複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 63
ストーリー by hylom
スキャンされる状況になったらもうヤバいのは確か 部門より
スキャンされる状況になったらもうヤバいのは確か 部門より
あるAnonymous Coward曰く、
計算機科学者とは、壊れていないものを修理する人々のことである
メモリスキャンされてる時点で詰んでるのでは…… (スコア:2)
たいとるおんりー
外部からのメモリスキャンを許してる時点で、やりたい放題されているも同然なわけで、対応することで別のリスクが存在するのであればそりゃあ無視されるだろうとしか……。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:2)
パスワード管理ソフトの中身を抜くことができると「そのマシンに対してやりたい放題」から「管理ソフトに保存されてるアカウントなどにもやりたい放題」に被害レベルが上がるよ。
あと、画面に表示したりする以上はメモリ上に平文のパスワードが存在することを完全に避けるのは難しい。
このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
「マスターパスワードを復号鍵の一部として使うようにしろよ」ってことだろうね。
そうすれば「そのマシンにやりたい放題になってもマスターパスワードがわからないと管理ソフトの情報にはアクセスできない」となるから。
まあデスクトップにマスターパスワードを書いたテキストファイルを置いてる人には同じことだけど。
うじゃうじゃ
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:1)
> このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
違う。
元のレポートにはマスターパスワード入力後にロックした場合しか指摘されていない。
ITmediaの記事だけにマスターパスワード入力前云々と書かれていることから、そこの記者が記事にするときに紛れ込んだものと思われる。
原典にあたらずに翻訳記事だけ見て書き込むなら、このセキュリティコンサルタントが〜みたいにさも原典を確認したかのように書くのではなく、ソースすら確認していない孫引きのコメントだとわかるように書いて欲しい。
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:1)
>「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」
さすがにソフトを立ち上げただけでマスターパスワードを入力してもいない状態からパスワードが漏洩することはない。
それはパスワードファイルそのものに脆弱性があるということを意味するが、元記事ではパスワードファイル自体はどのアプリでも適切に暗号化されており、brute forceで破られるリスクは低いと結論づけている。
実際に指摘されている問題は、一度アプリを立ち上げて「マスターパスワードを入力した後に」起こるもの。
1) マスターパスワードからファイルの解読キーを生成した後、平文のマスターパスワードをすぐ破棄せずにメモリに残しているアプリがある。
2) パスワードはユーザーが現在閲覧中のものしか平文でメモリに置いておく必要はなく、古いのはすぐ破棄すべきだが、閲覧したもの全てが残っている場合が多く、ひどいのはファイル内のものをいきなり全部解読してしまうものがある。
3) アプリを落とさずにロックを掛けた場合、マスターパスワード、解読キー、解読したパスワードをすべてメモリから消去しアプリを立ち上げたばかりと同じ状態に戻すべきなのに、それをしていないアプリが多い。
Re: (スコア:0)
他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、
そうであれば「管理ソフトに保存されてるアカウントなどにもやりたい放題」なんてもんじゃなく
キーロガー仕込まれてやりたい放題とかそのレベルの話になる
変な話、パスワード管理ツールで管理してないのも漏れる。
管理ツールから漏れて攻撃者にラッキーなのは、サービスとアカウントを一括取得できるというところ。
これは確かにデカいが、マスタパスワードはそこそこの頻度で入力するだろうからキーロガーでも取得できる
結局のところ管理ツールに脆弱性がなくても、メモリスキャンされるような状況なら一網打尽にされる
テキストファイルおいてりゃ同じ、ではない
Re: (スコア:0)
#後苦労様
Re: (スコア:0)
Re: (スコア:0)
他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、
は?
Medium integrity levelのプロセスはMedium integrity levelとそれ以下のプロセス読めるし
Re: (スコア:0)
WILはよく知らんのだがMidium同士なら他アプリのメモリの中身も見れるもんなの?
Re: (スコア:0)
読めます
それがWindows 3.1の伝統です
なんでもできる過去との互換維持のWindowsの自由度をなめないでいただきたい
逆にいうと過去のアプリ資産がWindowsの最大の魅力でそれを捨てるわけにはいかない
他のアプリのメモリ弄れなくなったら、例えばゲームの非公式MODみたいのも動かなくなって困る人大勢いるよ
Re: (スコア:0)
> WILはよく知らんのだがMidium同士なら他アプリのメモリの中身も見れるもんなの?
WILって、WINのtypeだよね?
Win32APIを使って動的に他プロセスのプロセスメモリを書き換える方法
http://peryaudo.hatenablog.com/entry/20100516/1273998518 [hatenablog.com]
Linuxは知らないからよく分からないけど、Linuxでもユーザhogeが実行しているアプリのメモリ領域を、ユーザhogeの他のアプリから読み書きできないの?
普通同じユーザなら好き勝手にできるから、空間を分離させたかったら他のユーザにするもんなんじゃないの?
Re:メモリスキャンされてる時点で詰んでるのでは…… (スコア:1)
Linuxだとその辺りの目的で使うのはptrace syscallだろうけど、ptrace_scopeがあるからね。
system設定として、同一ユーザーならOKか、事前調停がいるのか、管理者権限がいるのか、不可能なのかが選択できる、みたいな話らしい。
Re: (スコア:0)
メモリスキャンされてることはありうることとして(警察による押収とか)、
そもそも、生データがメモリ上に存在している=マスターキーで開錠済みってことでの反論だと思うけど。
Re: (スコア:0)
警察に押収された場合、パスワードアプリが起動している状態でスクリーンロックが外れているならメモリスキャンするまでもなく普通にアプリを操作してパスワードを読み取ることが出来るし、そうでない場合は管理者権限を取得出来るアカウントのパスワードも一緒に押収しないとそもそもメモリスキャンなどが出来ない。
なので、たしかに現実的な脅威は限られているとしか思えない。
Re: (スコア:0)
ほんとこれ
そもそもDOSやWindows 9x時代ならいざ知らず、ALSR常識かつそこらのPCですら64GBとか積んでるこの時代にメモリスキャンって・・・
それを脆弱性と呼ぶのなら、かのOpenSSHですら脆弱性だらけになりますわ
Re: (スコア:0)
それですね!
そこまでの情況を想定するなら、もっと大きな問題だと思う。
ISEはパスワード管理ソフトの使用は推奨していて、用が済んだらアプリケーションを終了すべきだということを提案しているんだけど・・・
でも、発表の仕方に問題がある気がしますね。
「アクティブウィンドウでなくなってから15秒放置されたら自動終了」するアプリにしろとか、そういう事を言いたいのか。
それとも、ユーザーに対して、都度終了する運用を喚起せよと言いたいのか。
パスワード管理ツール (スコア:0)
複数のパスワード管理ツールにて
現状、脆弱性により「パスワードを盗み出す攻撃が可能」
脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」
ということは
パスワード管理ツールを使わないほうが安全ってこと?
Re:パスワード管理ツール (スコア:2)
あえてその方向性に乗るなら「パスワード管理ツールは、ホントはOSの外に切り出すべきだよね」ですかね。私のおすすめはパスワード管理ツールによる人間の頭では暗記不能なほど強固なパスワードと、FIDO U2Fトークンなどの多要素認証の組み合わせですね。
パスワード管理ツールを使わずに、記号とかで複雑にしたつもりだけどやっぱり暗記できるくらい簡単なパスワードでがんばる、というのはもう無理です。
Re:パスワード管理ツール (スコア:1)
無関係な事項を書き連ねる際に「ということは」で繋ぐのは適切ではありません。
Re:パスワード管理ツール (スコア:1)
現状の脆弱性によるリスク < 解決によって生じるリスク、は記事から言える。
現状の脆弱性があるパスワードマネージャを使うリスクと、使わないでパスワードを管理するリスクの比較が、どこにも書いてない。
つまり「ということは」は論理的に導き出せない。
個人的には #3571406 の人も言ってるようにメモリスキャンが出来るという前提条件がそもそも難しい条件っていうか詰んでるので、そら現実的な驚異は限られているだろとしか思えない
Re: (スコア:0)
昔から、「卵は一つのカゴに盛るな」って言いますが、
「パスワード管理ツール」 って、まさに一つのカゴですから
昔から使う気になれませんでしたが
やっぱりねぇ
Re:パスワード管理ツール (スコア:2)
Re: (スコア:0)
複数のパスワード管理ツールを使えばいいのでは?
Re: (スコア:0)
あのパスワードはどのパスワード管理ツールに保管していたっけ? ってなりそう
Re:パスワード管理ツール (スコア:2)
自分は、銀行系とそれ以外で分けてる。
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
あのパスワードがどこにあるか管理するメインのパスワード管理ツールAと
偶数桁の暗号化済みパスワードを管理するパスワード管理ツールBと
奇数桁の暗号化済みパスワードを管理するパスワード管理ツールCと
パスワードの暗号を解除するパスワード管理ツールDと
...etc
Re: (スコア:0)
元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな
Re: (スコア:0)
今はそうだろうね……
生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。
Re: (スコア:0)
変更の効かない生体認証がパスワードに代わることはありえない。
現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、
それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。
しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
Re:パスワード管理ツール (スコア:2)
替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。
# ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。
# シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。
成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。
Re: (スコア:0)
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。 しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
こいつド素人だなw
Re:パスワード管理ツール (スコア:1)
>生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない
時々利用しているデータセンターでは
本人確認はパスポートか運転免許証提示し確認されたらIDカードを渡される。
パスワード的なのは毎回入場時に指先静脈認証を登録。
でやってますね。
建屋間の移動はゲート毎に本人確認時に渡されるIDカードが必要。
建屋内部フロア別にあるサーバールームにはいるときに指先静脈認証が必要。
ご飯食べに一旦外に出ると、登録やり直しでめんどくさい。
Re: (スコア:0)
漏れた特徴データから指紋や網膜を再構成するのは難しいのではないだろうか。
とはいっても本人から盗まれたら困っとことになるのは間違いない。
Re: (スコア:0)
よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。
Re:パスワード管理ツール (スコア:1)
よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。
そこまでするんだったらメモ帳なんて使わずに
「いつも同じフレーズを追加する」でもいいんじゃないの?
記録という点を気にするなら、メモを金庫に入れておけばいい。
パスワード管理ツール (スコア:0, フレームのもと)
起動中のプロセスが使ってるメモリーってLockかかって他のプロセスから読めないと思いますが、スマフォの OS って DOS 並なんでしょうか?
プロセス終了して開放後のメモリー全体をスキャンするとかなら... 時間はかかるが可能でしょうけど。
Re: (スコア:0)
元記事の調査対象
・1Password4 for Windows
Windowsデスクトップアプリケーション
・1Password7 for Windows
Windowsデスクトップアプリケーション
・Dashlane for Windows
Windowsデスクトップアプリケーション
・KeePass Password Safe
Windowsデスクトップアプリケーション
・LastPass for Applications
Windowsデスクトップアプリケーション
どこからスマフォが出てきたんですか?
Re: (スコア:0)
iOSやandroidは知らんけど、WindowsにはReadProcessMemoryとかいうAPIがあります.
WriteProcessMemoryなんかもあったり.まあ使うには色々条件があるけど.
Re: (スコア:0)
root権限で/proc覗き放題になった時点で意味ないよなあ。その時点で他のこともやり放題なわけだがな。
まあ、最低でも暗号化して、平文のままメモリ上に置いておくなってことだ。
Re: (スコア:0)
プロセスが終了してOSに返されたメモリーをどうやって読むおつもりで?
それこそDOS並みじゃないと出来ないことだろ
Windows 標準のアンチウイルスソフトってやっぱ危険 (スコア:0)
普通のパスワード管理ツールはユーザ権限で動くので、Windowsだと他のユーザ権限のアプリからメモリ内容を読み取れてしまう。
こういう攻撃は多くのアンチウイルスで防げるが、アプリの動作を妨げないことを重視するWindows Defenderでは防げない。
例えば、カスペルスキーだとアプリケーションコントロール保護では、他のアプリのメモリ領域でのアクセスで警告・確認画面を出してくれる。
シグネチャベースじゃなくてメモリ領域へのアクセスの警告なので新種のマルウェアにも有効だ。
にしても、パスワード管理ツールはサービスとしてインストールさせて、Administrators権限で動くようにすべきだな。無論、そのパスワード管理ツール自体は絶対的に信頼できるものじゃないといけないけど。
そうすれば、普通のユーザ権限のアプリからメモリ領域にアクセスされる心配がない。
Re: (スコア:0)
多くのアンチウイルスで防げる[要出典]
Re: (スコア:0)
セキュリティソフトインストールした状態で、自作したアプリから他のプロセスへの侵入を試せばすぐに分かりますよ
少なくともカスペルスキーのアプリケーションコントロール保護は、ホワイトリストに登録されたアプリ以外だと 他のアプリのメモリ読み取ろうとすると必ず確認出してくる [syszo.com] し、
NortonのSONAR保護に至っては署名付きでNortonのホワイトリスト登録されたものを除いてそのような挙動のアプリは警告も出さず問答無用でマルウェア判定します
嘘だと思うならカスペルスキーの試用版インストールして、他のプロセスのメモリへのアクセスを試してみてください。
※全般設定の「推奨される処理を自動的に
Re: (スコア:0)
ノートンも対応してるって書いてあるのに読めないのか?
文章を読めないなら猿山に帰れ。
Re: (スコア:0)
ふたつあればたくさんとか。
お猿さんでも2までくらいは数えられるのにね。
Re: (スコア:0)
ロシア製のソフトを使うよりはましなのでは。
ふつ~の対策ではダメなの? (スコア:0)
メモリ上にパスワードを残したい場合は
CryptProtectMemory()やCryptProtectData()が便利そうにあるようですけど。
調査されたのはWindows版のみであることに注意 (スコア:0)
Mac、iOS、Android版ではどうなのかは触れられていない。
コードベースがまったく別ってことはないだろうから、やっぱり問題はあるのだろうが。
# 元記事によると、1Passwordは古いバージョン4より書き直された新しいバージョン7の方がセキュリティが甘いそうな。
# Windows版 1Password 4はUIがクソだったので極力使いたくないけど。
怪しげ (スコア:0)
意識高い系ブログなどで「これからのパスワード管理はこれだぁ!!(どかーん)」みたいな感じで
定期的に取り上げられているツール類。むしろリスク高くなるとしか思えないので使わない事に
してたんですが、某セキュリティソフトにおまけでついてきたのについ手を出してしまったり。
でまぁ、使えるんですがログインしようとするとクッキー古すぎるからトップから開き直せとか
毎回おこられたり割としょぼい感じで。無料なので使ってますけども。
Re:怪しげ (スコア:2)
自分自身にプライドを持てないから、プライド持ってそうな人を意識高い系と貶めないと自我が崩壊しちゃう系の人なのですね。可哀想になあ。