Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • Donanım / Hardware
  • Anasayfa Haberleri
  • Bu Konuda
Şimdi Ara

LastPass saldırısında çalışan detayı

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
10
Cevap
0
Favori
279
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
1 oy
Öne Çıkar
Cevapla
Sayfa: 1
Giriş
Mesaj
  • LastPass saldırısında çalışan detayı
    Şifreleri güvende tuttuğu iddiasıyla yola çıkan ancak geçen yıl siber saldırıya uğrayarak kullanıcı şifrelerini çaldıran LastPass ile ilgili yeni detaylar ortaya çıktı. Yapılan araştırmaların ucu çalışanlara çıktı.



    LastPass neden saldırıya uğradı?



    Yapılan açıklamaya göre DevOps şeklinde çalışan bir mühendisin bilgisayarı ele geçirilerek sistemlere sızılmış. Mühendisin ev bilgisayarına kurulan bir üçüncü taraf medya yazılımına keylogger yerleştiren saldırganlar, LastPass sunucularından birinin master şifresini ele geçirmeyi başarmış.



    Ayrıca Bkz.Milyonlarca kullanıcısı olan LastPass, kullanıcıların şifrelerinin çalındığını duyurdu!



    Daha sonra kurumsal havuza sızan saldırganlar müşterilerin yedeklerinin yer aldığı bulut tabanlı Amazon S3 modüllerine girerek gerekli şifre çözme anahtarlarını da elde etmiş. Bu sayede yaklaşık 3 ay boyunca sunucularda aktif kalabilmiş. LastPass bulut depolama kasasını açabilecek anahtarları tutan 4 kişilik DevOps mühendis grubu olduğu ve bunlardan birinin saldırıya uğradığı belirtiliyor.



    LastPass kullanıcıların master şifrelerini saklamadığını ve müşteri yedeklerini çözebilmek için master şifrelerden elde edilen benzersiz bir anahtar gerektiğini bu bakımdan çözülmesinin milyonlarca yıl alacağını açıklamıştı. Ayrıca firma milyon dolarlık bir bütçe ile güvenlik konusunda daha işlevsel tedbirler alacağını da dile getirmişti.




    Kaynak:https://www.engadget.com/lastpass-hackers-broke-into-employee-pc-steal-company-password-vault-074948764.html?guccounter=1







  • Bu adamlar HSM falan kullanmıyorlar mı acaba?Merak etmiyor değilim. HSM'in LMK'sını 4 kişiye bölüştürürsün. Kaldı ki LMK'nın 4 partını dijital değil güvenlikli zarf içersinde tutarsın. Saldırgan da debelenip durur. Biliyorum senin düşündüğünü onlar düşünemiyor mu diyorsunuz ama hikayeye baktığınızda benim söyledim -ki bu yöntem sahada kullanılan bir yöntemdir- yöntem çok daha güvenli ve mantıklı.

  • Her sen hackleniyor

  • daha önceden şifrelerimi 3 şekilde oluştururdum. önemsiz siteler için hep aynı şifre, biraz daha önemli sosyal medya şifreleri ve banka gibi yerler için önemli şifreler. sonra hacklenen sitelerde şifreler kabak gibi ortaya çıkmaya başlayınca (https://haveibeenpwned.com buradan kontrol edebilirsiniz) lastpass gibi uygulamaları kullanmaya başladım. ama burada da zaten çok önemli olduğunu düşündüğünüz şifreleri kesinlikle eklememelisiniz. mail şifresi, banka şifreleri ve master pass her zaman aklınızda kalmalı. şuan en dandik sitelerde çok güçlü şifreler kullanıyorum ve bunları aklımda tutmak zorunda değilim. açık kaynak kodlu bitwarden'i tavsiye ederim.



    < Bu mesaj bu kişi tarafından değiştirildi snomask -- 1 Mart 2023; 11:12:6 >

  • şifrenizi kimseye vermeyin diye boşuna demiyolar

  • Alıntı

    metni:
    LastPass kullanıcıların master şifrelerini saklamadığını ve müşteri yedeklerini çözebilmek için master şifrelerden elde edilen benzersiz bir anahtar gerektiğini bu bakımdan çözülmesinin milyonlarca yıl alacağını açıklamıştı.


    LP kullananların panik yapmasına gerek yok bence. Dikkat edilmesi gereken alıntıladığım kısım zaten. LP büyük ihtimal KDF olarak PBKDF2 SHA-256 kullanıyordur. Yinelemeleri varsayılan olarak yüksekte tutmuşlarsa şimdilik yazdıkları doğru. Fakat performansı düşünerek yinelemeleri çok düşük tutmuşlarsa kırılabilir. Yanlış hatırlamıyorsam 1Password'tan birileri LP master şifrelerini kırmanın maliyeti 100 dolar gibisinden bir şeyler söylemişlerdi. Bunu söylemelerinin sebebi zaten bu konu.


    LP'ın yapması gereken yinelemeleri daha da yükseltmek ve Bitwarden'ın yaptığı gibi Argon2d'yi alternatif KDF seçeneği olarak sunmak. Şahsen parola yöneticimde KDF tercihim Argon2d. Tabii yinelemeleri yine yüksek tutuyorum.


    Yukarıda bahsettiklerim brute force ataklarına karşı şifreleme türleri. Iterations yani yinelemeler ne kadar yüksekse saldırganların master şifrenizi kırması daha da zorlaşır. Ama performanstan ödün vermek gerekebilir ki, aşırıya kaçmadıktan sonra modern cihazlarda pek fark edilmiyor. Parola yöneticinizin ayarlar kısmında da yer alır. Oradan kendiniz de yükseltebilir veya seçenek sunuyorlarsa Argon2d gibi alternatiflerle değiştirebilirsiniz.




  • Master şifresinizi sağda solda biryerde de kullandıysanız geçmiş olsun şimdiden, başlayın bütün şifrelerinizi değiştirmeye. En başta ana mail ve kurtara maili olarak kullandığınız mailler. Sonra ötekilerini değiştirip. Yeni bir master yaratıp bu hesap dışında hiçbiryerde kullanmayın.


    Haa uğraşılması gerekilen birkişiyseniz sizinkini patlatalı çok olmuş içerde cirit atıyorlardır şuan.

  • Siyaset olmadan yorum yapılan az konudan biri. Uzmanda olmadan tamamını okuyabildim.

    • 
Sayfa: 1

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz. DH’ye girerek kullanım izni vermiş sayılırsınız.
Anladım Veri Politikamız