Дешифрирали ли са хакери пароли, откраднати от LastPass

Тейлър Монахан, главен продуктов мениджър в компанията за криптопортфейли MetaMask и един от ключовите изследователи, разследващи атаките, е стигнал до заключението, че общата нишка, свързваща жертвите, е, че те преди това са използвали LastPass, за да съхраняват своята т.нар. сийд фраза. Това е цифров ключ, който е необходим за достъп до криптопортфейли. Допълва се още, че откраднатите средства са прехвърляни на едни и същи блокчейн адреси, което допълнително свързва жертвите.

Пробивът в LastPass

На 25 август 2022 г. Карим Туба, главен изпълнителен директор на LastPass, съобщи, че компанията е открила необичайна дейност в средата си за разработка на софтуер и че нарушителите са откраднали част от изходния код и техническа информация. На 15 септември пък бе допълнено, че нападателят не е получил достъп до никакви клиентски данни или хранилища за пароли.

На 30 ноември 2022 г. обаче LastPass уведоми клиентите си за друг, много по-сериозен инцидент, при който според компанията са използвани данни, откраднати при предходния пробив. При новата атака хакери са имали достъп до криптирани копия на хранилища за пароли, както и друга лична информация.

През февруари 2023 г. бе разкрито, че проникването е представлявало сложна целенасочена атака срещу домашния компютър на DevOps инженер - един от едва четиримата служители на LastPass с достъп до корпоративното хранилище на компанията. За реализирането ѝ е бил използван уязвим медиен софтуерен пакет на трета страна (Plex), който е позволил дистанционно инсталиране на т.нар. кийлогър (т.е. програма, записваща всичко, въвеждано чрез клавиатурата). Чрез него е открадната паролата за хранилището.

Интересно е да се допълни, че въпросната уязвимост в Plex е коригирана още през 2020 г., но служителят не актуализирал инсталираната при него програма. Също така, ден преди LastPass да съобщи за първата атака, на 24 август Plex призова потребителите си да сменят своите пароли заради инцидент, при който хакер е получил достъп до имейли, потребителски имена и криптирани пароли. Не е ясно дали двата инцидента са свързани.

Офлайн атаки

От LastPass винаги са подчертавали, че ако потребител загуби своята главна парола, то тя не може да бъде възстановена, тъй като не се съхранява в некриптиран вид. Рашифроването ѝ пък е на практика невъзможно (необходими са споменатите "милиони години").

За разлика от регулирания достъп през сайта на услугата обаче хакерите разполагат с криптираните данни и правилата се променят. При такива т.нар. офлайн атаки те могат да извършват неограничени опити за разбиване на пароли с "груба сила" (т.е. с изпробване на различни комбинации една след друга). Използването на мощни компютри позволява генериране на милиони варианти в секунда.

Налице са и фактори, които могат да помогнат на престъпниците. В идеалния случай отгатването на парола, състояща се от 12 символа, би отнело векове дори на суперкомпютър. Владимир Палант, друг цитиран експерт от Кребс, изследовател по киберсигурност и оригиналния разработчик на браузър плъгина Adblock Plus, обяснява че LastPass така и не са успели да прехвърят всичките си потребители към 12-символни пароли. За сравнение, изискваните от услугата преди 2018 г. минимални 8 символа се отгатват от супекомпютър за секунди.

Важно е и какви символи съдържа дадената парола. През 2021 г. Statista публикува таблица, показваща колко време би било необходимо на компютър да отгатне комбинация с дължина от 1 до 12 символа в зависимост от това дали тя се състои само от малки букви, дали съдържа поне една главна буква, поне по една цифра и главна буква, както дали в нея присъства специален символ (в допълнение към добавянето на цифри и главни букви).

View original

Така 8-символна парола, състоящата се само от малки букви, се разбива на практика мигновено, докато добавянето на главни букви, цифри и специален символ увеличава това време съответно до 22 минути, 1 час и 8 часа. При 12-символната парола минимумът е 3 седмици, а следващите времена, при описаното усложняване на комбинацията, са съответно 300, 2000 и 34 000 години.

Горните времена са, разбра се, ориентировъчни. Според Палант друг фактор е, че също така не всички потребители са били надградени към по-сигурно криптиране. Важна настройка в LastPass е броят на "итерациите" или колко пъти главната парола преминава през рутинните процедури за криптиране на компанията. Колкото повече са те, толкова повече време е необходимо за разбиване на паролата.

По думите на Палант на един графичен процесор би му отнело около година, за да разбие парола със средна сложност с 500 итерации и около 10 години, за да разбие същата парола, преминала 5000 итерации.

Според експерта първоначалната настройка по подразбиране е била между 1 и 500 итерации. До 2013 г. новите клиенти на LastPass получавали 5000 итерации по подразбиране, през февруари 2018 г. те са били увличени на 100 100, а през 2022 г. са били увеличени отново до 600 000.

Трябва да се отбележи още, че нещата допълнително могат да се променят, ако хакерите разполагат с данни за своите жертви, които могат да бъдат добити чрез фишинг или от архивите с лична информация, откраднати от самата LastPass. Много хора например включват в паролите си неща, които помнят лесно, като например рождени дати и други.

Изводът от ситуацията е ясен - използване на сложни максимално дълги пароли, състоящи се от различни символи. Добре е важните пароли да се сменят периодично. Освен това така актуализирането на софтуера, не само на корпоративните приложения, също може да се окаже ключово. А потребителите на LastPass би било добре да сменят всички съхранявани в услугата пароли, ако не са го направили още през декември миналата година.