[Информационная безопасность, Open source, GitHub, Софт] Программу для взлома паролей 1Password удалили с Github, а её автор исчез
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Около двух лет назад на Хабре был опубликован перевод статьи Адриана Беднарека (Adrian Bednarek) из компании Independent Security Evaluators. Статья называлась «Достаём мастер-пароль из заблокированного менеджера паролей 1Password 4» (обратите внимание, что сейчас последняя версия 1Password седьмая).
Адриан в деталях описал процедуру реверс-инжиниринга парольного менеджера 1Password 4. Как выяснилось, эта программа хранит в оперативной памяти мастер-пароль в обфусцированном виде. И его можно восстановить. Чтобы автоматизировать процедуру, автор выложил в открытый доступ простенькую утилиту multipass, которая находит в памяти обфусцированный пароль и восстанавливает его.
Разблокировка 1Password 4 и восстановление мастер-пароля
В анимации выше показано, что 1Password 4 разблокируется и запирается. После этого запускается утилита multipass, которая успешно восстанавливает пароль и отображает его в консоли.
Но вскоре после публикации этой статьи Multipass был удалён с Github. Ни осталось ни одного форка.
Более того, сам автор программы Адриан Беднарек фактически исчез из публичного поля. У него прекратилась активность на Github. Всё, что мы о нём знаем — только фотография из его профиля в Independent Security Evaluators. Эта группа продолжает свою активность, но статьи от Беднарека больше не выходят. Блог они прекратили публиковать 30 апреля 2019 года. Последнее исследование (взлом домашних маршрутизаторов) опубликовано 16 сентября 2019 года.
Фотография из профиля Адриана Беднарека
Сам Адриан Беднарек отметился только исследованием со сравнительным анализом безопасности парольных менеджеров 19 февраля 2019 года. В рамках этого исследования были изучены менеджеры 1Password 7, 1Password 4, Dashlane, KeePass и LastPass.
Исследование получило большой резонанс, даже цитировалось в газете Washington Post. После этого хайпа Адриан и написал отдельную статью с объяснением реверс-инжиниринга 1Password. А затем исчез из публичного пространства.
Можно добавить, что разработчиком 1Password является частная канадская компания AgileBits Inc. Это её единственный продукт и единственный источник дохода. По неофициальной информации от Рустема Каримова (разработчик 1Password с 2005 года), два года назад у них было около 15 миллионов пользователей и 30 000 корпоративных клиентов.
Можно предположить, что позор с извлечением мастер-пароля 1Password 4 из оперативной памяти дорого обошёлся компании AgileBits. Может быть, они пригласили Беднарека на работу, но в списке сотрудников он сейчас не значится.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Открытые данные] Разведка на основе открытых источников
- [Информационная безопасность, Криптография, Open source, Лайфхаки для гиков] Как создать и у всех на виду хранить пароли, очень стойкие и очень длинные, не запоминая их
- [Поисковые технологии, Python, Разработка мобильных приложений, Kotlin] Не баян: ищем дубликаты изображений на основе Milvus с индексом FAISS внутри
- [Информационная безопасность, Софт] Взломанный сервер обновлений SolarWinds был защищён паролем 'solarwinds123'
- [Информационная безопасность, Управление разработкой] DevSecOps: как мы внедряли PT Application Inspector в наш продуктовый конвейер
- [Open source, Сетевые технологии, Kubernetes] Tigera запускает новый учебный портал Tigera Academy — бесплатную платформу для обучения и сертификации по Calico
- [Информационная безопасность, Криптография] Криптоанализ резиновым шлангом и методы его предотвращения
- [Информационная безопасность, Криптография, Алгоритмы] Обобщённый алгоритм визуальной криптографии (перевод)
- [Информационная безопасность, Совершенный код, Управление продуктом, Софт] Строим безопасную разработку в ритейлере. Итоги одного большого проекта
- [Системное администрирование, Софт, IT-компании] Microsoft выкатила хотфикс для проблемы с ChkDsk
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_open_source, #_github, #_soft (Софт), #_its, #_itsumma, #_1password, #_agilebits, #_masterparol (мастер-пароль), #_adrian_bednarek (Адриан Беднарек), #_blog_kompanii_itsumma (
Блог компании ITSumma
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_open_source, #_github, #_soft (
Софт
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 03:46
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
 Около двух лет назад на Хабре был опубликован перевод статьи Адриана Беднарека (Adrian Bednarek) из компании Independent Security Evaluators. Статья называлась «Достаём мастер-пароль из заблокированного менеджера паролей 1Password 4» (обратите внимание, что сейчас последняя версия 1Password седьмая). Адриан в деталях описал процедуру реверс-инжиниринга парольного менеджера 1Password 4. Как выяснилось, эта программа хранит в оперативной памяти мастер-пароль в обфусцированном виде. И его можно восстановить. Чтобы автоматизировать процедуру, автор выложил в открытый доступ простенькую утилиту multipass, которая находит в памяти обфусцированный пароль и восстанавливает его.  Разблокировка 1Password 4 и восстановление мастер-пароля В анимации выше показано, что 1Password 4 разблокируется и запирается. После этого запускается утилита multipass, которая успешно восстанавливает пароль и отображает его в консоли. Но вскоре после публикации этой статьи Multipass был удалён с Github. Ни осталось ни одного форка. Более того, сам автор программы Адриан Беднарек фактически исчез из публичного поля. У него прекратилась активность на Github. Всё, что мы о нём знаем — только фотография из его профиля в Independent Security Evaluators. Эта группа продолжает свою активность, но статьи от Беднарека больше не выходят. Блог они прекратили публиковать 30 апреля 2019 года. Последнее исследование (взлом домашних маршрутизаторов) опубликовано 16 сентября 2019 года.  Фотография из профиля Адриана Беднарека Сам Адриан Беднарек отметился только исследованием со сравнительным анализом безопасности парольных менеджеров 19 февраля 2019 года. В рамках этого исследования были изучены менеджеры 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Исследование получило большой резонанс, даже цитировалось в газете Washington Post. После этого хайпа Адриан и написал отдельную статью с объяснением реверс-инжиниринга 1Password. А затем исчез из публичного пространства. Можно добавить, что разработчиком 1Password является частная канадская компания AgileBits Inc. Это её единственный продукт и единственный источник дохода. По неофициальной информации от Рустема Каримова (разработчик 1Password с 2005 года), два года назад у них было около 15 миллионов пользователей и 30 000 корпоративных клиентов. Можно предположить, что позор с извлечением мастер-пароля 1Password 4 из оперативной памяти дорого обошёлся компании AgileBits. Может быть, они пригласили Беднарека на работу, но в списке сотрудников он сейчас не значится. =========== Источник: habr.com =========== Похожие новости:
Блог компании ITSumma ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_open_source, #_github, #_soft ( Софт ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 03:46
Часовой пояс: UTC + 5