С каждым годом хакеры становятся всё изощреннее в методах отъёма честно нажитого у пользователей интернета. Поэтому нужно всегда быть начеку и заботиться о защите своих персональных данных. Инструменты для этого известны: надёжное шифрование и защищённый парольный менеджер, внутри которого хранятся секреты, а пароль доступа знаете только вы (плюс дополнительная аппаратная защита через 2FA).
Посмотрим, что нового появилось в этой области за последнее время. А посмотреть есть на что.
Примечание. Мы не будем упоминать менеджер паролей Chrome из-за нескольких серьёзных недостатков, которые не позволяют назвать его полноценным парольным менеджером.
Во-первых, он работает только в браузере, а хранилище привязано к аккаунту Google. В случае потери доступа к аккаунту — например, пользователя заблокируют за нарушение условий YouTube или Gmail — он потеряет доступ ко всем сохранённым паролям. Во-вторых, в нём отсутствует ряд важных функций, в том числе 2FА, зашифрованное хранилище, отдельное приложение и др. В-третьих, Google Password Manager работает внутри экосистемы Google, которая заточена на трекинг пользователей со сбором персональных данных для продажи рекламодателям. В-четвёртых, исходный код Google Password Manager закрыт, так что насчёт его надёжности остаётся лишь доверять заверениям Google.
▍ Проблемы LastPass
В этом году продолжились проблемы LastPass с безопасностью. Через год после ужасного взлома ситуация совершенно не улучшилась.
Напомним, что в декабре 2022 года LastPass сообщил о взломе, в результате которого хакеры похитили хранилища паролей, содержащие как зашифрованные, так и открытые данные более чем 25 млн пользователей. В марте 2023-го опубликованы результаты расследования со всеми подробностями инцидента (точнее, двух инцидентов).
Эхо того взлома аукается до сих пор. Каждый раз, когда вы узнаёте в новостях о краже у какого-то пользователя крипты на шестизначные суммы — это может быть несчастный пользователь LastPass, до учётных данных которого наконец-то добрались злоумышленники. Все базы давно ходят на чёрном рынке, а брутфорс хэшей идёт полным ходом.
Например, разработчики известного криптокошелька MetaMask выявили набор улик, которые связывают недавние кражи из кошельков MetaMask именно с прошлогодней утечкой LastPass. Судя по всему, воры добрались до зашифрованных контейнеров. Жертвами последних краж стали более 150 человек, в общей сложности у этих людей похищено криптовалюты на сумму более $35 млн:
Движение украденной крипты от жертв, которые использовали LastPass для хранения seed-фразы для кошелька, источник
Представители MetaMask говорят, что сам профиль жертв не характерен для таких краж. Практически все жертвы были давними криптовалютными инвесторами, серьёзно относились к безопасности и пользовались профессиональными инструментами для защиты конфиденциальных данных и кошельков. Никто из них не сообщил о взломе почты или телефона, что обычно предшествует краже крипты на большие суммы.
Среди этих полутора сотен жертв — сотрудники авторитетных криптоорганизаций, венчурные капиталисты, профессиональные программисты-разработчики протоколов DeFi и смарт-контрактов, девопсы, которые запускали полноценные узлы в распределённой сети, и др.
Наблюдая за всеми этими кражами в течение года, сейчас исследователи пришли к выводу, что почти всех жертв объединяет одно: они использовали LastPass для хранения seed-фразы.
▍ Опенсорс. Bitwarden Secrets Manager
Чтобы минимизировать вероятность критических багов (и утечки паролей), желательно использовать опенсорсные программы, исходный код которых проверен сообществом и прошёл аудит.
Из опенсорсных парольных менеджеров четыре самых известных:
Особенно популярен первый из них, BitWarden, c большой аудиторией преданных пользователей.
Как раз Bitwarden недавно выпустил новый опенсорсный инструмент Secrets Manager, менеджер секретов. В реальности это центральное зашифрованное хранилище со сквозным шифрованием, которым пользуется некая группа, компания или организация. В идеале — отдел разработки, девопсы и IT.
Вкратце алгоритм работы программы показан на видео:
Менеджер секретов — это безопасная альтернатива другим методам обмена секретной информацией в команде разработчиков. Например, некоторые предпочитают для простоты включить секретный ключ API непосредственно в код программы (в тестовый релиз) или обмениваться файлами
.env по электронной почте.Обычно к секретной информации в группе разработке относится следующее:
- ключи API;
- сертификаты аутентификации пользователей;
- пароли к базам данных;
- сертификаты SSL и TLS;
- закрытые ключи шифрования;
- ключи SSH;
- и т. д.
В интернете почти каждый день сообщают об утечке подобной информации в результате кибератак или простой безалаберности на каком-то этапе разработки. Год назад исследователи Synantec обнаружили валидные токены для доступа к AWS в 75% приложений iOS и Android.
Проблема настолько распространённая, что на GitHub даже запустил систему оповещения владельцев репозиториев о неправильных конфигурациях, приводящих к раскрытию секретов.
В свою очередь, независимые исследователи выпустили опенсорсные инструменты для поиска секретов в открытых бакетах AWS S3, например, утилиту S3cret Scanner.
Secrets Manager от Bitwarden призван решить эту проблему. Это удобный способ генерации, обмена и деплоя секретов в командах разработчиков, а также назначения гранулярных прав доступа для отдельных пользователей и групп. Исходный код программы открыт. Бесплатная версия поддерживает неограниченное количество секретов, двух пользователей, три проекта и три учётные записи служб. На данный момент Bitwarden Secrets Manager поддерживает интеграцию с GitHub Actions, но в будущем обещают интеграцию с Kubernetes, Terraform и Ansible.
Однако есть «интересный» момент: с недавних пор в библиотеку sweetalert2, которая используется в веб-версии Bitwarden, был добавлен скрипт, автоматически проигрывающий гимн Украины и блокирующий навигацию при определённых условиях (например, если в браузере установлен русский язык или локацией пользователя является Россия/Беларусь). Создатели Bitwarden обещают, что удалят эту зависимость в сентябрьском релизе (подробности можно почитать здесь), но сам факт внедрения подобных скриптов несколько настораживает.
Proton Pass
Из других новостей в этой индустрии нужно отметить появление нового бесплатного парольного менеджера Proton Pass (beta) от известной компании Proton AG, которая разрабатывает сервис электронной почты и другие популярные продукты для безопасности.
Proton Pass обеспечивает сквозное шифрование (E2E) не только для паролей, но и для другой чувствительной информации, которую вы вводите в поля браузера на сайтах: имя пользователя, почтовый адрес и т. д. Это действительно важно. Другие менеджеры оставляют в открытом виде некоторые поля с метаданными, в том числе URL'ы сайтов, а по этой информации можно составить очень подробный профиль человека и фактически деанонимизировать его.
Proton Pass использует алгоритм хэширования паролей bcrypt (а не PBKDF2, как LastPass — после утечки их базы стало ясно, что такие хэши относительно легко сбрутить: по оценке разработчика 1Password, брутфорс 2³² хэшей PBKDF2-H256 на GPU стоит примерно $6). Для аутентификации в Proton применяется защищённая реализация протокола Secure Remote Password (SRP).
Недавно Proton Pass прошёл аудит Cure53. Есть встроенный аутентификатор 2FA и утилита для импорта паролей из других менеджеров.
Proton Pass работает по стандартному алгоритму: при регистрации на новом сайте генерирует уникальный сильный пароль и сохраняет его в зашифрованном хранилище. Но кроме пароля он также предлагает сгенерировать уникальный email для этого сайта. Это дополнительная мера защиты приватности (скрытия личности) при регистрации.
Схема скрытия личности через одноразовый email в Proton Pass
Не секрет, что многие сайты сейчас зарабатывают на трекинге пользователей, составляя досье и продавая эту информацию сторонним покупателям, в том числе рекламным агентствам. Даже Google не стесняется отслеживать поведение пользователей Chrome — и передавать эту информацию рекламодателям со списком уникальных ключевых слов для каждого человека (по результатам анализа сайтов, которые он открывал в браузере).
Если везде регистрироваться под одним и тем же адресом электронной почты, то профилирование выполняется автоматически. Вот почему Proton предлагает рандомизировать адреса. С рандомными адресами в случае утечки информации с этого сайта злоумышленник не получает ничего, кроме одноразового email'а. Настоящий адрес останется в безопасности, туда не придёт спам и фишинговые письма.
Бесплатная версия включает неограниченное количество логинов и заметок, неограниченное количество устройств и десять псевдонимов, скрытых за специально созданными адресами электронной почты. Платная версия за €3,99 в месяц работает без ограничений.
Proton Pass совместим со всеми популярными браузерами: Chrome, Firefox, Edge, Brave на десктопе и iOS/Android. Поддержки Safari пока нет.
Подводя итог, проприетарным парольным менеджерам не стоит доверять безоговорочно. Утечки данных того же LastPass стали уже постоянным явлением. А сейчас ещё и 1Password отличился, в течение года используя неправильный формат даты, не совпадающий с локалью пользователя. В опенсорсе таких багов не бывает, если код прошёл независимый аудит и всестороннюю проверку.
Telegram-канал с розыгрышами призов, новостями IT и постами о ретроиграх ?️
