Atcerēties visas paroles visiem tiešsaistes kontiem ir sarežģīti, un tāpēc pastāv tādi paroļu pārvaldnieki kā LastPass, Dashlane un 1Password. Bet šīs milzīgās šifrētās lietotājvārdu un paroļu datu bāzes ir galvenais noziedznieku mērķis, un daudzas no programmām ir cietušas no pārkāpumiem.
Šonedēļ bezmaksas paroļu pārvaldnieks KeePass savā vietnē paziņoja, ka pastāv ievainojamība savā programmatūrā un hakeri varēja nosūtīt lietotājiem viltus programmatūras atjauninājumus, kas satur ļaunprātīgu programmatūru, uzdodoties par jauno KeePass programmatūru. KeePass drošās HTTPS versijas vietā izmanto nešifrētu hiperteksta pārsūtīšanas protokolu (HTTP). (Ja nezināt, kas ir HTTP un HTTPS, apskatiet šīs lapas URL. HTTPS ir protokols, kurā tiek glabāti dati, kas nosūtīti starp interneta pārlūku un vietnēm. HTTPS ir drošs un autentificē katru vietni un serveri, lai izveidotu pārliecināts, ka ļaunprātīga vietne netiek uzskatīta par likumīgu.)
Drošības pētnieks Florians Bogners stāsta LifeHacker Tā kā programmatūras atjaunināšanai KeePass izmanto HTTP, krāpnieki var izveidot viltotu atjauninājumu, kas papildināts ar ļaunprātīgu programmatūru.
KeePass savā vietnē paskaidro:
Informācijas par versiju fails tiek lejupielādēts no vietnes KeePass, izmantojot HTTP. Tādējādi cilvēks pa vidu (kāds, kurš var pārtvert jūsu savienojumu ar KeePass vietni) varēja atgriezt nepareizu informācijas failu par versiju, iespējams, liekot KeePass parādīt paziņojumu, ka ir pieejama jauna KeePass versija.
KeePass saka, ka tikai tāpēc, ka hakeris jums nosūta viltotu atjauninājumu ar ļaunprātīgu programmatūru, tas nenozīmē, ka uzbrukums ir kustībā, jo KeePass neuzņem automātiskus atjauninājumus. KeePass lietotājiem ir manuāli jāielādē jauna versija. KeePass saka, ka lietotājiem jāpārbauda ciparparaksts un, ja tajā ir ļaunprātīga programmatūra, to nedrīkst lejupielādēt.
cik garš ir niks jaunais
Lai iegūtu papildinformāciju par digitālā paraksta pārbaudi, skatieties Bognera video zemāk:
