В июле 2016 года мы сообщали, что популярный менеджер паролей KeePass пройдет аудит безопасности в рамках программы мониторинга открытого программного обеспечения EU-FOSSA при поддержке Еврокомиссии.
Полезные ссылки
EU-FOSSA - пилотный проект предназначен для повышения уровня доверия к программам с открытым исходным кодом за счет анализа безопасности таких приложений.
В рамках проекта был создан перечень программ с открытым исходным кодом, которыми пользуются члены Европейской Комиссии, были опубликованы исследования безопасности 14 открытых сообществ и был проведен аудит безопасности двух популярных приложений.
KeePass - менеджер паролей для Windows и Linux, который использует локальную базу данных для хранения паролей.
Программа поставляется с большим списком возможностей, которые можно расширить еще сильнее с помощью плагинов. Пользователь может активировать глобальные горячие клавиши и улучшить меры безопасности KeePass в настройках приложения.
Аудит безопасности KeePass
Команда специалистов по информационной безопасности провела тщательный анализ кода KeePass 1.31, но не актуальной версии KeePass 2.34. Хотя в отчетах KeePass 2.34 не упоминается, логично предположить, что продукт проявил бы себя при аудите также, как и предшественник.
KeePass 1.x - ранняя версия менеджера паролей, лишенная многих функций KeePass 2.x . Для ее работы не требуется Microsoft .NET. KeePass 1.x не поддерживает привязку KeePass к учетной записи Windows и одноразовые пароли. Подробная таблица сравнения доступна по ссылке.
Эксперты провели анализ 84622 строк исходного кода и не нашли критических уязвимостей и проблем с высоким риском безопасности. Тем не менее, было выявлено пять проблем со средним риском, три проблемы с низким риском и 6 небольших ошибок в информационных целях.
“Критические и опасные уязвимости с высоким риском не были обнаружены. Среди найденных проблем - 5 ошибок со средним риском и 3 ошибки с низким риском. Оставшиеся 6 ошибок носят информационный характер.”
Обнаруженные исследователями проблемы представлены в подробном отчете, который можно загрузить на сайте проекта EU-FOSSA. Там же можно ознакомиться с результатами аудита безопасности сервера Apache.
Заключение
KeePass - качественный и безопасный менеджер паролей для Windows. Результаты аудита исходного кода подтверждают эти качества продукта, ведь критические уязвимости в программе не обнаружены.
По материалам gHacks
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах