Come trovare le password in memoria (gestori password)

8

Sto cercando di capire se i gestori di password come LastPass memorizzano le password in testo semplice (o valori hash che possono essere decifrati con la master-password) in memoria dopo che un utente accede al browser / estensione.

Sto cercando di trovare un lavoro accademico su questo argomento, ma è difficile da trovare. Qualcuno conosce qualche lavoro accademico su questo argomento?

Inoltre, come affrontare questa indagine? Ho intenzione di ottenere un dump di memoria completo del mio portatile o sarebbe meglio solo ottenere un dump della memoria dei processi come browser e LastPass?

    
posta Lmnoppy 14.04.2015 - 12:02
fonte

3 risposte

6

Prima di tutto ho utilizzato Google Academic per trovare articoli su LastPass, password manager e memoria forense. È stato l'ultimo che ho trovato più utile

Amari, K. (2009) Tecniche e strumenti per il recupero e l'analisi dei dati dalla memoria volatile.

Dopo aver acquisito una comprensione dell'estrazione della memoria e dell'analisi ho creato una macchina virtuale Windows 7 con 2 GB di RAM, alcuni browser hanno installato alcuni account su vari siti Web, installato LastPass, riavviato la macchina e catturato un dump della memoria usando DUMPIT (Cerca DUMP IT Memory dump). Ho analizzato il dump della memoria usando SIFT Workstation, nel terminale ho usato il comando

strings windows7.raw | grep “password” > output.txt 

Scambiare la "password" per gli indirizzi e-mail, le password conosciute degli account falsi, i nomi dei siti Web ecc. Non ho trovato nulla, quindi il ricordo era pulito.

Ho quindi effettuato l'accesso a LastPass e ho prelevato un altro dump della memoria utilizzando lo stesso strumento. L'analisi di questo file ha evidenziato una serie di valori hash, che hanno confermato ciò che LastPass dice sul suo sito - LastPass memorizza i valori hash crittografati in memoria.

Successivamente ho deciso di accedere a siti Web e account, ma non tutti li ho registrati solo un numero casuale e ho preso un altro dump della memoria. Usando gli stessi metodi di prima ho trovato password decifrate, indirizzo email e altre informazioni questo significa che quando visiti un sito Web di cui LastPass ha una password, lo decodifica e memorizza nella memoria affinché il tuo browser lo usi. Dovrei anche dichiarare che anche se non usi LastPass e invece usi un browser (s) incorporato in gestori di password, otterrai gli stessi risultati.

Quindi potresti dire che avevo bisogno di conoscere la password, in primo luogo, non cercavo semplicemente "pass" o nel caso dei siti web di Google "Passwd" nel dump della memoria fornivano le password.

Se lo faccio di nuovo farei tutti gli stessi passaggi sopra tuttavia, vorrei chiudere l'account di Windows e in un altro account per vedere se riesco a ottenere le password da quel dump della memoria, ho il sospetto che significherebbe che tu possa accedere a un computer pubblico e ottenere le password degli utenti precedenti da lì dump della memoria.

Direi che LastPass è sicuro finché non si accede a un sito Web, è molto improbabile che qualcuno sia in grado di decifrare i valori dell'hash. Alla fine non utilizzare LastPass o qualsiasi altra password su un computer pubblico.

    
risposta data 19.07.2015 - 14:02
fonte
2

Forse un modo semplice per procedere con tale ricerca sarebbe quello di utilizzare alcuni degli strumenti normalmente dedicati alla truffa di gioco analizzando e modificando direttamente il contenuto della memoria del software di destinazione. Cerca elementi come " memoria di gioco cheat " sul tuo motore di ricerca preferito e dovresti trovarne diversi.

I programmi a cui mi riferisco prendono un'istantanea della memoria virtuale dell'applicazione di destinazione e quindi ti consentono di:

  • Cerca un valore specifico (incluso il valore del testo in alcuni casi, che dovrebbe sicuramente interessarti, dato che ti permetterebbe di cercare la tua password),
  • Confronta le istantanee acquisite in momenti diversi per analizzare le modifiche.
risposta data 15.04.2015 - 10:43
fonte
2

La seguente ricerca su Google produce un certo numero di articoli accademici.

inurl:\.edu\/ filetype:pdf password manager

Come test potresti eseguire bulk_extractor su un'immagine di memoria alla ricerca di una combinazione nome utente / password nota.

    
risposta data 13.06.2015 - 23:55
fonte

Leggi altre domande sui tag