Ο δημιουργός του διαχειριστή κωδικών πρόσβασης KeePass σκόπιμα αρνήθηκε να διορθώσει ένα ελάττωμα ασφαλείας που επιτρέπει MitM (Man-in-the-Middle) επιθέσεις κατά τη διαδικασία ενημέρωσης της εφαρμογής.
Τον περασμένο Φεβρουάριο, ο Florian Bogner, ένας προγραμματιστής για την Kapsch BusinessCom, ανακάλυψε ότι όλες οι εκδόσεις KeePass 2.x διαθέτουν έναν ανασφαλή μηχανισμό ενημέρωσης που ζήτα από τους ΚeePass διακομιστές νέες κυκλοφορίες, μέσω μιας μη ασφαλούς HTTP σύνδεσης.
Ο Bogner ήταν σε θέση να δημιουργήσει και να ξεκινήσει μια επίθεση MITM, αντικαθιστώντας την KeePass ενημέρωση με ένα κακόβουλο αρχείο (μπορείτε να δείτε και το βίντεο παρακάτω). Αυτή η επίθεση ήταν δυνατή επειδή το ΚeePass δεν χρησιμοποιούσε HTTP, ούτε ήταν σε θέση να ελέγξει τα πακέτα που κατέβαιναν.
[su_youtube url=”https://youtu.be/gOxcQSbpA-Q” width=”640″ height=”380″]https://www.youtube.com/watch?v=B7o0qA4L4So[/su_youtube]
Ο ερευνητής ενημέρωσε τον επικεφαλή του KeePass πρότζεκτ, Dominik Reichl, ο οποίος είπε στον Bogner σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου το Φεβρουάριο ότι “η ευπάθεια δεν θα διορθωθεί. Το έμμεσο κόστος της μετάβασης σε HTTPS (όπως η απώλεια διαφημιστικών εσόδων) το κάνουν μια μη βιώσιμη λύση.”
Μετά τη λήψη ενός CVE αναγνωριστικού από την Mitre, την CVE-2016-5119, ο ερευνητής αποφάσισε να δημοσιοποιήσει την έρευνά του, η οποία σύντομα κατέληξε σε όλα τα φόρουμ με επίκεντρο την ασφάλεια, όχι όμως λόγω του έξυπνου exploit, αλλά περισσότερο λόγω της απάντησης του Reichl, που επέλεξε τα γλυκά χρήματα των διαφημίσεων αντί της ασφάλειας των χρηστών του.
Μετά από αντίδραση από πολλούς χρήστες, ο Reichl απάντησε στους επικριτές του λέγοντας ότι η στάση του δεν άλλαξε για την προσθήκη υποστήριξης HTTPS κατά τη διαδικασία ενημέρωσης, αλλά αποκάλυψε ότι πρόσθεσε υποστήριξη για ψηφιακές υπογραφές για όλα τα πακέτα ενημερωμένων εκδόσεων του ΚeePass. Η πλήρης απάντηση του Reichl βρίσκεται παρακάτω:
“Είναι αλήθεια ότι η KeePass ιστοσελίδα δεν ήταν διαθέσιμη μέσω HTTPS μέχρι τώρα. Η μετακίνηση του αρχείου πληροφοριών ενημέρωσης σε μια HTTPS ιστοσελίδα είναι άχρηστη, εάν η ΚeePass ιστοσελίδα εξακολουθεί να χρησιμοποιεί το HTTP. Θα είχε νόημα μόνο εάν HTTPS χρησιμοποιείται και για τα δύο. Δυστυχώς, για διάφορους λόγους που χρησιμοποιούν HTTPS προσωρινά δεν είναι δυνατό, αλλά έχοντας αυτό κατά νου, φυσικά θα αλλάξω σε HTTPS, όταν αυτό καταστεί δυνατό. Πολύ πιο σημαντικό είναι να επαληθευτεί η λήψη σας (το οποίο θα ήθελα να σας συστήσω ανεξάρτητα από το που κατεβάσετε το KeePass). Τα binaries έχουν ψηφιακή υπογραφή (Authenticode). Μπορείτε να τα ελέγξετε χρησιμοποιώντας το Windows Explorer πηγαίνοντας στο «Ιδιότητες –> καρτέλα “Ψηφιακές υπογραφές”. »
Μέχρι ο Reichl να αλλάξει γνώμη και να προσθέσει HTTPS υποστήριξη στη διαδικασία ενημέρωσης του KeePass, η καλύτερη πορεία δράσης είναι να χρησιμοποιήσετε το χαρακτηριστικό των ψηφιακών υπογραφών για να επαληθεύσετε πακέτα ενημερωμένων εκδόσεων ή να μεταβείτε στην ιστοσελίδα KeePass και να κατεβάσετε τα αρχεία χειροκίνητα.
Αυτή δεν είναι η πρώτη φορά που το KeePass τέθηκε σε έλεγχο από τους ερευνητές ασφαλείας. Να θυμίσουμε στους αναγνώστες μας ότι το περασμένο φθινόπωρο, ένας άλλος ερευνητής ασφαλείας δημιούργησε το KeeFarce, ένα εργαλείο για την εξαγωγή κωδικών πρόσβασης σε απλό κείμενο από την εσωτερική βάση δεδομένων του KeePass.
