image

KeePass: geen enkele wachtwoordmanager is veilig als aanvaller toegang heeft

dinsdag 31 januari 2023, 08:42 door Redactie, 32 reacties

Geen enkele wachtwoordmanager is veilig als een aanvaller toegang tot het systeem heeft, zo stelt Dominik Reichl, ontwikkelaar van KeePass. Volgens Reichl is er dan ook geen sprake van een kwetsbaarheid in KeePass waar onlangs voor werd gewaarschuwd en waardoor een aanvaller met toegang tot het systeem wachtwoorden uit de wachtwoordenkluis van KeePass kan stelen.

Onlangs verscheen er een proof-of-concept exploit online waarmee een lokale aanvaller de inhoud van de KeePass-database kan bemachtigen. De aanval is mogelijk doordat de configuratie van KeePass onversleuteld wordt opgeslagen. Een lokale aanvaller kan deze configuratie aanpassen en een malafide exportregel toevoegen. Wanneer een gebruiker een KeePass-database opent, zorgt de exportregel ervoor dat opgeslagen gegevens ongemerkt naar de aanvaller worden geëxporteerd.

Zowel het Nationaal Cyber Security Centrum (NCSC) als het Belgische Cyber Emergency Team kwamen met waarschuwingen. Gebruikers werd aangeraden een configuratieaanpassing door te voeren die ervoor zorgt dat een masterwachtwoord is vereist voor het exporteren van opgeslagen gegevens.

Op de eigen website waarschuwt KeePass ook voor het risico als een aanvaller het configuratiebestand kan aanpassen. "Het kunnen schrijven naar het KeePass-configuratiebestand geeft aan dat een aanvaller veel krachtigere aanvallen kan uitvoeren dan het aanpassen van het configuratiebestand", aldus de uitleg.

Naar aanleiding van de recent online verschenen exploit en waarschuwing van overheidsinstanties werd KeePass om een reactie en aanpassingen aan de wachtwoordmanager gevraagd. Het lijkt erop dat die er niet gaan komen. "Geen enkele wachtwoordmanager is veilig als je besmet bent met spyware of een aanvaller toestaat om bestanden naar je pc te schrijven", zo stelt Reichl.

Reacties (32)
31-01-2023, 08:52 door Anoniem
Als iemand dat niveau van toegang to je machine heeft dan is keyloggen waarschijnlijk ook niet heel moeilijk meer.
31-01-2023, 08:58 door Anoniem
Correct, maar je kan het wel veiliger maken bijvoorbeeld door iets in te bouwen dat een waarschuwing geeft als de config gewijzigd werd t.o.v. de vorige decryptie.
Veel operationele security is zaken inbouwen "voor het geval dat".
31-01-2023, 09:12 door Anoniem
Wat is dan de meerwaarde van een wachtwoord manager? Dan kan ik het net zo goed in een word document zetten.
31-01-2023, 09:15 door _R0N_ - Bijgewerkt: 31-01-2023, 09:17
Dus eigenlijk zegt Dominik Reichl zelf dat KeePass dus een overbodig product is.
Het gaat er niet om dat het in een encrypted database staat als je maar zorgt dat niemand toegang tot je systeem heeft.
31-01-2023, 09:21 door Power2All
Door Anoniem: Correct, maar je kan het wel veiliger maken bijvoorbeeld door iets in te bouwen dat een waarschuwing geeft als de config gewijzigd werd t.o.v. de vorige decryptie.
Veel operationele security is zaken inbouwen "voor het geval dat".

Een beveiliging voor de beveiliging die daar voor de beveiliging de beveiliging beveiligd.
Nee sorry, als iemand tot je machine al toegang heeft, kan hij alles omzeilen, zelfs je "beveiliging", is een eitje tegenwoordig.
Het enige is vooral 2FA gebruiken, en geen obscure dingen gaan doen, en vooral, updates bijhouden.
Dat zijn de enige echte practische beveiligingen om de veiligheid te waarborgen.
En zelfs dan, kan het nog altijd mis gaan.
31-01-2023, 09:23 door Power2All
Door _R0N_: Dus eigenlijk zegt Dominik Reichl zelf dat KeePass dus een overbodig product is.
Het gaat er niet om dat het in een encrypted database staat als je maar zorgt dat niemand toegang tot je systeem heeft.

Nee hoor, dat zegt hij totaal niet.
Hij zegt enkel, dat als iemand toegang verschaft tot je systeem, ze altijd wel een manier vinden om data uit je systeem te vissen. Een keylogger is daar al voldoende, vooral met al die online wachtwoord managers is de aanvals vector vele malen hoger dan een lokaal bestand van keepass.
31-01-2023, 09:38 door _R0N_
Door Power2All:
Door _R0N_: Dus eigenlijk zegt Dominik Reichl zelf dat KeePass dus een overbodig product is.
Het gaat er niet om dat het in een encrypted database staat als je maar zorgt dat niemand toegang tot je systeem heeft.

Nee hoor, dat zegt hij totaal niet.
Hij zegt enkel, dat als iemand toegang verschaft tot je systeem, ze altijd wel een manier vinden om data uit je systeem te vissen. Een keylogger is daar al voldoende, vooral met al die online wachtwoord managers is de aanvals vector vele malen hoger dan een lokaal bestand van keepass.

Dat laatste ben ik met je eens, geen publieke diensten gebruiken.
Maar hij ontkent duidelijk dat er een kwetsbaarheid in zit terwijl er een werkende poc is om de data uit de database te trekken.
Je dan verschuilen achter dat het je eigen fout is dat je iemand toegang tot je systeem geeft is gewoon zwak.
31-01-2023, 09:48 door Anoniem
Misschien kan KeePass deze truuk gebruiken die door Mozilla bedacht is: https://www.security.nl/posting/650943/Firefox+vraagt+OS-wachtwoord+voor+toegang+tot+opgeslagen+wachtwoorden.

Volgens mij is het er ondertussen al weer uitgehaald ook, maar ik sla mijn wachtwoorden niet op in Firefox dus ik weet het niet. Zijn je wachtwoorden in Firefox veiliger als in KeePass? Firefox kan ook synchroniseren.
31-01-2023, 09:53 door Anoniem
Geldt dit niet bijna voor alles waar iemand toegang heeft.
geen enkele wachtwoordmanager is veilig als aanvaller toegang heeft

Geen enkel huis is veilig als inbreker toegang heeft.
Om maar 1 voorbeeld te geven.
31-01-2023, 09:55 door Anoniem
Als een bouwer van een 'veilig' wachtwoordkluis product dit soort uitspraken doet is het misschien tijd om verder te kijken. Ik ben het eens met de stelling dat het lastig wordt als een kwaadwillende (langdurig) toegang heeft tot je systeem. Maar het is wel heel makkelijk je handen wassen in onschuld i.p.v. het onderwerp serieus nemen en dit ook zo oppakken in je product. Er kunnen vast meer detectie mogelijkheden of drempels opgeworpen worden of hulpmiddelen bedacht worden om te helpen bij dit probleem.

Ik vind het zo'n dooddoener om te zeggen: 'ja maar als ze dat kunnen heb je een veel groter probleem, dus is dit probleem niet/minder belangrijk'. Dat slaat gelijk elke mogelijkheid tot discussie plat. Misschien wil een aanvaller helemaal niet andere dingen op mijn systeem of netwerk doen, misschien kan hij dat ook helemaal niet maar is hij juist op zoek naar wachtwoorden of toegang die hij dan kan verkopen. Het is een verkeerde aanname dat een aanvaller altijd 'alles' kan met je systeem, wellicht is dat het doel helemaal niet of heeft hij die kennis niet eens.
31-01-2023, 09:57 door Power2All - Bijgewerkt: 31-01-2023, 10:00
Door _R0N_:
Door Power2All:
Door _R0N_: Dus eigenlijk zegt Dominik Reichl zelf dat KeePass dus een overbodig product is.
Het gaat er niet om dat het in een encrypted database staat als je maar zorgt dat niemand toegang tot je systeem heeft.

Nee hoor, dat zegt hij totaal niet.
Hij zegt enkel, dat als iemand toegang verschaft tot je systeem, ze altijd wel een manier vinden om data uit je systeem te vissen. Een keylogger is daar al voldoende, vooral met al die online wachtwoord managers is de aanvals vector vele malen hoger dan een lokaal bestand van keepass.

Dat laatste ben ik met je eens, geen publieke diensten gebruiken.
Maar hij ontkent duidelijk dat er een kwetsbaarheid in zit terwijl er een werkende poc is om de data uit de database te trekken.
Je dan verschuilen achter dat het je eigen fout is dat je iemand toegang tot je systeem geeft is gewoon zwak.

Ik denk eerder dat er bij die "export" actie een melding moet komen die je eerst moet accepteren op de een of andere manier. Als dit niet te omzeilen valt, zou dat die "onderwater export" probleem direct oplossen.
Het encrypten van de config bestand gaat wel erg ver, maar wellicht zijn er andere opties om dit op te lossen, maar hackertjes vinden altijd wel een manier om een programma om de tuin te lijden.
Encryptie op config bestand zou het valideren van dat bestand ook zwaar onmogelijk maken of er sowieso iets in veranderd is door een extern programma, dus het heeft ook haken en ogen.
31-01-2023, 10:01 door Anoniem
Tja, en als iemand een steen door een ruit gooit zit er een gat in, aldus de fabrikant van kogelwerend glas.
En toch... deze metafoor zou je een open deur kunnen noemen.

Laten we KeePass vooral veel publiciteit en aandacht geven die ze vragen, en benadruk vooral:
De aanval is mogelijk doordat de configuratie van KeePass onversleuteld wordt opgeslagen
(en dat ze dat een goede aanpak vonden)
31-01-2023, 10:05 door Erik van Straten
Wat de makers van KeePass zouden kunnen doen, is kritische configuratiegegevens opnemen in de database zelf. Nadeel daarvan is dat, als je meerdere databases hebt en wilt dat de configuratie op elke database van toepassing is, je zelf voor synchronisatie moet zorgen.

Maar ook dat is niet foolproof. Als een aanvaller een oudere versie van KeePass.exe ergens op jouw PC kan zetten met een kwaadaardige configfile in dezelfde map, en jouw snelkoppelingen naar die exe wijzigt, heb je niks gewonnen.

Zelf werk ik als "ordinary user" op mijn PC en kan daardoor de configfile van KeePass niet wijzigen. Maar ook voor mij geldt dat ik snelkoppelingen gebruik die ik wel zelf kan aanpassen of vervangen (en dus ook een ander dat kan die onder mijn account kan rotzooien, met lokale of remote toegang).

Er zijn mensen die argumenteren dat je, i.p.v. KeePass met sterk wachtwoord, net zo goed Excel zonder wachtwoord zou kunnen gebruiken. Daar ben ik het niet mee eens, want dan heb je geen bescherming tegen passieve aanvallen, bijvoorbeeld in back-ups of in het geval van cloudopslag.

Het is noodzakelijk dat we begrijpen dat de omgeving waarin we vertrouwelijke gegevens onversleuteld verwerken (of slechts lezen), noodzakelijkerwijs betrouwbaar genoeg moet zijn om dat veilig te kunnen doen. Dat geldt niet alleen voor KeePass, maar onder meer ook voor de situatie dat je internetbankiert.

Met de onvermijdelijke verplaatsing van aanvallen naar "lokaal" (jouw device(s)) - omdat de rest moeilijker wordt gemaakt - is dit, in elk geval voor mij, wel weer een "wake up call".
31-01-2023, 10:08 door Anoniem
Door Anoniem: Wat is dan de meerwaarde van een wachtwoord manager? Dan kan ik het net zo goed in een word document zetten.

Nee want:
- dan is je wachtwoord zichtbaar op je scherm.
- je wachtwoord blijft in het geheugen geplakt.
- je kunt niet snel nieuw sterk wachtwoord genereren.
- je bestand is niet beschermd.

etc
31-01-2023, 10:21 door Anoniem
In 2019 is voorgesteld om triggers in KeepassXC te implementeren:
https://github.com/keepassxreboot/keepassxc/issues/1016
Daar zag een van de makers van KeepassXC het probleem dat Keepass nu heeft al aankomen. Uiteindelijk is besloten het niet te implementeren.
31-01-2023, 10:40 door Anoniem
Dominic snapt het niet of WIL het niet snappen...
Toegang hebben tot een systeem is niet het ultimate goal van een hacker... van een scriptkiddy misschien, maar een hacker wil in de meeste gevallen zo lang mogelijk ONBEMERKTE toegang hebben en houden.
Het password bestand kraken of de PC slopen is dan helemaal niet interessant...
NON-STOP toegang tot alle wachtwoorden, ook van ANDERE systemen waar de wachtwoorden in deze file van worden opgeslagen is vele malen belangrijker...

Zo is het vaak erg gemakkelijk om te scannen naar password bestanden (hebben vaak een specifieke extentie)... dus zoeken naar *.kdbx is vele malen gemakkelijker dan zoeken naar passwords.doc, passwords.docx, wachtwoorden.txt enz enz.
Het zoeken naar een geinstalleerde password manager is ook vele malen gemakkelijker dan zoeken of een systeem toevallig wachtwoorden heeft opgeslagen ergens.. (bureaublad, icloud, onedrive, c partitie, \home\ enz enz.)

Dus een wachtwoord manager is het dragen van een rode jas op een veld waar mensen van het CDA zijn en mensen van de PVDA.... hoe haal de je PVDA-ers eruit?
31-01-2023, 10:50 door Anoniem
... of je bouwt geen trigger support in. Zoals de KeepassXC fork bijvoorbeeld.
31-01-2023, 10:53 door Anoniem
Dit is vooral een probleem bij grote organisaties waar systeem beheerders (remote) toegang hebben tot een desktop van andere medewerkers. Die hebben nu de mogelijkheid om bij de wachtwoorden van andere medewerkers te komen. Om die zelfde reden moet je je wachtwoorden ook niet in en .txt bestand opslaan, want dan kan iedereen die even toegang heeft tot je computer bij je wachtwoorden. Met een wachtwoordmanager voorkom je zulke problemen. Tenzij je nu KeePass gebruikt. Je zou nu kunnen zeggen: een systeem beheerder kan ook een keylogger installeren, maar dat is dan meer een monitoring en loging probleem dan dat het een passwordmanager probleem is.
31-01-2023, 11:01 door Anoniem
Door Anoniem: Laten we KeePass vooral veel publiciteit en aandacht geven die ze vragen, en benadruk vooral:
De aanval is mogelijk doordat de configuratie van KeePass onversleuteld wordt opgeslagen
(en dat ze dat een goede aanpak vonden)

Als je de config file van KeePass met versleuteling opslaat, dan staat de sleutel in de .exe in je Program Files directory. Die tegelijk met de config file valt uit te lezen. Of misschien in de Windows Registry, waar die met een standaard commando uit geëxporteerd kan worden.

Waar denk je dat de publieke of symmetrische sleutel voor zo'n config file bewaard wordt?

De wachtwoorden lokaal van Windows worden opgeslagen in een SAM file. En deze is geëncrypt naar een sleutel in de file SYSKEY. Welke in dezelfde directory als de SAM file staat. Zie: https://en.wikipedia.org/wiki/Security_Account_Manager. Iemand die bij de SAM file kan, kan ook bij de SYSKEY file, dus dit is totaal zinloos. Ik lees op de wiki ook dat Microsoft met SYSKEY is gestopt. Waarschijnlijk omdat het geen beveiliging toevoegt. Security Through Obscurity!
31-01-2023, 11:30 door Anoniem
of controleer bij het op starten van je system de hash waarden van de config files. Is deze veranderd, dan open je KeePass niet. Je controleert eerst de config file of plaats het origineel terug vanaf de backup.
31-01-2023, 11:52 door _R0N_
Door Anoniem:
Door Anoniem: Wat is dan de meerwaarde van een wachtwoord manager? Dan kan ik het net zo goed in een word document zetten.

Nee want:
- dan is je wachtwoord zichtbaar op je scherm.
- je wachtwoord blijft in het geheugen geplakt.
- je kunt niet snel nieuw sterk wachtwoord genereren.
- je bestand is niet beschermd.

etc

Zet dat nu eens naast KeePass..

Eigenlijk verschilt dat dus niet zoveel.
31-01-2023, 12:01 door Anoniem
Door _R0N_:
Door Anoniem:
Door Anoniem: Wat is dan de meerwaarde van een wachtwoord manager? Dan kan ik het net zo goed in een word document zetten.

Nee want:
- dan is je wachtwoord zichtbaar op je scherm.
- je wachtwoord blijft in het geheugen geplakt.
- je kunt niet snel nieuw sterk wachtwoord genereren.
- je bestand is niet beschermd.

etc

Zet dat nu eens naast KeePass..

Eigenlijk verschilt dat dus niet zoveel.

Een correct werkende passwordmanager is 100x beter dan een word document.
Zou namelijk je laptop gestolen worden of zelfs bij een malware infectie is het wachtwoord bestand niet uit te lezen zonder master password.

Je wachtwoorden in een word document bewaren is echt een heel dom idee, doe dan maar een wachtwoord boekje van de Hema.
Als ik hier een van de consultants zou betrappen op een word doc met wachtwoorden dan hebben ze een serieus probleem en gelijk een officiele waarschuwing.
31-01-2023, 12:04 door Anoniem
Tsja... al ze binnen zijn dan... Eeuh ik heb dan nog gegevens in een kluis staan die apart is vergrendeld. Gewoon toegeven dat het niet handig was om zonder encryptie hebt opgeslagen en dat je het hebt hersteld Laten we aub stoppen met 'off-with-their-heads' mentaliteit.
31-01-2023, 12:32 door Anoniem
Door Anoniem: of controleer bij het op starten van je system de hash waarden van de config files. Is deze veranderd, dan open je KeePass niet. Je controleert eerst de config file of plaats het origineel terug vanaf de backup.

Ach ja - op een compromised systeem . Dan is je hash check natuurlijk ook niet meer betrouwbaar , want die kan prima de "vertrouwde" oude waarde teruggeven.
En waar vergelijk je de hash mee - met een bestand van hashes op de compromised computer ?

Om maar te zwijgen van dit gedoe allemaal - zeg eens echt eerlijk - wat DOE jij zelf , van dit soort "ik verzin een workaround procedure voor het een probleem" dingen , in je dagelijkse IT gebruik ?
31-01-2023, 13:20 door Anoniem
Neem twee zwaar beveiligde USB sticks en plaats daar je wachtwoorden op. Niets in de cloud alles onder eigen beheer.
De tweede USB is voor backup
31-01-2023, 14:08 door Anoniem
Door Anoniem:
Een correct werkende passwordmanager is 100x beter dan een word document.
Zou namelijk je laptop gestolen worden of zelfs bij een malware infectie is het wachtwoord bestand niet uit te lezen zonder master password.
Ik begreep uit een ander topic dat de mensen hun master password weer opslaan in de gewone password manager
van hun systeem? Zodat ze dat niet hoeven in te tikken. Dan maakt het niet uit dus.
En je wist het wellicht niet, mara een word document kun je ook van een master password voorzien.
31-01-2023, 15:32 door Anoniem
Door Anoniem:
Door Anoniem:
Een correct werkende passwordmanager is 100x beter dan een word document.
Zou namelijk je laptop gestolen worden of zelfs bij een malware infectie is het wachtwoord bestand niet uit te lezen zonder master password.
Ik begreep uit een ander topic dat de mensen hun master password weer opslaan in de gewone password manager
van hun systeem? Zodat ze dat niet hoeven in te tikken. Dan maakt het niet uit dus.
En je wist het wellicht niet, mara een word document kun je ook van een master password voorzien.

Dus omdat mensen het verkeerd zouden kunnen gebruiken is het geen beter alternatief?
Rare argumentatie.

Een word document beveiligen met een wachtwoord is al snel beter dan een plain-text document, het track-record van wachtwoord beveiligde/encrypted word documenten is erg slecht overigens, vaak gekraakt in het verleden.
Maar dat wist je wellicht niet?

Ik snap oprecht de weerstand tegen password managers niet zo goed.
Het is op praktisch elk vlak en beter idee dan in een tekst bestandje waarbij de risico's en rommeligheid ervan overduidelijk is.
Het klinkt een beetje als koppigheid, heb namelijk nog geen goed tegenargument gehoord.
31-01-2023, 20:32 door Anoniem
Door Anoniem: Correct, maar je kan het wel veiliger maken bijvoorbeeld door iets in te bouwen dat een waarschuwing geeft als de config gewijzigd werd t.o.v. de vorige decryptie.
Als je kan schijven naar de lokatie waar de executable staat, dan kan je het originele programma nog zo beveiligen, maar een aanvaller kan die executable dan gewoon vervangen door een exemplaar waar die beveiliging is geneutraliseerd.
31-01-2023, 23:04 door Anoniem
Door Anoniem: Neem twee zwaar beveiligde USB sticks en plaats daar je wachtwoorden op. Niets in de cloud alles onder eigen beheer. De tweede USB is voor backup

Tot zover de theorie. Nu de praktijk. Zodra je zo'n USB stick in een poort steekt, dan kan het hele systeem daarop meelezen. Mocht je systeem zijn gehackt, en spyware met een keylogger leest mee, dan ben je de klos.
31-01-2023, 23:41 door Anoniem
Door Power2All:
Door _R0N_: Dus eigenlijk zegt Dominik Reichl zelf dat KeePass dus een overbodig product is.
Het gaat er niet om dat het in een encrypted database staat als je maar zorgt dat niemand toegang tot je systeem heeft.

Nee hoor, dat zegt hij totaal niet.
Hij zegt enkel, dat als iemand toegang verschaft tot je systeem, ze altijd wel een manier vinden om data uit je systeem te vissen.
Zolang je je masterpassword niet invoert, heb je alleen een versleutelde database, zeg maar, een kluis die op slot zit. Het gaat pas mis zodra je de kluis openmaakt, dan kan jij of ieder ander op jouw systeem, bij de inhoud.

Je kan nogsteeds de gesloten kluis meenemen, maar zolang het een stevige kluis is, kan je nog niet bij de inhoud. Natuurlijk is die kluis wel open te branden (c.q uiteindelijk te decrypten), maar dat duurt even.

Natuurlijk moet je die kluis wel eens openmaken, als je iets van de inhoud nodig hebt. Je moet er dan zeker van zijn dat er geen kwaadwillende in de buurt zijn (c.q stiekum op je systeem zitten).
31-01-2023, 23:54 door Anoniem
Door Anoniem: ... of je bouwt geen trigger support in. Zoals de KeepassXC fork bijvoorbeeld.
KeepassXC is ook opensource, dus makkelijk door een (hulpje van die) aanvaller aan te passen met een automatische export zodra je je masterpassword hebt opgegeven.
Als die aanvaller (of scriptkiddie) schrijftoegang tot je systeem heeft en de vertrouwde keepass[xc] kan overschijven (zelfde rechten als de configfile aanpassen), ben je even ver van huis.
01-02-2023, 11:00 door Leo van Lierop
Het lijkt mij dat het gebruik van een wachtwoordmanager als Keepass heel veel voordelen heeft. Als je er gewoon voor zorgt dat niemand in je systeem of bij je bestanden kan komen, dan is dit een prima oplossing!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.