Что значит разблокируйте менеджер паролей
Достаём мастер-пароль из заблокированного менеджера паролей 1Password 4
Новые инструменты, старые методы. Проводим обратную разработку и находим фатальный недостаток 1Password.
Все любят менеджеры паролей. Они великолепны по многим причинам. Лично у меня в менеджере более 200 записей. С таким большим количеством конфиденциальных данных в одном месте важно понимать масштаб ущерба в случае компрометации вашей записи, будь то вредоносные программы, эксплоиты или просто компьютер, оставленный без присмотра на несколько минут. Washington Post недавно опубликовала статью, основанную на нашем исследовании. Эта статья помогает довести людей, что не все менеджеры паролей одинаковы.
Я свято верил, что заблокированный парольный менеджер надёжно защищён. Если кто-то получит доступ к моему компьютеру, то максимум может рассчитывать на кучку случайных байтов, поскольку информация надёжно вычищается из памяти.
Это верно для 1Password 4 (Обратите внимание, что последняя версия на сегодня седьмая). Прежде чем перейти на него несколько лет назад я проверил, что в памяти действительно нет паролей в открытом виде, когда менеджер в заблокированном состоянии. Так что в случае компрометации злоумышленнику придётся иметь дело с зашифрованным хранилищем.
В этом состоянии в памяти нет ни парольных записей, ни мастер-пароля. Очень разумно и правильно, и 1Password 4 прошёл эту проверку. Или нет?
Чтобы избавить от скучных деталей, скажу сразу: мы смогли восстановить мастер-пароль из заблокированного инстанса в 1Password 4, как показано ниже.
Разблокировка 1Password 4 и восстановление мастер-пароля
В анимации показано, что 1Password 4 сначала разблокируется нормальным способом, а затем запирается. После этого мы запускаем нашу утилиту multipass, которая успешно восстанавливает пароль. Утилита эксплуатирует неправильную обработку поля ввода пароля в 1Password 4, чтобы восстановить обфусцированный буфер мастер-пароля, деобфусцировать его, автоматически разблокировать 1Password 4 и, наконец, отобразить мастер-пароль в консоли.
Скучные детали
Первый шаг при оценке менеджера паролей: проверить наличие мастер-пароля в памяти в открытом виде. Это возможно в любом hex-редакторе, который способен взаимодействовать с пространством памяти процесса. Например, бесплатный редактор HxD. С его помощью можно открыть пространство памяти 1Password 4.
Мы сразу попадаем в первую читаемую область пространства памяти 1Password 4.
Пример представления памяти HxD
Пока ничего особенного. Но можно выполнить поиск. Например, как выглядит ситуация, если набрать пароль в окне разблокировки 1Password 4, но не нажать кнопку «Разблокировать»:
Запертое хранилище 1Password 4 с введённым мастер-паролем в поле
Наверняка пароль где-то в памяти?
Открываем HxD, но поиск строки с нашим мастер-паролем (“Z3Superpass#”) не даёт результатов.
Похоже, 1Password как-то шифрует или обфусцирует форму по мере её ввода. Если процедура работает правильно, то всё хорошо.
Погружаемся глубже
Чтобы узнать, почему мастер-пароль нельзя найти в памяти, когда он явно присутствует в диалоговом окне разблокировки, следует найти код, который с ним взаимодействует. Тут есть несколько способов. Можно отследить обработку событий клавиатуры и мыши путём локализации ‘GetMessage’, ‘PeekMessage’, ‘GetWindowText’ или других Windows API, которые обычно обрабатывают пользовательский ввод. Так мы найдём буфера, куда записываются нажатия клавиш, а через них выйдем на подпрограмму шифрования/обфускации. Но это долгий и подверженный ошибкам процесс, особенно с большими фреймворками, которые иногда очень странно управляют памятью, так что для отслеживания буфера придётся сделать множество копий и преобразований.
Вместо этого используем собственный инструмент Thread Imager, созданный для обратной разработки «странных» проприетарных протоколов на прикладном уровне. Он поможет определить, в каком месте памяти 1Password 4 взаимодействует с нашим мастер-паролем. Инструмент «автоматически» идентифицирует области кода в 1Password 4, которые взаимодействуют с обфусцированным паролем (он просто подсвечивает инструкции, которые взаимодействуют с интересующими данными, для дальнейшего анализа). Результат выглядит примерно так:
Thread Imager находит код 1Password 4, который взаимодействует с необфусцированным мастер-паролем
Поскольку мастер-пароль хранится в памяти в обфусцированном виде, то инструмент должен первым делом показать, в каком месте происходит обфускация.
Фрагмент из первого результата показывает, что первое появление мастер-пароля сопровождается переходом кода с адреса 0x7707A75D на 0x701CFA10.
Подробная запись в Thread Imager подсвечивает переход кода с с 0x7707A75D на 0x701CFA10, при этом на буфер с мастер-паролем ссылаются регистры EAX и ECX
Изучение этого места 0x7707A75D в отладчике (x64dbg) подтверждает нашу теорию. Действительно, впервые строка ‘Z3superpass#’ встречается при завершении работы функции декодирования ‘RtlRunDecodeUnicodeString’ из библиотеки ntdll.dll.
После небольшого анализа ясно, что для обфускации пароля используются именно эти две функции: ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’. Так мастер-пароль прячут от примитивного копирования из памяти, вот почему раньше мы не могли найти его в hex-редакторе.
Если изучить закодированный буфер в конце работы функции RtlRunEncodeUnicodeString, то зашифрованная строка с мастер-паролем выглядит так:
После RtlRunDecodeUnicodeString’ он декодируется:
Интересно, что эта область сохраняется по тому же адресу 0x00DFA790 и мы буквально можем наблюдать её изменение при вводе пароля в окно разблокировки 1Password 4:
Уязвимость
‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’ — простые функции, которые изменяют строку простой операцией XOR. Это не так уж плохо: похоже, это стандартный метод маскировки всех нативных редактирующих управляющих элементов Windows при установленном флаге ‘ES_PASSWORD’.
Проблема в том, что после разблокировки 1Password 4 зашифрованный мастер-пароль не очищается из памяти.
Хуже того, он остаётся в памяти и после блокировки 1Password 4. То есть у нас есть заблокированное хранилище паролей, но с зашифрованным мастер-паролем в памяти.
И что ещё хуже, поскольку мы взаимодействуем с диалоговым окном ввода мастер-пароля, одна и та же область памяти повторно используется вместе с тем же значением XOR, что даёт нам лёгкий доступ к закодированному буферу для создания эксплоита.
Задача
Чтобы создать надёжный эксплоит для 1Password 4, нужно получить более чёткое представление, как мастер-пароль обрабатывается рабочими процессами программы. С помощью вышеупомянутых инструментов мы построили диаграмму выходных данных (рисунок ниже).
По такой диаграмме легче понять, где и какие задействуются библиотеки, чтобы надёжно идентифировать области в памяти, откуда можно извлечь мастер-пароль.
Эксплоит
Что мы имеем на данный момент? У нас запертое хранилище, а где-то в памяти хранится обфусцированный пароль, поскольку программа не почистила за собой память надлежащим образом.
Чтобы извлечь его, нужно вызвать процедуру в 1Password 4, которая инициирует ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’. Таким образом она покажет расположение буфера памяти с закодированным мастер-паролем.
Область памяти с обфусцированным мастер-паролем
Без этого буфера пришлось бы погрузиться в бездну внутренних процедур и элементов управления Windows и связанных с ними механизмов управления памятью. Может, такой анализ и позволяет легко найти буфер, но мы не пошли по этому пути.
Похоже, единственный способ вызвать ‘RtlRunEncodeUnicodeString’ и ‘RtlRunDecodeUnicodeString’ — это ввести в символ в диалоговое окно ввода мастер-пароля. Так мы получаем нужный буфер. Но мы не знаем длину пароля.
Мы решили эту проблему путём перехвата кода, который обращается к первому символу нашего буфера, блокируя попытку изменения. Эта подпрограмма находится в цикле обработки сообщений управляющего элемента в comctl32, который обрабатывает управление буфером соответствующих элементов. Вызов ‘memmove’ со смещением 0x70191731 перезаписывает буфер введённым символом:
(Побочный эффект: выделенная строка (жёлтая) обновляет всю строку пароля)
Теперь мы, наконец, получили всё, что нужно для создания эксплоита. Следующие шаги позволят нам извлечь мастер-пароль:
Что приводит нас к окончательному результату: разблокировка запертого хранилища 1Password 4 любой версии при помощи глючной процедуры в используемых Windows API:
О диспетчере и менеджере паролей Гугл Хром: где находится, как найти
Управление паролями в Google Chrome осуществляется через диспетчер, который можно найти в настройках браузера. Его используют для автоматического входа на сайты, проверки безопасности данных авторизации, просмотра и изменения текущих параметров. Инструмент позволяет ограничить возможность сохранения логинов для избранных страниц в интернете. В статье подробно описаны возможности и алгоритм работы с ним.
Менеджер паролей дублирует основные функции диспетчера в браузере, доступен через сайт passwords.google.com и является более «широким понятием» в иерархии архитектуры Гугла. Больше информации мы собрали в отдельном разделе статьи под номером 3.
Управление паролями в браузере на ПК с Виндовс или на телефоне с Андроид через диспетчер
В программе Google Chrome реализована функция автоматического заполнения полей ввода. Благодаря этому, пользователю не нужно постоянно вводить пароли вручную. Инструмент обеспечивает быстрый доступ к сайтам, обеспечивая сохранность персональных данных. Диспетчер поддерживает ряд полезных опций, о которых пойдет речь ниже.
Как это работает
Функция сохранения в Хром активна по умолчанию. Если Вы впервые вводите информацию для авторизации на определенном ресурсе, программа предлагает сохранить их для автоматического заполнения в дальнейшем. Адрес сайта и пара логин-пароль добавляются в файл, который содержится в системной папке браузера на ПК.
При повторном посещении ключ автоматически подставляется в нужное поле. Встроенный в Хром диспетчер позволяет активировать и отключать автоматическое сохранение, менять существующие параметры автоматического заполнения.
Включение и отключение функции
Попасть в менеджер управления можно через опционное меню. Вы можете включить или отключить сохранение логинов и их использование при входе.
Как сохранить пароль
Что делать, если не предлагает сохранить и окно, как выше на скриншоте, не выскакивает.
Просмотр
В диспетчере Вам доступен список всех сохраненных паролей. Они хранятся файлом в системной папке браузера, который обновляется при внесении изменений. Через стандартный менеджер выполняется просмотр, что удобно, если Вы забыли нужную комбинацию символов.
Изменение
В менеджере можно быстро сменить пароль для входа на требуемый сайт. Эта функция исключает необходимость изменения персональной информации в настройках профиля, избавляя от лишних трудностей.
Удаление: один-два или сразу все через чистку истории
Кроме стандартного управления через менеджере, в Хроме реализована функция полного удаления. Операция выполняется посредством чистки истории просмотров.
Более детально о способах удалить сохраненные пароли в Гугл Хром мы ранее уже писали в другой статье. Там же найдете инструкции как для ПК, так и для мобильного телефона.
Экспорт
Импорт (включение возможности)
Через диспетчер пользователи могут добавлять пароли для сайтов в Хром из других браузеров. Однако это экспериментальная опция, и она недоступна по умолчанию.
Раздел «Сайты, пароли для которых не сохраняются»
Если пользователь отклонил запрос на сохранение автозаполнения при первом входе, он автоматически добавляется в список страниц, для которых эта функция не активна. Это удобно, если Вы беспокоитесь о сохранности персональной информации, например, сведений для авторизации в платежных системах.
Вход на сайты с использованием сохраненных паролей
Основная цель менеджера – обеспечить быстрый доступ к аккаунтам при использовании Chrome. Функция упрощает доступ к странице и позволяет быстро восстановить профиль, если пара логин-пароль была забыта или утрачена по иным причинам.
Настройка автоматического входа с использованием паролей из базы Хрома
В результате Вы сможете посещать избранные страницы без подтверждения. Эту опцию диспетчера рекомендуют использовать только в случае, если отсутствует риск утраты конфиденциальной информации.
Проверка безопасности данных авторизации
Кроме управления, в приложении предусмотрена функция проверки, что позволяет убедиться, соответствуют ли они общим требованиям безопасности. Пользователь может использовать любые комбинации символов для авторизации, однако не во всех случаях они могут защитить от взлома либо иных противоправных действий.
Настройка уведомлений о необходимости смены
В последних версиях пользователям приходят сообщения с предупреждением, если используемый для авторизации код слишком простой и небезопасный. Чтобы не сталкиваться с подобными уведомлениями, рекомендуется изменить пароли на более сложные. Пользователи Chrome уведомляются, если используемый пароль был раскрыт и использовался третьими лицами для несанкционированного входа.
Если уведомления отсутствуют:
Синхронизация
Чтобы открыть доступ к сайтам на других устройствах, например, в мобильном приложении Chrome, используется синхронизация. При включении этой опции данные пользователя сохраняются в персональном аккаунте Google. Помимо истории, списка закладок, пользовательских параметров и расширений, можно синхронизировать и пароли.
Восстановление
Восстановить ранее удаленные пароли в Хроме можете способами, предложенными по ссылке. В самом браузере соответствующей опции не предусмотрено.
Где хранятся на ПК, как открыть файл
Для хранения адресов и паролей используется CSV-документ. Он расположен в системной папке Chrome, которую можно просмотреть через проводник или другой файловый менеджер Windows.
По умолчанию этот документ размещен на диске C в папке Users\UserName\AppData\Local\Google. Но нужно учесть, что фактическая директория может быть другой, в зависимости от того, на какой диск установлена программа Хром. Просмотреть системный документ можно только включив отображение скрытых файлов и папок через панель управления Windows.
Еще несколько ссылок на полезные материалы найдете в разделе «Статьи по теме» после основного текста этого материала.
Обзор возможностей менеджера passwords.google.com
Вопросы безопасности: плюсы и минусы опции сохранения, способы защиты от взлома
Диспетчер паролей Chrome – удобный и полезный инструмент, но использовать его рекомендуется с осторожностью. Если доступ к ПК получит посторонний пользователь, он сможет беспрепятственно просмотреть список данных для доступа к онлайн-сервисам, платежным системам. Поэтому менеджер, несмотря на ряд достоинств, имеет немало недостатков с точки зрения конфиденциальности.
Главный минус использования диспетчера – доступ к персональной информации для всех, кто пользуется компьютером. Войти в Ваш аккаунт или личную страницу смогут все, кто будет пользоваться браузером и безопасность конфиденциальной информации не гарантируется.
Еще один недостаток – возможность взлома системного файла или блокировки шпионскими либо вирусными программами. Конфиденциальные сведения могут стать доступны мошенникам и привести к ущербу.
Чтобы исключить потенциальную угрозу, рекомендуется применять антивирусные программы с защитой в реальном времени. Установите ключ безопасности на учетную запись Windows. По возможности не просматривайте страницы с сомнительным содержанием, не загружайте на компьютер файлы и ПО из неизвестных источников. Не предоставляйте доступ к своему компьютеру третьим лицам. Если Вы не планируете оставить доступ к просмотренной странице, отключите менеджер либо активируйте режим «инкогнито» для кратковременного сеанса в интернете.
Protect: шифрование паролей
Злоумышленники пытаются украсть пароли, чтобы получить доступ к личным данным пользователей или их электронным кошелькам. Лучше хранить пароли в зашифрованном виде — тогда хакер не сможет воспользоваться паролями, даже украв их.
Шифрование паролей в браузере
Хранилище паролей шифруется с помощью алгоритма AES-256-GCM с использованием ключа. Алгоритм AES-256 считается надежным, агентство национальной безопасности США рекомендует его для защиты сведений, составляющих государственную тайну уровня Top Secret.
Но даже самый сложный алгоритм шифрования не защитит ваши пароли, если хакер узнает ключ шифрования. Мастер-пароль позволяет вам поставить на ключ шифрования мощную защиту.
Ключ шифруется с помощью мастер-пароля. Если вы забыли мастер-пароль, вы можете его сбросить с помощью запасного ключа шифрования.
Мастер-пароль не хранится на устройствах, поэтому его нельзя украсть. С мастер-паролем вы можете не бояться:
Этот вариант защиты менее надежен, потому что:
Подробнее о шифровании паролей см. документ Шифрование паролей в Яндекс.Браузере.
Мастер-пароль
Мастер-пароль обеспечивает дополнительную степень безопасности вашим паролям. После того как вы создадите мастер-пароль, браузер будет запрашивать его при попытке открыть хранилище паролей или подставить ранее сохраненный пароль от сайта в форму авторизации.
Вместо огромного количества паролей от сайтов вам достаточно будет запомнить всего один мастер-пароль. При этом пароли от сайтов будут лучше защищены. Доступ к хранилищу блокируется мастер-паролем, который невозможно украсть, так как он не хранится на устройствах.
Создать мастер-пароль
Чтобы создать мастер-пароль:
Удалить мастер-пароль
После этого браузер перестанет запрашивать мастер-пароль для доступа к паролям. В ближайшую синхронизацию мастер-пароль будет удален на других устройствах.
Время до блокировки хранилища
Вы можете отрегулировать, через какое время браузер будет блокировать хранилище паролей и запрашивать мастер-пароль при попытке доступа к нему:
Если вы забыли мастер-пароль
Если вы не создали запасной ключ шифрования, восстановить доступ к паролям будет невозможно.
Жест, PIN-код, отпечаток пальца
Чтобы изменить способ разблокировки паролей:
Запасной ключ шифрования
Если вы забыли мастер-пароль, то сможете восстановить пароли, только если у вас есть запасной ключ шифрования. Для его создания нужна синхронизация.
Чтобы сбросить мастер-пароль, помимо запасного ключа, вам потребуется специальный файл. Он автоматически создается при первом вводе мастер-пароля и хранится локально. Поэтому даже Яндекс не может расшифровать ваши пароли.
В процессе восстановления доступа вы должны будете ввести пароль от вашего Яндекс ID. Вероятность того, что злоумышленник сумеет одновременно украсть ключ с сервера, файл с устройства и пароль от Яндекс ID, низка.
Если вы не нашли информацию в Справке или у вас возникает проблема в работе Яндекс.Браузера, опишите все свои действия по шагам. Если возможно, сделайте скриншот. Это поможет специалистам службы поддержки быстрее разобраться в ситуации.
Менеджеры паролей – стоит ли использовать?
Менеджер паролей это специальное приложение для Андроид и iOS-смартфона или программа для компьютера, которая хранит пароли и другие конфиденциальные данные от сайтов, приложений и программ. Менеджер паролей всплывает, когда вы вводите новый логин/пароль чтобы сохранить его, и появляется, когда нужно ввести ранее сохранённый пароль. Посмотрим, как менеджеры паролей решают недостатки браузеров.
При неактивности пользователя определённое количество времени, или после каждой разблокировки телефона, спрашивается мастер-пароль. Такой подход позволяет избежать несанкционированного заполнения паролей на сайтах и в приложениях. Поскольку главный пароль не удобно вводить каждый раз, некоторые приложения, например RoboForm, предусмотрели четырёхзначный ПИН-код вместо пароля. Но при долгой неактивности или после перезагрузки телефона, будет запрошен полный главный пароль.
Здесь есть важный «нюанс». Менеджеры работают по принципу «нулевого знания» или «доказательство с нулевым разглашением». Это означает, что хранящиеся пароли можете увидеть только Вы, сотрудники сервиса при всём желании не могут получить доступ и расшифровать данные (это к вопросу о конфиденциальности). Но при утере мастер-пароля, вы полностью теряете все сохранённые пароли! Есть лазейка в виде экстренного доступа, об этом ниже.
Все менеджеры паролей умеют экспортировать данные в CSV-файл, чтобы потом можно было их загрузить в другой аккаунт или в другую программу по управлению паролями. Некоторые программы, например Dashlane, умеют импортировать пароли без промежуточной выгрузки в CSV-файл, зачастую его называют одним из лучших менеджеров паролей. Ещё одна отличительная способность менеджера Dashlane – групповое изменение паролей, т.е. можно в одном окне массово поменять пароли, заменить слабые пароли на защищённые.
О смерти не удобно говорить, но что будет с «нажитым непосильным трудом», с доступом к сервисам, кошелькам, контактам в случае смерти или несчастного случая? А если само устройство будет уничтожено или украдено? Для таких случаев в менеджерах паролей, например в том же Dashlane или Roboform, предусмотрена функция «Экстренный доступ».
В здравом уме вы выставляете период неактивности и контакт для резервного доступа, это может быть ваша секретная электронная почта, на случай утери мастер-пароля.
Затем сервера менеджера паролей отслеживают активность аккаунта, и когда замечают, что в течении указанного периода, например 7 дней, вы не пользовались менеджером, высылается письмо на указанный электронный ящик с пояснением что произошло и инструкцией как получить доступ ко всем вашим паролям. По-моему, гениально! Единственное, если резервный контакт не в курсе что такое вообще бывает, то может посчитать письмо спамом, попыткой фишинга (я бы так и подумал ) или пропустить его в папке «Спам».
Как безопасно хранить пароли на вашем телефоне?
Есть три категории людей: одни запоминают пароли или записывают в блокнот, другие доверяются браузеру, а третьи используют менеджеры паролей. Интересно, что несмотря взрывную эволюцию программного обеспечения за последние несколько лет, всё ещё много людей можно найти из первой категории.
Как хранить пароли в блокноте
С блокнотом, я думаю, всё понятно – записал, положил в стол, хакеры не доберутся! Совсем другое дело с программой-блокнотом и сохранением в текстовый файл на телефоне или компьютере. Текстовые файлы с паролями – самый лакомый кусочек для хакеров, вирусы в первую очередь сканируют файловую систему на предмет наличия файлов с именем «пароли.txt» или типа того.
Но, в принципе, можно изловчиться и всё-таки сохранять кое-что конфиденциальное в обычном блокноте. В таком случае просто заархивируйте файл «.txt» в архив со сложным паролем (от 10 символов, буквы большие и маленькие, цифры, одно тире или точка), архив под паролем довольно большая преграда для злоумышленников.
Второй приём заключается в шифровании данных «по-личному». Например, вы придумываете, что первый и последний символ во всех паролях меняется местами. Таким образом, человек получивший доступ к файлу, не сможет им воспользоваться, если не узнает ваш «секрет». Комбинируя эти два приёма, безопасность хранения паролей получается довольно высокой, но много сложностей и неудобств.
Сохранение паролей в браузере – безопасно?
Уже много лет браузеры Google Chrome, Mozilla FireFox, Opera и др. предлагают сохранить пароль от сайта в своей базе и потом автоматически подставляют его при следующем входе. Позиция самих разработчиков браузеров такова, что НЕ СТОИТ внедрять сильную защиту паролей в браузер и оставить её на уровне безопасности доступа к смартфону или учётной записи Windows. Это означает, что если хакер, коллега или даже член семьи получит доступ к устройству и войдёт в систему, то он получит доступ к вашим сессиям и паролям.
В остальном, пароль в браузере хранится, конечно же, в зашифрованном виде и просто так скопировать его другие программы не могут. Но местоположение файлов с данными известно, и чтобы пароли нельзя было расшифровать, нужно обязательно устанавливать мастер-пароль: главный пароль, шифрующий остальные пароли.
Получается, что можно сохранять логины в браузерах, если доступ к устройству есть только у вас. Но есть ряд существенных минусов: