Spremanje kredencijala olakšava život korisnicima ali i napadačima

Palo Alto Networks Unit 42 objavio je pregled načina na koje razne popularne aplikacije pohranjuju spremljene lozinke i kako je zapravo prikupljanje kredencijala trvijalan zadatak, nakon što protivnik ima uporište na određenom računalu.

Programi mogu olakšati život svojih korisnika i uštedjeti im vrijeme pohranjujući njihove vjerodajnice: od WinSCP-a, preko OpenVPN-a, do web-preglednika i Git-a. Upravo spremanje lozinki u Git klijentima je najrizičnije, jer otvara put kompromitaciji repozitorija koda i kasnijim destruktivnim i dalekosežnim napadima na lanac nabave softvera.

Kao primjer prikupljanja lozinki, uzmite bilo koji preglednik baziran na Chromiumu kao što su Google Chrome, Microsoft Edge ili Opera: svi imamo tendenciju da spremamo lozinke za popularne web servise dok surfamo internetom putem tih preglednika.

U takvim slučajevima, spremljene lozinke nalaze se šifrirane u datoteci baze podataka SQLite, koja se obično naziva "login data", pri čemu svaki korisnički profil ima svoju bazu podataka zaporki. Ključ koji se koristi za šifriranje lozinki nalazi se u nadređenoj mapi, u JSON datoteci pod nazivom "local state".

Za dešifriranje spemljenih lozinki u Chromium web browseru, potrebno je dohvatiti tri komponente: šifriranu lozinku, ključ za šifriranje (AES) i nešto što se zove inicijalizacijski vektor (koristi se u AES operacijama).

Zapravo su ovi koraci prilično jednostavni i dobro poznati akterima prijetnji kao i istraživačima prijetnji. Koraci mogu biti skriptirani i automatizirani - npr. pogledajte Python skriptu ovdje koja će preuzeti i prikazati sve kredencijale koje ste spremili u web browseru.

Pogodnost spremanja zaporki često dolazi po cijenu slabe sigurnosti, što uzrokuje rizik od krađe zaporke. Vjerodajnice prikupljene na ovaj način mogu se zatim koristiti tijekom stvarnog kibernetičkog napada.

Organizacije ne mogu očekivati od korisnika da prestanu s praksom spremanja lozinki - ova pogodnost je jednostavno previše primamljiva. Ali mogu nastojati minimizirati upotrebu lozinki i odlučiti se za autentifikaciju s više faktora i upravljane identitetima gdje god je to moguće.

Drugi način za ublažavanje ovog rizika je uvođenje vidljivosti u endpoint-ove na način da se proširi tradicionalna zaštita od zlonamjernog softvera na tzv. Endpoint Detection and Response softver (EDR ili XDR, ovisno o dobavljaču). EDR uključuje domensko znanje istraživača prijetnji o taktikama i tehnikama napada, te značajno smanjuje vrijeme potrebno za ručno istraživanje logova i tragova prijetnji. Prikupljanje kredencijala svakako je jedna takva tehnika i bit će otkrivena (i blokirana), kao što je ilustrirano na slici niže gdje je prikazano prikupljanje kredencijala na stvarnom primjeru Emotet malware-a:

Kako druge aplikacije možete natjerati da ispišu spremljene lozinke? Pročitajte ovdje.