Som Computerworld skrev tidligere på ugen, har en trojansk hest ved navn Citadel haft held til at kompromittere millioner af computere rundt omkring i verden.
Nu udnyttes malwaren til at opsnappe ofrenes master-adgangskode til de password managers, som stadig flere anvender til at holde styr på adgangkoder til forskellige tjenester.
Der kan dermed potentielt være dømt adgangskoder ad libitum for de it-kriminelle, hvis de har held til komme ind på en sådan app.
"Det er et ret alvorligt problem, for hvad er det, vi gør, når vi ved, at vores kære brugere og borgere ikke kan håndtere at huske deres mange adgangskoder? Det er at henvise til passwords managers," lyder reaktionen fra Shehzad Ahmad, chef for DKCert.
"Hvad gør vi så, når vi står i en situation som denne, hvor der rent faktisk er et hul i sikkerheden i password manageren? Så er der problemer," forklarer han.
Sådan kan du mindske risikoen
Selvom du måske ikke har en maskine, der er ramt af Citadel-trojaneren, er din password manager stadig et oplagt angrebsmål for de kriminelle, og derfor er det heller ikke første eller sidste gang, der er problemer med denne type løsninger.
Nu er det store spørgsmål så, om man får et højere eller lavere sikkerhedsniveau ved at anvende en password manager?
Det er ikke noget enkelt spørgsmål at besvare, for det afhænger både af den konkrete løsning, man anvender, og om alternativet er, at man bruger adgangskoder som "12345" eller skriver koderne ned på et stykke papir, som man klistrer fast til computerskærmen.
Shehzad Ahmad mener ikke, at man skal droppe password manageren, men han forklarer, at man bør tage sine forholdsregler i tilfælde af, at software-løsningen bliver ramt af et angreb.
"Jeg anbefaler, at man bruger password managers, men gør sit bedste for ikke at skrive hele passwordet ud i password manageren."
"Man bruger løsningen og har selvfølgelig en så stærk som mulig adgangskode som master-password til det her program. Og hvis det så kan lade sig gøre, skriver man sine adgangskoder ind, så man kun har en lille del af det password, som man kun selv kender."
"Man kan så huske det ved en en eller anden teknik, man kun selv kender. Men det skal ikke være så avanceret, at man ikke kan huske adgangskoden," tilføjer Shehzad Ahmad fra DKCert..
Har du lavet din research?
Tror du, at folk bruger det på den måde, som du foreslår her?
"Nej, det er jeg bange for, at de ikke gør. Jeg tror, at de stoler blindt på de her password managers."
Shehzad Ahmad anbefaler, at man researcher på password manageren, før man lægger alle adgangskoderne ind i den.
"Når man går ud og bruger et værktøj som en password manager, er det selvfølgelig vigtigt at tjekke baggrunden for værktøjet. Er det kendt? Har der været sårbarheder eller sikkerhedsproblemer med det her værktøj?"
Shehzad Ahmad forklarer, at der ofte findes både en billig eller gratis version af password manageren og så en professionel version.
"Og det synes jeg, at man skal bruge penge på. Og som udgangspunkt skal man så gøre sit bedste for ikke at skrive hele adgangskoden i de her password managers," siger han til Computerworld.
Her husker de dine adgangskoder for dig
Password managers er dog kun én form for hjælp til de fortvivlede brugere, der har svært ved at huske de stadig flere adgangskoder, der giver adgang til alt fra netbanken til Facebook, Gmail, Netflix og DBA.dk
Blandt andet tilbyder stadig flere browsere og internettjenester at huske dine adgangskoder for dig.
Apple har eksempelvis iCloud Keychain, der husker og synkroniserer alt fra adgangskoder til WiFi-login til kreditkort-informationer på tværs af brugernes forskellige Apple-apparater.
Om den type værktøjer siger Shehzad Ahmad fra DKCert:
"Apple er kun en af mange, det tilbyder den form for funktion, så det må være op til den enkelte at foretage sin egen lille risikovurdering. Men jeg vil generelt sige, at du skal give dine passwords til så få som mulige, så du bevarer overblikket."
"Sikkerheden er jo fin, indtil den bliver brudt. Vi så jo problemet med iCloud og de her nøgenbilleder af kendisser, der blev lagt ud, som efterfølgende får Apple til at tilbyde to-faktor-login."
"Lige præcis to-faktor login er noget, man simpelthen S-K-A-L aktivere på alle de hjemmesider og tjenester, der giver mulighed for det," lyder den klare anbefaling fra sikkerhedsrådgiveren.
"Hvis du så mister sit password til en eller anden trojaner eller en hacker, så er du stadig beskyttet, fordi du selv sidder med din mobiltelefon," forklarer Shehzad Ahmad.
Sådan jagter trojaneren dine adgangskoder
Trojaneren Citadel, der i øjeblikket anvendes af de kriminelle til at jagte ofrenes adgangskoder, er allerede at finde på millioner af maskiner, skrev oplyste IBM's sikkerhedsfirma Trusteer tidligere på ugen.
"Da millioner af maskiner allerede er inficerede med Citadel, er det let for de krimimelle at udnytte denne malware på nye måder. Det eneste, de skal gøre, er at tilføje en ny konfigurations-fil til eksisterende maskiner og vente på, at de inficerede maskiner har adgang til målene."
IBM's forskere har nu spottet en ny fil, der netop konfigurerer Citadel til at gå efter password managers og andre brugervaliderings-løsninger.
"Den fortæller, at malwaren skal begynde at keylogge (opfange brugerens indtastning, red.), når nogle bestemte processer kører," lyder oplysningen fra IBM.
IBM har også frigivet den konkrete kode, der nu afvikles via Citadel-trojaneren. Koden afslører, at de processer, det drejer sig om, er:
- Personal.exe
- PWsafe.exe
- KeyPass.exe
IBM oplyser blandt andet, at PWsafe.exe hører til Password Safe - en gratis, open source password manager - ligesom også KeyPass.exe relaterer sig en en af de gratis løsninger, der findes på markedet.
"Password management og autentifikations-programmer er vigtige løsninger, der hjælper med sikker adgang til applikationer og web-tjenester. Men det er vigtigt at forstå, at de løsninger kan kompromitteres af malware," skriver IBM.
Du kan læse mere om Citadel og de nye angrebsmetoder, som IBM har opdaget, her.
Læs også:
Væmmelig trojaner på spil: Går direkte efter alle dine adgangskoder
