[Информационная безопасность, Open source, GitHub, Софт] Программу для взлома паролей 1Password удалили с Github, а её автор исчез

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
23-Дек-2020 15:32


Около двух лет назад на Хабре был опубликован перевод статьи Адриана Беднарека (Adrian Bednarek) из компании Independent Security Evaluators. Статья называлась «Достаём мастер-пароль из заблокированного менеджера паролей 1Password 4» (обратите внимание, что сейчас последняя версия 1Password седьмая).
Адриан в деталях описал процедуру реверс-инжиниринга парольного менеджера 1Password 4. Как выяснилось, эта программа хранит в оперативной памяти мастер-пароль в обфусцированном виде. И его можно восстановить. Чтобы автоматизировать процедуру, автор выложил в открытый доступ простенькую утилиту multipass, которая находит в памяти обфусцированный пароль и восстанавливает его.

Разблокировка 1Password 4 и восстановление мастер-пароля
В анимации выше показано, что 1Password 4 разблокируется и запирается. После этого запускается утилита multipass, которая успешно восстанавливает пароль и отображает его в консоли.
Но вскоре после публикации этой статьи Multipass был удалён с Github. Ни осталось ни одного форка.
Более того, сам автор программы Адриан Беднарек фактически исчез из публичного поля. У него прекратилась активность на Github. Всё, что мы о нём знаем — только фотография из его профиля в Independent Security Evaluators. Эта группа продолжает свою активность, но статьи от Беднарека больше не выходят. Блог они прекратили публиковать 30 апреля 2019 года. Последнее исследование (взлом домашних маршрутизаторов) опубликовано 16 сентября 2019 года.

Фотография из профиля Адриана Беднарека
Сам Адриан Беднарек отметился только исследованием со сравнительным анализом безопасности парольных менеджеров 19 февраля 2019 года. В рамках этого исследования были изучены менеджеры 1Password 7, 1Password 4, Dashlane, KeePass и LastPass.
Исследование получило большой резонанс, даже цитировалось в газете Washington Post. После этого хайпа Адриан и написал отдельную статью с объяснением реверс-инжиниринга 1Password. А затем исчез из публичного пространства.
Можно добавить, что разработчиком 1Password является частная канадская компания AgileBits Inc. Это её единственный продукт и единственный источник дохода. По неофициальной информации от Рустема Каримова (разработчик 1Password с 2005 года), два года назад у них было около 15 миллионов пользователей и 30 000 корпоративных клиентов.
Можно предположить, что позор с извлечением мастер-пароля 1Password 4 из оперативной памяти дорого обошёлся компании AgileBits. Может быть, они пригласили Беднарека на работу, но в списке сотрудников он сейчас не значится.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_open_source, #_github, #_soft (Софт), #_its, #_itsumma, #_1password, #_agilebits, #_masterparol (мастер-пароль), #_adrian_bednarek (Адриан Беднарек), #_blog_kompanii_itsumma (
Блог компании ITSumma
)
, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_open_source, #_github, #_soft (
Софт
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 25-Ноя 11:00
Часовой пояс: UTC + 5