Password manager resi vulnerabili a causa di un bug, tanto da far gola al cyber crime e mettere in pericolo le credenziali degli utenti di Windows attraverso un malware. Lo rivela un report dell’agenzia indipendente ISE.
La notizia punta i riflettori sulla questione dell’inattaccabilità di sistemi pensati per essere delle casseforti informatiche, utilizzati anche in ambienti aziendali.
Indice degli argomenti
Il report di ISE
I password manager sono costruiti per aumentare il livello di sicurezza e privacy dell’utente, data la loro capacità gestionali e di verifica. Secondo gli esperti dell’ISE, un bug individuato in sistemi come KeePass, LastPass, Dashlane e 1Password permetterebbe a un malware di rubare la master password, creando problemi agli utenti di Windows. Una situazione che potrebbe creare danni diffusi e coinvolgere milioni di persone. Infatti, LastPass conta 16,5 milioni di utilizzatori, KeePass 20 milioni, 1Password da 15 milioni e Dashlane da 10 milioni di persone.
Il malware in particolare andrebbe a colpire la memoria RAM del password manager, dove le credenziali vengono ospitate. Il problema si presenta solo quando i password manager sono in funzione, cioè quando si visualizza la credenziale. Il rischio non coinvolge dunque le password salvate su hard disk. L’attacco può verificarsi solo se l’utente esegue un’applicazione malevola sulla macchina o se lasciasse il sistema incustodito.
Per limitare i problemi, i suggerimenti sono:
- implementare routine di base per il rilevamento degli attacchi,
- servirsi delle enclavi in hardware come SGX,
- evitare l’utilizzo trasversale di API diffuse tra i malware writer,
- verificare la rimozione di informazioni sensibili dalla memoria quando non si utilizza il password manager.
- chiudere i password manager quando non sono in uso: un sistema per evitare che le credenziali siano sottratte;
- attivare la crittografia dell’unità disco: si può fare per esempio con Bitlocker o VeraCrypt, così se si verifica un Bsod non ci saranno file dump con informazioni sensibili;
- servirsi di meccanismi del sistema operativo per il blocco automatico della sessione di lavoro in corso o fare logout quando ci si allontana dalla propria postazione
- utilizzare le funzionalità di protezione Secure Desktop disponibili con alcuni password manager.
I consigli dell’esperto
Secondo Gerardo Costabile, CEO di DeepCyber, “i password manager sono degli utili strumenti di gestione ma allo stesso tempo possono portare l’utente a una errata percezione di sicurezza, pensando che le password siano perfettamente custodite. Le minacce a questo tipo di gestione sono sia legate ad eventuali spear phishing che a vulnerabilità specifiche del tool come nel report ISE”.
Il punto è che “il contenitore delle password è pur sempre un software ed è spesso conservato nello stesso ambiente (talvolta insicuro) che si vuole proteggere. È sempre più urgente la necessità di evolvere la sicurezza in ottica multifactor authentication o meglio ancora prevedere accessi biometrici in luogo di password mnemoniche”.
Il consiglio di Costabile è quello “di utilizzare con la giusta diffidenza tutti questi strumenti e, ove possibile, inserire delle indicazioni per ricordare la password (ad esempio domande o password con asterischi), anziché la password per esteso”.