Um pesquisador de segurança identificou duas falhas no Kaspersky Password Manager, o gerenciador de senhas oferecidos pela empresa, que faz com que ele gere senhas mais fracas, o que facilita a vida de hackers que tentarem invadir seu sistema.
Nos siga no Instagram, Telegram ou no Whatsapp e fique atualizado com as últimas notícias de nossas forças armadas e indústria da defesa.
Segundo Jean-Baptiste Bédrune, pesquisador chefe da Ledger Donjon, o problema principal reside no fato de que o Kaspersky Password Manager usava a marcação de tempo como um parâmetro para a criação das senhas.
“O grande erro do KPM foi o usar o sistema de tempo atual em segundos como parâmetro para aplicação em um gerador aleatório de números Mersenne Twister. Isso significa que todas as instâncias do Kaspersky Password Manager no mundo vão usar exatamente a mesma senha em determinado segundo”, explicou o especialista.
“Mersenne Twister”, é um termo muito comum para desenvolvedores e profissionais de segurança digital: é possivelmente o parâmetro mais conhecido e mais usado para a geração de combinações numéricas aleatórias, uma premissa muito importante para a configuração de senhas mais poderosas.
Simplificando para entendimento: “imagine que existam 315.619.200 de segundos entre ‘2010’ e ‘2021’”, disse Bédrune. “Assim, o KPM poderia gerar, no máximo, esse mesmo número de senhas para cada pedido. Adivinhar ou quebrar uma senha por força bruta neste parâmetro não leva mais do que alguns minutos”.
O segundo problema identificado pelo pesquisador é o fato do Kaspersky Password Manager evitar os chamados “ataques de dicionário” ao usar combinações de letras que não existem em palavras comuns (“qz”, “zx” e assim por diante). Isso porque esse tipo de ataque, também de natureza de “força bruta”, aposta em parâmetros como combinações comuns de letras para adivinhar uma senha.
Entretanto, se um hacker já sabe que sua vítima usa o KPM, tudo o que ele precisa fazer é ajustar seus parâmetros para procurar sugestões de senha que utilizem combinações inexistentes.
Em ambos os casos, Bédrune ressaltou que todas as senhas geradas pelo programa até outubro de 2019 podem ser quebradas por força bruta.
O outro lado
A Kaspersky, em comunicado, reconheceu os problemas apontados por Bédrune e confirmou que já atualizou seu sistema de lógica na geração de senhas. A empresa recomenda, porém, que se você usa o Kaspersky Password Manager desde antes de outubro de 2019, você revise e atualize suas credenciais.
Abaixo, o comunicado da empresa segue na íntegra:
“A Kaspersky corrigiu um problema de segurança no Kaspersky Password Manager, que potencialmente permitia a um invasor descobrir senhas geradas pela ferramenta. Esse problema só era possível de ser aproveitado no evento improvável de o invasor conhecer as informações de conta do usuário e o momento exato em que uma senha foi criada. Ele também exigia que o alvo reduzisse a complexidade de seus ajustes de segurança.
A empresa já distribuiu uma atualização para o produto e incorporou um mecanismo que notifica usuários se uma senha específica gerada por ele possa estar vulnerável, recomendando a alteração.
Nós recomendamos a todos os usuários que instalem a atualização. Para facilitar este processo, nossos produtos oferecem suporte a updates automáticos”.
Fonte: Olhar Digital
