Механизми за управление на пароли в IE и Firefox, част втора

управление

Михаел Фелкер, Securityfocus.com Преведено от SecurityLab.ru

Въведение и редакция на частI

  • Механизми за запазване на пароли, начини за защита на потребителски имена и пароли в локалната файлова система чрез криптиране (Част I).
  • Атаки срещу мениджъри на пароли: Техники за заобикаляне на сигурността (частично обхванати в част I, продължение в част II).
  • Фалшиво чувство за сигурност: Потребители, използващи мениджъри на пароли, без да осъзнават рисковите фактори.
  • Използваемост: Функционалност, която подобрява или отслабва мерките за сигурност.
  • Противодействия: Действия, които потребителите и корпорациите могат да предприемат, за да избегнат рисковите фактори.

4.2. Уязвимост при внедряването на мениджъра на паролиFirefox 2.0. (обратен междусайтов скрипт).

4.3 Разкриване на пароли вИнтернетExplorer.4.3.1. Възстановяване на пароли. Много компании имат търговски програми, които ви позволяват да възстановявате пароли от AutoComplete в IE.

ElcomSoft произвежда Advanced Internet Explorer Password Recovery (AIEPR). Както е посочено на техния уебсайт, той може да възстанови всяка информация в AutoCpmplete от всяка версия на IE от 3 до 6, стига потребителят да е влязъл. Налични са и безплатни приложения като PassView за версия 7 на IE.

4.3.2. Зловреден софтуер.

Internet Explorer обикновено е основната цел за инсталиране на злонамерени програми, насочени към AutoComplete. Тези програми получават поверителна информация и след това я изпращат на нападателя. BackDoor-AXJ е троянски кон, който записва информация от AutoCoplete и други програми на засегната машинаатака и след това го изпраща обратно на нападателя. Srv.SSA-KeyLogger е такава задна врата, която е скрита в Internet Explorer и действа като kilologger. Той също така извиква AutoComplete, краде данни от защитено хранилище и ги изпраща чрез метода HTTP GET.

4.4 Разкриване на пароли вFirefox

Firefox 2.0.Инструменти/ Опции/ Сигурност/ Показване на пароли/ Показване на пароли

4.4.2. Атаки срещу главната парола Наскоро бяха разработени инструменти за извършване на атаки срещу пароли за главната парола във Firefox. В момента са възможни следните атаки:

  • Атаки с груба сила
  • речникови атаки
  • Хибридни атаки

Според правилата за сигурност двама души не трябва да използват един и същ акаунт на един и същи компютър; този сценарий обаче все още представлява риск за сигурността, тъй като не всички компании следват най-добрия път. Освен това съществува подобен риск, ако двойка потребителско име/парола бъде случайно въведена неправилно на конкретен сайт (например погрешно въвеждане на две данни за влизане за различни банкови сайтове). Тази информация ще се съхранява (дори и да не се използва) и може да бъде компрометирана известно време в бъдеще, без собственикът на информацията да знае за това.

4.4.4 Атаки за отказ на услуга. Всеки потребител или програма с право на достъп до локалния потребителски профил във файловата система може потенциално да атакува целостта и достъпността на мениджъра на пароли. Ако изтриете или промените необходимите файлове (keyN.db, certN.db, secmod.db, signons.db и signons.txt), в резултат не могат да бъдат възстановени потребителски имена или пароли. Най-важните от тези файлове са keyN.db и signons.txt, вкоито съхраняват частни ключове и съответно криптирани данни.

По този начин, ако тези файлове бъдат изтрити или променени и мениджърът на пароли вече не е наличен, пак ще бъде възможно да възстановите базата данни с пароли, като копирате файловете обратно в директорията на профила на Firefox.

5. Фалшиво чувство за сигурност. Когато потребителите наивно използват системи за управление на пароли в уеб браузъри, те не са достатъчно информирани и не са напълно наясно с свързаните рискове. Опасността от това се крие в небрежността, с която се съхраняват потребителски имена и пароли за достъп до обикновени новинарски сайтове или нещо по-важно, като финансова информация на онлайн борса. Потребителите очакват браузърът, може би заедно с операционната система, да защити техните данни. В действителност опасността от пълен компромис ще бъде реализирана по-лесно, отколкото потребителите очакват. Уеб браузърите, като приложения, са особено опасни, защото са инсталирани на повечето компютърни системи, които всеки използва, и съхраняват всички потребителски имена и пароли, които потребителят въвежда. Всички тези фактори правят уеб браузърите примамлива цел за нападателите.