PSA: Atualize seu KeePass! Vulnerabilidade descoberta na versão < 2.54

[TryNinja]

A KeePass é um gerenciador de senhas bem famoso que tem a vantagem de ser totalmente offline (fica tudo em um arquivo criptografado pela senha mestre). Eu mesmo já usei ele durante alguns anos, antes de migrar para o Bitwarden.

Foi descoberto uma vulnerabilidade que permite que a senha mestre seja descoberta através de um dump da memoria do computador.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32784

É uma vulnerabilidade grave, mas não tão perigosa quanto parece pois ela exige acesso ao computador (para fazer o dump da memoria). Por exemplo, se o seu dispositivo estiver infectado por um malware, não vai precisar de muito para conseguir essa senha.

Solução: atualize o KeePass para a versão 2.54!

[Disruptivas]

Solução: atualize o KeePass para a versão 2.54!

Ave maria! Todos os dias uma vulnerabilidade diferente encontrada em um gerenciador. Acho que o caderninho ainda é a melhor tecnologia que existe.

Mas não encontrei a versão 2.54, no Help do gerenciador só tem até a 2.53 e no site também o .53 é a última disponivelht: https://keepass.info/

Tu atualizou para essa nova versão de outra fonte que não do site original?

[TryNinja]

Mas não encontrei a versão 2.54, no Help do gerenciador só tem até a 2.53 e no site também o .53 é a última disponivelht: https://keepass.info/

Tu atualizou para essa nova versão de outra fonte que não do site original?

Hm... tem razão. Na verdade eu não uso mais a Keepass (migrei para o Bitwarden), então nem fui atrás de baixar a atualização. Apenas vi a notícia e repostei aqui pois já discutimos sobre gerenciadores de senha.

Fui atrás da resposta e parece que a 2.54 só sai oficialmente lá para Junho.

To clarify, "within the next two months" was meant as an upper bound. The other features that I'm currently working on (which are also related to security and which I don't want to postpone) are almost finished; a realistic estimate for the KeePass 2.54 release probably is "in the beginning of June" (i.e. 2-3 weeks), but I cannot guarantee that.

Best regards,
Dominik

Enquanto isso, o desenvolvedor publicou um snapshot de desenvolvimento com as devidas correções: https://keepass.info/filepool/KeePass_230507.zip

Retirado desse comentário: https://sourceforge.net/p/keepass/discussion/329220/thread/f3438e6283/?limit=25#0829

[rdluffy]

Acho que o caderninho ainda é a melhor tecnologia que existe.

Parece que sim 

Depois do último tópico em que falavam sobre uma outra vulnerabilidade (nem lembro mais exatamente qual era) eu cheguei a olhar mais de perto sobre esses gerenciadores mas acabei deixando de lado.
Eu ainda quero experimentar um para as senhas menos importantes e ver se me acostumo, vou dar uma olhada nesses que trabalham offline, mas confesso que dá um certo receio

Como o Ninja falou é uma vulnerabilidade séria, mas que se você tem os devidos cuidados para não pegar vírus ou malware, deve ser suficiente para não se preocupar

Lendo um pouquinho mais eu achei isso aqui:


Fonte

O exploit funcionaria/funciona se a pessoa digitar a senha mestra, e não se copiar e colar.
Aliás é uma das coisas que sempre fico pensando, é extremamente perigoso deixar senhas em arquivos txt por exemplo, mas se você pegar algum malware com keylogger, dificilmente vai descobrir sua senha se você copiar e colar 

[joker_josue]

Aliás é uma das coisas que sempre fico pensando, é extremamente perigoso deixar senhas em arquivos txt por exemplo, mas se você pegar algum malware com keylogger, dificilmente vai descobrir sua senha se você copiar e colar 

Claro que ter as passwords em ficheiros TXT não é das melhores estratégias.
Mas, também tudo depende de como se faz o ficheiro. Uma coisa interessante que o Notepad tem é que abre tudo o tipo de ficheiro, mesmo que não seja .txt. Então podes criar um tipo de ficheiro, com a tua própria extensão, para guardar o que quiseres.

[l3pox]

Aliás é uma das coisas que sempre fico pensando, é extremamente perigoso deixar senhas em arquivos txt por exemplo, mas se você pegar algum malware com keylogger, dificilmente vai descobrir sua senha se você copiar e colar 

Claro que ter as passwords em ficheiros TXT não é das melhores estratégias.
Mas, também tudo depende de como se faz o ficheiro. Uma coisa interessante que o Notepad tem é que abre tudo o tipo de ficheiro, mesmo que não seja .txt. Então podes criar um tipo de ficheiro, com a tua própria extensão, para guardar o que quiseres.

só nao façam como eu, encontrei um arquivo criptografado aqui de anos atrás e não lembro a senha, também não anotei em lugar nenhum
Gênio
um sistema tão seguro que nem eu mesmo posso entrar
a boa notícia é que no momento não to precisando de nada que tá lá
mas queria lembrar a senha

nunca duvide de sua própria estupidez

o bitwarden nunca teve vazamentos ou problemas? pesquisei e encontrei que não mas vai saber...

[Disruptivas]

Claro que ter as passwords em ficheiros TXT não é das melhores estratégias.
Mas, também tudo depende de como se faz o ficheiro. Uma coisa interessante que o Notepad tem é que abre tudo o tipo de ficheiro, mesmo que não seja .txt. Então podes criar um tipo de ficheiro, com a tua própria extensão, para guardar o que quiseres.

só nao façam como eu, encontrei um arquivo criptografado aqui de anos atrás e não lembro a senha, também não anotei em lugar nenhum
Gênio
um sistema tão seguro que nem eu mesmo posso entrar
a boa notícia é que no momento não to precisando de nada que tá lá
mas queria lembrar a senha

nunca duvide de sua própria estupidez

o bitwarden nunca teve vazamentos ou problemas? pesquisei e encontrei que não mas vai saber...
[/quote]

Se tem uma coisa que eu jamais vou subestimar é minha estupidez. Eu já ANOTEI várias vezes algumas coisas e depois esqueci pra sempre ONDE HAVIA ANOTADO. É um nível de ignorancia gigantesco. Engraçado que no livro do Ray Dalio que comentei no tópicos sobre os princípios, ele inicia falando exatamente disso. Nas palavras de um dos maiores gestores do mundo:

'' Antes de começar a contar o que penso, quero deixar claro que sou uma ''besta'' e não sei muita coisa em relação ao que preciso saber. Independente do sucesso que tive na vida, tudo se deve mais a ter aprendido a lidar com o meu não saber do que com algo que de fato eu saiba. A coisa mais importante que aprendi foi uma abordagem para a vida com base em princípios que me ajuda a descobrir o que é certo e o que fazer a respeito.'''

O que sabemos é que os gerenciadores de senha são horriveis no geral. Ai precisa saber o que fazer a respeito sos

[joker_josue]

Se tem uma coisa que eu jamais vou subestimar é minha estupidez. Eu já ANOTEI várias vezes algumas coisas e depois esqueci pra sempre ONDE HAVIA ANOTADO. É um nível de ignorancia gigantesco.

Tem de anotar e depois fazer uma anotação onde anotou. De seguida, faz uma anotação para saber onde esta anotação onde anotou no inicio. Depois cria um lembrete sobre anotação, da anotação do que anotou no inicio. E por fim, adiciona um lembrete do calendário anual, a lembrar o lembrete que criou. Sem esquecer, de criar um email automático anual, para lembrar anotação do calendário.  

NOTA: Este sistema, não serve se anotação foi a password do email.  

[alegotardo]

Solução: atualize o KeePass para a versão 2.54!

Ave maria! Todos os dias uma vulnerabilidade diferente encontrada em um gerenciador. Acho que o caderninho ainda é a melhor tecnologia que existe.

Mas não encontrei a versão 2.54, no Help do gerenciador só tem até a 2.53 e no site também o .53 é a última disponivelht: https://keepass.info/

Tu atualizou para essa nova versão de outra fonte que não do site original?

Eu ia comentar a mesma coisa.... não existe essa versão no site oficial!

Que mancada ein... pois a vantagem de projetos opensource é que todos podem ver o código, auditar e contribuir com melhorias, mas da mesma forma os hackers também podem sair na frente caso as atualizações não sejam lançadas conforme os bugs críticos como esse são descobertos.

Na opinião de alguém ignorante como eu, deveria no mínimo ter aí no site principal um link para o repositório no git, dando a opção de baixar o código fonte diretamente, fazer contribuições, forks, etc.

Enfim... apesar de temer por quem usa o keepass e provavelmente vai demorar muuuito para atualizar, confesso que me sinto mais feliz agora em continuar utilizando o Bitwarden.

[l3pox]

<...>

Se tem uma coisa que eu jamais vou subestimar é minha estupidez. Eu já ANOTEI várias vezes algumas coisas e depois esqueci pra sempre ONDE HAVIA ANOTADO. É um nível de ignorancia gigantesco. Engraçado que no livro do Ray Dalio que comentei no tópicos sobre os princípios, ele inicia falando exatamente disso. Nas palavras de um dos maiores gestores do mundo:

'' Antes de começar a contar o que penso, quero deixar claro que sou uma ''besta'' e não sei muita coisa em relação ao que preciso saber. Independente do sucesso que tive na vida, tudo se deve mais a ter aprendido a lidar com o meu não saber do que com algo que de fato eu saiba. A coisa mais importante que aprendi foi uma abordagem para a vida com base em princípios que me ajuda a descobrir o que é certo e o que fazer a respeito.'''

O que sabemos é que os gerenciadores de senha são horriveis no geral. Ai precisa saber o que fazer a respeito sos

esse quote ficou meio bugado Rafa, depois dá uma olhada

Fiquei pensando aqui, entendo que o ponto fraco dos gerenciadores de senha é seu master password
e o ponto fraco de não usar gerenciador de senhas e armazenar tudo no browser é a senha para entrar no seu computador (supondo windows mas provável que seja o mesmo com mac e linux)

é tão diferente assim em termos de segurança?

se você pegar um trojan/keylogger vai dar acesso ao atacante à todas as senhas da mesma forma, não?

cadê os magos do opsec? @TryNinja?

Se tem uma coisa que eu jamais vou subestimar é minha estupidez. Eu já ANOTEI várias vezes algumas coisas e depois esqueci pra sempre ONDE HAVIA ANOTADO. É um nível de ignorancia gigantesco.

Tem de anotar e depois fazer uma anotação onde anotou. De seguida, faz uma anotação para saber onde esta anotação onde anotou no inicio. Depois cria um lembrete sobre anotação, da anotação do que anotou no inicio. E por fim, adiciona um lembrete do calendário anual, a lembrar o lembrete que criou. Sem esquecer, de criar um email automático anual, para lembrar anotação do calendário. 

NOTA: Este sistema, não serve se anotação foi a password do email. 

heheheh minha sorte é ter uma boa memória visual
mas já aconteceu comigo também coisas assim

[TryNinja]

Fiquei pensando aqui, entendo que o ponto fraco dos gerenciadores de senha é seu master password
e o ponto fraco de não usar gerenciador de senhas e armazenar tudo no browser é a senha para entrar no seu computador (supondo windows mas provável que seja o mesmo com mac e linux)

é tão diferente assim em termos de segurança?

se você pegar um trojan/keylogger vai dar acesso ao atacante à todas as senhas da mesma forma, não?

À partir do momento que você pega um keylogger, toda senha digitada vai ser enviada para o safado que te infectou. Então se você entrar no gmail.com digitando seu email e senha, o hacker vai ter essa informação. Se você não entrar no facebook.com digitando os seus dados, ele não vai conseguir essa informação. Se digitar a sua master password no keepass, ele vai ter a master password mas (provavelmente, já que é só um keylogger) não vai ter o arquivo para desbloquear.

Se você pegar um trojan, ele vai ter acesso aos seus arquivos e vai poder pegar o arquivo do Keepass e todas as senhas salvas no navegador, cookies, etc...

No final das contas eu sinto que gerenciadores de senha tem mais pros do que contras. Você usa uma senha complicada e ÚNICA para cada site, que é super mais seguro do que repetir a mesma senha em todos os sites e/ou salvar elas no navegador.

[l3pox]

Fiquei pensando aqui, entendo que o ponto fraco dos gerenciadores de senha é seu master password
e o ponto fraco de não usar gerenciador de senhas e armazenar tudo no browser é a senha para entrar no seu computador (supondo windows mas provável que seja o mesmo com mac e linux)

é tão diferente assim em termos de segurança?

se você pegar um trojan/keylogger vai dar acesso ao atacante à todas as senhas da mesma forma, não?

À partir do momento que você pega um keylogger, toda senha digitada vai ser enviada para o safado que te infectou. Então se você entrar no gmail.com digitando seu email e senha, o hacker vai ter essa informação. Se você não entrar no facebook.com digitando os seus dados, ele não vai conseguir essa informação. Se digitar a sua master password no keepass, ele vai ter a master password mas (provavelmente, já que é só um keylogger) não vai ter o arquivo para desbloquear.

Se você pegar um trojan, ele vai ter acesso aos seus arquivos e vai poder pegar o arquivo do Keepass e todas as senhas salvas no navegador, cookies, etc...

No final das contas eu sinto que gerenciadores de senha tem mais pros do que contras. Você usa uma senha complicada e ÚNICA para cada site, que é super mais seguro do que repetir a mesma senha em todos os sites e/ou salvar elas no navegador.

faz muito sentido
valeu pelo esclarecimento

aí o próximo nível e vulnerabilidade seriam esses casos de vazamento do keepass ou do lastpass ou outros que ja rolaram por exemplo
mas nesse sentido o Bitwarden é provavelmente o melhor mesmo por ser open source

[TryNinja]

aí o próximo nível e vulnerabilidade seriam esses casos de vazamento do keepass ou do lastpass ou outros que ja rolaram por exemplo
mas nesse sentido o Bitwarden é provavelmente o melhor mesmo por ser open source

Sim, mas detalhe que o Keepass não teve um vazamento por si, até por que por padrão ele é totalmente offline. Vazamentos são problematicos quando as senhas são guardadas em um servidor terceiro, tipo o Bitwarden ou Lastpass. Esse último, por exemplo, já teve vazamentos diversas vezes.

https://www.theverge.com/2022/12/28/23529547/lastpass-vault-breach-disclosure-encryption-cybersecurity-rebuttal

[joker_josue]

Sim, mas detalhe que o Keepass não teve um vazamento por si, até por que por padrão ele é totalmente offline. Vazamentos são problematicos quando as senhas são guardadas em um servidor terceiro, tipo o Bitwarden ou Lastpass. Esse último, por exemplo, já teve vazamentos diversas vezes.

Mas se o Bitwarden guarda as senhas num servidor terceiro, o que o torna mais seguro em relação a concorrência?
Não está exposto ao mesmo nível de perigos?

[TryNinja]

Mas se o Bitwarden guarda as senhas num servidor terceiro, o que o torna mais seguro em relação a concorrência?

Não o torna. É sobre vantagens e desvantagens. Se você quer a conveniencia de ter um sistema que cuida da sincronização entre dispositivos e que cuida da segurança do arquivo, pode usar algo como o Bitwarden. A diferença é que o Lastpass já foi hackeado um zilhão de vezes, enquanto a Bitwarden nunca foi (pelo menos publicamente).

[joker_josue]

Não o torna. É sobre vantagens e desvantagens. Se você quer a conveniencia de ter um sistema que cuida da sincronização entre dispositivos e que cuida da segurança do arquivo, pode usar algo como o Bitwarden. A diferença é que o Lastpass já foi hackeado um zilhão de vezes, enquanto a Bitwarden nunca foi (pelo menos publicamente).

Entendo. É uma relação de confiança, com base num histórico sem problemas.

Eles já existem a quanto tempo? Desde de 2016? Quase 7 anos, sem problemas, muito bom.

[TryNinja]

Oficialmente saiu a versão 2.54 do KeePass:

https://keepass.info/news/n230603_2.54.html
https://keepass.info/download.html

Entre as mudanças, claro...

Improved process memory protection of secure edit controls.