (auto exit vagy minimize, csak mesterjelszó vagy egyéb kulcs hatására nyílik ki, meg a db fájl eleve titkosítva van, még az se baj ha valaki lemásolja pendrive-ra vagy egyéb helyre, stb).

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

"meg a db fájl eleve titkosítva van, még az se baj ha valaki lemásolja pendrive-ra vagy egyéb helyre, stb)."

Eleve több helyen tárolom, titkosított fájlrendszeren eltávolítható adathordozón, amit csak a használat előtt csatolok fel (első jelszó). Ott titkosított db fájlban van, amit a jelszókezelő jelszó ellenében nyit meg (második jelszó).

--
trey @ gépház

Szóval, ha tönkremegy a pendrive, elszáll az összes jelszó. Vagy több pendrive-od is van párhuzamosan? Ez esetben minden egyes jelszómódosításnál aktualizálni kell(ene) az összes db-t, adathordozót.

--
robyboy

"Eleve több helyen tárolom,"

"Ez esetben minden egyes jelszómódosításnál aktualizálni kell(ene"

Örök klasszikus: Ahogy a biztonságot növelem, úgy csökken a kényelem.

--
trey @ gépház

"Tipikus kényelem kontra biztonság téma."

--
robyboy

Worksforme, én együtt tudok ezzel élni.

--
trey @ gépház

Vaaagy: van egy cloud-od (esetemben Nextcloud) ami automatikusan szinkronizálja az eszközeidre, beleértve a mobilodat, céges gépet, stb. Így már ha egy kiesik, van időd pótolni. Ezen kívül napi mentésben van külső winyóra és backup szerverre.

-------
It is our choices that define us.

Nekem is saját sima nextcloud sync folderben van a keepass file, látszik a gépemről és a telefonomról is. Napi mentés van dedikált "mentés" :) vinyóra, tervben van az offsite.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Ezzel kiesne a "titkosított fájlrendszeren" léjer.

Vagyis, ha egyszer találnak csak ilyen hibát a KeePass-ben, akkor az összes jelszavad kompromittáltnak tekintheted.

--
trey @ gépház

Ahhoz még magának a fájlrendszernek kell kicsúsznia a kezem közül (laptop ellopása, NAS ellopása), illetve kell egy sérülékenység a keepassban és kell a tolvajban szándék ennek a kihasználására. De valóban. Sajnos létező fájlrendszereket nem annyira triviális titkosítani mint amennyi időm van erre.

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Nem azt mondtam, hogy ez nem jó (nyilván jobb, mint az emberiség 99,99%-a, amelyik a pw.txt-ben tárolja a c:\-ben). Csak annyit, hogy véleményem szerint lehetne fokozni.

--
trey @ gépház

> az emberiség 99,99%-a, amelyik a pw.txt-ben sticky note-on tárolja a c:\-ben monitoron

ftfy

Igen, de ahhoz meg is kell szerezni az aktuális kdbx filet. Btw, nextcloudban van titkosítás tudtommal, bár én nem használom.

Szerk.: Illetve használom, amin az NC fut, titkosított fájlrendszer. Csak ugye nyilván, amíg a szerver fut, nyitott.

-------
It is our choices that define us.

"Btw, nextcloudban van titkosítás tudtommal, bár én nem használom."

Sokan keverik a titkosított fájlrendszert a külön partíción levő titkosított fájlrendszerrel. Egy sima ext2 fájlrendszeren is létre lehet hozni egy olyan "fájlrendszert", ami titkosított. Pl:

https://en.wikipedia.org/wiki/EncFS

Vagyis, ha a gépedre fel tudod mount-olni a NC bármely fájlrendszerét, akkor azon nyugodtan tárolhatod és titkosítva a dolgaidat, anélkül, hogy maga NC tudna titkosítani.

--
trey @ gépház

Igen-igen, asszem értem, amit mondasz. De egyébként az egész szerver összes partíciója külön-külön titkosítva van nálam. Szal az is, amin egy apache kiszolgálja az NC-t.

Van az NC-nek is valami beépítettje... na, azt nem használom. :) Lehet, h az csinál valami hasonlót, mint amit linkeltél.

-------
It is our choices that define us.

Az EncFS/eCryptfs -nek nem feltétlenül kell külön partíció, elég egy mezei mappa (a titkosított adat tárolására) és egy tetszőleges mount point. Csak az a baj ezekkel hogy pl. az eCryptfs -nek a titkosítandó mappa (pl. home folder) méretének a kb. 2,5x-e kell szabad helyként ha a melléadott automatizált scriptet használod (backup, titkosítás, mozgatás).

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

"Az EncFS/eCryptfs -nek nem feltétlenül kell külön partíció,"

Erről beszéltem én is.

"elég egy mezei mappa (a titkosított adat tárolására) és egy tetszőleges mount point."

Pontosan így használom.

"a kb. 2,5x-e kell szabad helyként ha a melléadott automatizált scriptet használod (backup, titkosítás, mozgatás)."

Nincs helyproblémám. Egy SD kártyán elférek, tekintve, hogy az igazán szenzitív adataim nem foglalnak többet néhány száz MB-nál.

--
trey @ gépház

Van olyan jelszó kezelés megoldás amivel nem lehet így járni?

Nálam GPG vagy Aescrypt még a KeePass adatbázisra, éppen milyen kedvem van. A kettőnek, háromnak együtt csak nem lesz biztonsági hibája teljesen egyszerre. :)

Az implementációs hibák ellen nincs hatékony és olcsó védelem, de segít ha:

- security by design.
- open source
- rendszers auditon esik át,
- rendszeres pentestnek vetik alá

--
zrubi.hu

Jobb, mint mindenhol ugyan azt a jelszot hasznalni..

+1

Ez más téma, persze, hogy jobb.

--
robyboy

Rohogni fogtok, de pont szuksegem volt egy ilyen toolra.

Ebbol a buzi Keychain access-bol nem lehet jelszavakat exportalni es ismeros mar ott tartott, hogy egyesevel masolja ki egy Excel fablaba. Szolok neki, hogy van ilyen tool vegre.

Végül is - úgyis ez a sztori lényege, de egyesek leragadtak a jelszavaknál -, ha az Apple nem fizet bug bounty-t, a csávó árulhatja export segédprogramnak is :D Haverod kérdezzen rá, mennyiért adná :D

--
trey @ gépház

De siessetek mert előbb utóbb biztos javul ez a ficsőr :)

--
arch,ubuntu,windows,libreelec,omnirom,microg
zbook/elitebook/rpi3/motog4_athene

Ez sem bug; __feature__! :D Akárcsak az, h már a hívás megkezdése előtt hallod, ahogy ismerősöd mondja, h "a f.szom sem akar most bájologni ezzel a barommal". :D

-------
It is our choices that define us.