Recentemente ho visto questo nuovo attacco su KeePass (vedi qui e il codice sorgente ). Non so come usare questo attacco (sono un principiante di queste cose), quindi voglio sapere:
Capisco che una domanda possa essere risolta da una risposta all'altra, ma qualsiasi aiuto nella comprensione di ciò sarebbe apprezzato.
Lo sfondo è che non importa quanto il programmatore possa essere consapevole della sicurezza, se la piattaforma ha un malvagio admin (o processi malvagi con privilegi di amministratore) ci si deve aspettare una cosa brutta.
Che cosa significa per un utente?
Come indicato nella pagina Github che hai collegato:
Allows for the extraction of KeePass 2.X key material from memory, as well as the backdooring and enumeration of the KeePass trigger system.
Verso la fine della pagina:
The KeeThief.ps1 PowerShell file contains Get-KeePassDatabaseKey, which loads/executes the KeeTheft assembly in memory to extract KeePass material from an KeePass.exe process with an open database.
The KeePassConfig.ps1 file contains method to enumerate KeePass config files on a system (Find-KeePassconfig), retrieve the set triggers for a KeePass.config.xml file (Get-KeePassConfigTrigger), add malicious KeePass triggers (Add-KeePassConfigTrigger), and remove KeePass triggers (Remove-KeePassConfigTrigger).
Questa idea di prendere la password di un database KeyPass non è nuova. Questa utility si adatta allo scopo di rimuovere la protezione attorno al processo attivo quando è in modalità "sbloccata" (comunemente in attesa prima del timeout o in uso attivo).
Leggi altre domande sui tag passwords account-security keepass