Proponha uma correção, faça uma sugestão
KeePass 2 para guardar passwords? Atenção que está vulnerável
O KeePass é uma aplicação gratuita open-source que permite gerir as suas passwords de forma segura, longe de olhares alheios. Hoje em dia tantos são os cartões, logins, palavras-chave e códigos de acesso que fica complicado gerir com lucidez todos estes aglomerados de letras, números e símbolos.
Mas, de acordo com uma informação recente, o KeePass 2 está vulnerável a ataques man-in-the-middle. Veja um desses ataques em acção!
O KeePass 2 é provavelmente um dos serviços para guardar passwords mais usado do mundo. Muitos utilizadores confiam a esta aplicação muitas das credenciais que usam nos serviços online e não só. Só que, recentemente, foi descoberta uma falha e ao que parece os responsáveis não a vão corrigir para assim não perder publicidade.
Como funciona o ataque ao KeePass 2?
Tal como acontece com todos os ataques man-in-the-middle, a comunicação é interceptada e até pode ser redireccionada. Neste caso, quando o utilizador que tem o KeePass 2 carrega na funcionalidade para verificar se existem actualizações, como esse pedido é feito via HTTP, facilmente o atacante consegue interceptar essa comunicação e até enviar-lhe uma “actualização maliciosa”.
Para perceber como tudo funciona, vejam o vídeo seguinte:
Estranhamento o responsável pelo KeePass 2 conhece a vulnerabilidade, mas diz que não vai resolver por existirem custos associados. Mais estranho ainda é o facto de referir que se implementasse uma comunicação com base no protocolo HTTPS, iria perder apoios de publicidade.
Este artigo tem mais de um ano
Loading ...
Mas pelos vistos… deve afetar apenas em windows não? E linux? Alguém sabe?
linux não porque os updates em principio vêm pelo teu package manager (apt, aptitude, yum, dnf, pacman, etc)
Porque assumes que acontece apenas em Windows?
Isto tem a ver com comunicação entre dois pontos por não existir ligação segura. É um protocolo de rede e não uma “feature” de sistema.
No GNU/Linux, dependendo da distribuição, as atualizações de programas são realizadas pelos gerenciadores de programas/pacotes, tipo: yum, apt-get, dnf, etc. No Windows, quem não pertence ao sistema, atualiza por si só, como é o caso do keepass. No GNU/Linux, mesmo que a comunicação com o repositório da distro não seja criptografada, os pacotes tẽm assinatura, então mesmo que sejam substituídos por versões com malware, o SO detectará que o app não é original, barrando o ataque.
se instalares via package managers da distro nao tens problemas.
Penso que está na altura de trocar de software ou então continuar com o que ando a fazer, adiar a actualização…
Resposta da Keepass: http://keepass.info/help/kb/sec_issues.html#updsig
Mais uma não notica que vem tarde pela demora?
Resolution. In order to prevent a man in the middle from making KeePass display incorrect version information (even though this does not imply a successful attack, see above), the version information file is now digitally signed (using RSA-2048 and SHA-512). KeePass 2.34 and higher only accept such a digitally signed version information file. This solution is more secure than just using HTTPS, because it guarantees version information safety even when the webserver is compromised (the private key for signing the version information is not stored on the webserver).
saquem do site oficial!
xiii, jesus, que pandemónio, tenham lá calma com os cavalos, para começar o KeePass não necessita de ter uma ligação à internet para funcionar, portanto sempre podem bloquear a sua ligação, deste modo acabam por bloquear também o aviso de update (atenção que o Keepass 2 não faz actualizações automáticas), caso queiram continuar com uma ligação e caso recebam uma notificação de update, é simples, vaiam ao site official e saquem de lá, não utilizem o link disponibilizado na janela de notificação.
O keepass 2 é para windows, o keepass X é para linux.
Simples de resolver:
-desligar o computador da internet.
– guardar as pass num ficheiro exel (protegido por pass)
– gravar numa pen
– imprimir em papel
– retirar a pen e guardar até nova utilização/atualização
Há alguma alternativa viável na qual se consiga manter o tipo de ficheiro da base de dados?
Usar HTTPS não ia resolver nada, se um servidor intermédio interceptar o pedido HTTPS pode fazer-se passar pelo destinatário e passar a usar o seu próprio certificado como se fosse um destinatário legítimo. É assim que funciona a Great Firewall of China. 1º – Cliente chinês envia pedido a site cifrado com protocolo HTTPS. 2º – GFWoC intercepta o pedido e envia um criado por si ao servidor externo à China. 3º – Servidor externo troca chaves usadas para cifrar o tráfego com GFWoC. 4º – GFWoC troca chaves com o cliente chinês que fez o pedido inicial, fazendo-se passar pelo site externo. A partir daqui todos os pedidos que o cliente chinês fizer são todos feitos atravez da GFWoC. Desta forma esta consegue ver toda a informação que é trocada entre utilizadores chineses e servidores estrangeiros.
Como é que o servidor intermédio se faz passar pelo destinatário se o programa tem o certificado embutido que foi assinado com a private key do autor do KeePass? acho que tens de ir investigar isso melhor…
Old, já tem mais de um ano, e o estudo apresentado pelo orador afirmava que mais de 90% dos programas com actualizações automáticas em windows têm este problema. Https ajuda em certos casos, mas não tem todos. Na altura lembro-me que a adobe tinha um sistema de actualizações seguro. Quase tudo o resto era possível fazer ataques man-in-the-middle ás actualizações de qualquer programa…
Anyway guardar passwords em programas… Lol.
“Anyway guardar passwords em programas… Lol.”
O que é que sugeres então? Há muita gente inocente/involuntariamente naive que não sabe melhor, como eu.
Isto para não andar com um papel atrás.
Mas quem é que confia em aplicações de terceiros para guardar passwords ??? Depois ainda falam de invasões de privacidade.
Descarrego sempre a versão portable. Nunca utilizo a funcionalidade de update da aplicação. Não instalo no sistema, a aplicação e o ficheiro estão numa pasta cifrada:-) o importante aqui é que não é a segurança da encriptação que está em causa. Era importante explicarem isso aos leitores
O autor já corrigiu este problema e a partir da versão Keepass 2.34 a informação sobe a nova versão disponível passou a ser assinada digitalmente com chave RSA-2048 and SHA-512 e a ser transmitida via https:
http://keepass.info/help/kb/sec_issues.html#updsig
Mas no site para download ainda está a 2.33!!!
A versão 2.34 ainda está em Beta. Pode ser obtida aqui:
http://keepass.info/filepool/KeePass_160605.zip