"Araştırmamız, tehdit aktörünün bir geliştiricinin güvenliği ihlal edilmiş uç noktasını kullanarak Geliştirme ortamına erişim sağladığını belirledi. İlk uç noktanın ele geçirilmesi için kullanılan yöntem kesin olmamakla birlikte, tehdit aktörü, geliştirici çok faktörlü kimlik doğrulama kullanarak başarılı bir şekilde kimlik doğrulaması yaptıktan sonra geliştiricinin kimliğine bürünmek için kalıcı erişimini kullanmıştır.
Tehdit aktörü Geliştirme ortamına erişebilmesine rağmen, sistem tasarımımız ve kontrollerimiz tehdit aktörünün herhangi bir müşteri verisine veya şifrelenmiş şifre kasalarına erişmesini engelledi."[1] (Deepl ile çevirdim)
Şimdi sorun şu. Elbette saldırganlar şifrelenmiş verileri pratik bir zamanda kıramazlar. Ama geliştirici ortamına erişebilirlerse kaynak kodlarını değiştirip kullanıcının şifre girmesini bekleyip şifreyi sessizce çalabilirler. Ki zaten saldırgan attığım alıntıda olayı anlatan LastPass'ın CEO'sunun dediği gibi geliştirici ortamına erişmiş.
Ama attığım alıntının devamı da var.
"İlk olarak, LastPass Geliştirme ortamı fiziksel olarak Üretim ortamımızdan ayrıdır ve Üretim ortamımızla doğrudan bağlantısı yoktur. İkinci olarak, Geliştirme ortamı herhangi bir müşteri verisi veya şifrelenmiş kasa içermez. Üçüncü olarak, LastPass müşterilerimizin kasalarının ana parolalarına erişemez - ana parola olmadan, Sıfır Bilgi güvenlik modelimizin bir parçası olarak kasa sahibi dışında herhangi birinin kasa verilerinin şifresini çözmesi mümkün değildir.
Kod bütünlüğünü doğrulamak için kaynak kodumuzun ve üretim yapılarımızın analizini gerçekleştirdik ve kod zehirleme veya kötü amaçlı kod ekleme girişimlerine dair hiçbir kanıt görmediğimizi teyit ettik. Geliştiriciler, kaynak kodunu Geliştirme ortamından Üretime aktarma olanağına sahip değildir. Bu yetenek ayrı bir Derleme Yayınlama ekibiyle sınırlıdır ve ancak titiz kod inceleme, test ve doğrulama süreçlerinin tamamlanmasından sonra gerçekleşebilir."
Ana parola olmadan şifrelenmiş veriler elbette pratik bir zamanda çözülemez. Burada yalan söylemiyorlar. Ve dedikleri gibi kaynak koduna dair bir değişiklik yapılmamışsa herhangi bir sorun olmaması gerekiyor müşterilerin veri güvenliğine dair. Alıntının devamı ise kısacası bir siber güvenlik firmasıyla ortaklık kurulması ve güvenlik önlemlerinin arttırılması şeklinde.
Haliyle görünüşe göre olay sadece LastPass'ın güven kaybetmesine ve saldırganların kaynak kodlarını çalmasına neden oldu. Tabi LastPass CEO'sunun olayı doğru anlattığını varsayıyorum.
Ha yok içi rahat etmeyen varsa açık kaynak kodlu bir program olan KeePass ile verilerini şifreleyip flaşta yahut bulut sunucusunda tutabilir. Bulut sunucusu hacklense bile inanın bana saldırganlar eğer verileriniz modern bir şifrelemeyle şifrelenmişse bir şey yapamıyorlar. En tehlikeli sorun kullandığınız programın kaynak kodlarının zararlı kod barındırıp barındırmıyor olması. Zaten bu yüzden açık kaynak kod alternatiflere de yönelimler defalarca kez oldu.
Not: Pratik bir zamandan kastım modern şifrelemeler kırılamaz değillerdir. Saldırganın kırması için çok fazla ihtimal denemesi haliyle çok fazla zaman ve enerji kaybına katlanması gerekir. Ki bu pratikte mümkün değil. Simetrik şifrelemeler(AES-256, ChaCha20 vs.) kuantum bilgisayarlara karşı bile güvenli görünüyor.[2]
[1]:
Notice of Recent Security Incident - The LastPass Blog
[2]:
Is AES-256 a post-quantum secure cipher or not?