Problemi di sicurezza per KeePass 2 (CVE-2016-5119)

| |

Aggiornamento 11/6/16: come previsto, ecco spuntare fuori la nuova versione di KeePass, che va a mettere a posto la falla descritta nell’articolo:

KeePass is a free open source password manager, which helps you to manage your passwords in a secure way. You can put all your passwords in one database, which is locked with one master password or a key file. So you only have to remember one single master password or select the key file to unlock the whole database. Databases are encrypted using a very secure encryption algorithm (AES/Rijndael).

KeePass 2.34 has been released and can be downloaded from:
http://ift.tt/K07IBs

Articolo originale

Tutto nasce da un attacco MitM (se non sai cos’è, fai clic qui) portato a termine e documentato da Florian Bogner. Protagonista non certo contento (né lui, né chi come me lo utilizza) è invece KeePass, popolare tool in grado di tenere al sicuro (?) le nostre coppie di credenziali (e non solo), disponibile per qualsiasi piattaforma (considerando i vari porting funzionanti, nda) ed estremamente diffuso come alternativa offline ai più giovani strumenti completamente disponibili e controllati / controllabili via web (LastPass è solo un esempio, tanto per dire).

Problemi di sicurezza per KeePass 2 (CVE-2016-5119) 1

L’articolo ha ormai qualche giorno (avrei voluto parlarne prima, in effetti) ma è ancora attuale, dato che la versione 2.34 di KeePass non è ancora stata rilasciata, lasciando così scoperto il canale che potrebbe essere sfruttato da un aggressore per proporti un pacchetto di aggiornamento falso, intercettando il tuo traffico all’interno di una rete che non è diretta verso internet (o che ospiti l’aggressore stesso sulla medesima):

CVE-2016-5119: MitM Attack against KeePass 2’s Update Check

Vista l’importanza e la delicatezza dell’argomento (si parla di accessi riservati ai siti web che sei solito frequentare, in fin dei conti) è sicuramente buona norma cercare di aggirare l’ostacolo e mitigare il possibile attacco. Per farlo ti basterà chiedere al tuo KeePass di non cercare aggiornamenti del programma all’avvio, cosa tutto sommato semplice considerando che esiste un’opzione dedicata all’interno di ToolsOptions Advanced → “Check for update at KeePass startup“:

Problemi di sicurezza per KeePass 2 (CVE-2016-5119)

Per evitare però di rimanere a bocca asciutta e perdere i prossimi aggiornamenti, hai due opzioni: seguire il feed RSS del sito web ufficiale, oppure aggiungere l’automatismo seguente al tuo account IFTTT (non usi IFTTT? Male!):

L’autore dell’applicazione (Dominik Reichl) ha già risposto ufficialmente a Bogner e agli utilizzatori tutti (qui la news per intero), ne estraggo solo un pezzo per farti notare che dalla prossima release, il problema verrà aggirato in modo “creativo“:

Resolution. In order to prevent a man in the middle from making KeePass display incorrect version information (even though this does not imply a successful attack, see above), the version information file is now digitally signed (using RSA-2048 and SHA-512). KeePass 2.34 and higher only accept such a digitally signed version information file. Furthermore, the version information file is now downloaded over HTTPS.

A noi non resta che attendere.

L'articolo potrebbe non essere aggiornato

Questo post è stato scritto più di 5 mesi fa, potrebbe non essere aggiornato. Per qualsiasi dubbio ti invito a lasciare un commento per chiedere ulteriori informazioni! :-)

Gioxx's Wall

Se hai correzioni o suggerimenti puoi lasciare un commento nell'apposita area qui di seguito o contattarmi privatamente.
Ti è piaciuto l'articolo? Offrimi un caffè! Satispay / PayPal / Buy Me A Coffee / Patreon

Condividi l'articolo con i tuoi contatti: