Jestem wielkim zwolennikiem menadżerów haseł. Dla mnie są zbawienne, bo nikt normalny nie jest w stanie zapamiętać wszystkich haseł przy infrastrukturze na trzydzieści serwerów. Menadżery sprawiają się, że pozbywamy się kartek z hasłami przyklejonych pod klawiaturą (swoją drogą największa głupota, która mnie mocno razi). Istnieje jednak ryzyko, że menadżer, które używamy, może być dziurawy, a dane wypłyną, jak z wodami Gangesu.
Prawda jest taka, że gdy byłem mały, myślałem, że firmy produkujące oprogramowania dbające o bezpieczeństwo obowiązuje szczególna polityka, jeszcze chodzi o zabezpieczenia danych. Było to dawno, ja zdążyłem dorosnąć i przekonać się, że świat IT jest dużo bardziej brutalny, a aplikacje, zamiast chronić nasze dane, potrafią je wykradać. Dlatego może ta informacja nie zrobiła na mnie aż tak wielkiego wrażenia. Stawia ona jednak firmę, której dotyczy w niezbyt komfortowej sytuacji, ponieważ obnaża jej ciemną stronę.
Sprawa dotyczy firmy Trend Micro i ich programu antywirusowego. O problemie podatności na ataki poinformował sieć pan Tavid Ormandy, której jest ekspertem do spraw bezpieczeństwa. Jest on zaangażowany w projekt Google Zero. Kiedy Ormandy testował bezpieczeństwo Tren Micro, jego uwagę przykuł moduł, który nosi nazwę Password Manager. Odpowiada on za przechowywanie haseł wykorzystywanych w witrynach internetowych oraz oferuje ich szyfrowanie czy synchronizację pomiędzy urządzeniami. Tak się złożyło, że wyżej wzmiankowany specjalista zauważył coś wręcz niemożliwego. Okazało się, że możliwy jest dostęp do portów, które pozwalają na zdalne wywoływanie procedur za pomocą protokołu HTTP. Nie wyglądało to ciekawie. Możliwe było zdalne wykonanie komendy openUrlInDefaultBrowser, a następnie ShellExecute(). Każdy, kto zna temat, wie, czym to może grozić. Dla tych, co się nie znają, napiszę pokrótce: niezabezpieczone porty umożliwiały niestety przejęcie całkowitej kontroli nad komputerem użytkownika korzystającego z tej aplikacji. Nie jest to jednak koniec koszmaru. Możliwe było też wymazanie danych z dysku. Spokojnie, to jednak nie koniec doniesień. Jakby komuś ciekawostek było mało, to komenda uruchomiona zdalnie z witryny pozwalała na dostęp do tego, co użytkownik trzymał w aplikacji. Jak sami możecie się domyślić, ten kto chciał, mógł wykraść loginy i hasła do konkretnych usług.
Oczywiście, firma Trend Micro opublikowała już łątkę, która blokuje wykonanie ShellExecute(). Są też łatki na inne niedociągnięcia. Niestety, ale jednak fama poszła i czarny pijar pozostanie. Nie od dzisiaj mówiłem “KeePass rulez!” i jednak pozostanę przy tym stwierdzeniu. Ten menadżer haseł jeszcze nigdy mnie nie zawiódł i nie sprawia takich problemów, jak sprawia konkurencja. Nastroje w sieci nie starają się jednak hejtował Tren Micro, co jest bardzo dziwne. Wiele osób twierdzi, że Google znów szuka błędów w cudzym oprogramowaniu, zamiast zająć się własnym podwórkiem. Prawda jest taka, że niestety najlepiej szuka się błędów w niesowim programie, bo patrzy się na niego bardziej obiektywnie.