Atacar a KeePass

3

Hace poco vi este nuevo ataque en KeePass (consulte aquí y el código fuente ). No sé cómo usar este ataque (soy un novato en estas cosas), así que quiero saber:

  1. ¿Cómo se puede usar este ataque?
  2. ¿Qué significa esto para los usuarios de computadoras personales?

Entiendo que una pregunta puede responderse con una respuesta a la otra, pero cualquier ayuda para entender esto sería apreciada.

    
pregunta Ploni 26.04.2017 - 22:54
fuente

2 respuestas

4

El trasfondo es que no importa cuán consciente de la seguridad pueda tener el programador, si la plataforma tiene un administrador malvado (o procesos malvados con privilegios de administrador) es de esperar.

¿Qué significa para un usuario?

  • mantén las mejores reglas de seguridad para evitar que tu máquina se vea comprometida (si es que ya no es solo tuya ).
  • limita el tiempo en que la base de datos KeePass está en modo desbloqueado, dijo que la cerrará de manera diferente inmediatamente después de su uso.
respondido por el Serge Ballesta 27.04.2017 - 08:44
fuente
3

Como se menciona en la página de github que vinculaste:

  

Permite la extracción de material clave KeePass 2.X de la memoria, como   así como el backdooring y la enumeración del sistema de activación KeePass.

Hacia la parte inferior de la página:

  

El archivo KeeThief.ps1 de PowerShell contiene Get-KeePassDatabaseKey,   que carga / ejecuta el ensamblaje de KeeTheft en la memoria para extraer   Material KeePass de un proceso KeePass.exe con una base de datos abierta.

     

El archivo KeePassConfig.ps1 contiene un método para enumerar la configuración de KeePass   archivos en un sistema (Find-KeePassconfig), recupere los activadores establecidos para   un archivo KeePass.config.xml (Get-KeePassConfigTrigger), agregue un archivo malicioso   KeePass activa (Add-KeePassConfigTrigger), y elimina KeePass   desencadenantes (Remove-KeePassConfigTrigger).

Esta idea de tomar la contraseña de una base de datos KeyPass no es nueva. Esta utilidad se ajusta al propósito de eliminar la protección alrededor del proceso activo cuando está en un modo "desbloqueado" (por lo general, permanece inactivo antes del tiempo de espera, o en uso activo).

    
respondido por el dark_st3alth 27.04.2017 - 02:47
fuente

Lea otras preguntas en las etiquetas