LastPass kwam op 1 maart 2023 met een nieuwe officiële reactie. Dit gaat nog altijd om de inbraak van vorig jaar. Dit artikel is dan ook een vervolg op een eerder artikel waarin de gebeurtenissen rondom de LastPass-inbraak al eens uiteen gezet zijn tot aan dat moment.
Het goede nieuws
In het blog van LastPass is een nieuwe reactie verschenen. Gebruikers van LastPass zijn gisteren op dit blogbericht gewezen via e-mail. Het lijkt nog eens samen te vatten wat er tot op heden bekend is. Ook zet het uiteen wat LastPass sindsdien veranderd heeft. Tot slot geeft het ook nog een paar tips aan de gebruikers van de software.
Deze nieuwe inhoudelijke communicatie over het incident is prettig. Zo geeft LastPass bijvoorbeeld aan dat er tóch een connectie tussen de eerste en tweede inbraak is gevonden. Iets dat beveiligingsexperts al zeer aannemelijk achtte maar tot op heden nog niet bewezen was. Ook lijkt LastPass de opsomming van wat er buit gemaakt is, en hoe dat dit buit gemaakt is, nog iets uitgebreider te hebben verwoord.
Met eenzelfde open houding geeft LastPass aan welke stappen er inmiddels intern ondernomen zijn om de beveiliging verder aan te scherpen. En ook wat de gebruikers in de toekomst van ze mogen verwachten. Als laatste geeft LastPass advies aan haar gebruikers over de beste weg voorwaarts vanaf hier.
Het minder goede nieuws
Voorop gesteld is openheid en meer informatie altijd welkom. Toch zijn er een paar opmerkelijkheden tussen de regels door te lezen, zo lijkt.
Zo is er bijvoorbeeld geen 'threat-actor' (dader) bekend en tast men ook nog in het duister over het motief. Dit ondanks de betrokkenheid en inspanningen van LastPass zelf en haar leveranciers, maar ook diverse partijen uit de hoek van de informatiebeveiliging, forensische opsporing en wetshandhaving. Het vinden van de dader(s) is dan ook extreem lastig als het gaat om moderne cybercriminaliteit. Wellicht krijgt dit ooit nog een vervolg.
Opvallend is toch wat LastPass globaal uiteen heeft gezet betreft de veranderingen die er intern zijn doorgevoerd. Hieruit komt een beeld naar voren over het verleden dat niet helemaal aan lijkt te sluiten op hoe de organisatie zich eerder presenteerde, ondanks het zero-knowledge model.
Maar het lijkt ook een beeld te geven dat überhaupt misschien niet zo goed te rijmen is met een speler in deze markt. Zo worden er nu stappen ondernomen waarvan mogelijk te verwachten is dat deze al genomen waren. Zeker omdat de core-business van LastPass informatiebeveiliging betreft voor meer dan 25 miljoen gebruikers.
Het minst goede nieuws is echter wat er helemaal niet besproken wordt. En dit komt nog eens pijnlijk naar voren uit de lijst van aanbevolen acties voor gebruikers. Zo stelt LastPass de volgende vragen in een dieper gelegen artikel om tot een advies voor de gebruiker te komen:
- Is uw hoofdwachtwoord sterk en uniek?
- Heeft uw hoofdwachtwoord 600.000 hash iteraties of meer?
- Zijn de wachtwoorden in uw kluis allemaal sterk en uniek?
- Gebruikt u multifactor-authenticatie?
Iteraties
De eerste vraag over het hoofdwachtwoord spreekt voor zich en is logisch. De tweede vraag is echter opmerkelijk. Deze vraag zullen doorsnee gebruikers niet kunnen beantwoorden. LastPass heeft hier eerder ook nooit over gesproken. Het is een diep verstopte exotische instelling die enkel beveiligingsexperts direct iets zal zeggen.
Bij het versleutelen van digitale gegevens worden deze meerdere malen versleuteld. Elke 'ronde' heet een iteratie in vaktermen. Hoe meer 'rondes' hoe lastiger het te ontsleutelen is. Omdat computers elke dag krachtiger worden moet het aantal iteraties om de zoveel tijd verhoogd worden.
OWASP is een wereldwijd erkende gemeenschap van beveiligingsexperts. LastPass geeft aan dat OWASP sinds januari 2023 het advies geeft om een iteratieaantal van 600.000 te gebruiken. Tevens legt LastPass uit hoe een gebruiker dit aantal iteraties voor de kluis kan instellen. Wat tijdens die stappen onaangenaam duidelijk wordt is dat LastPass tot nu toe standaard 5.000 iteraties gebruikt voor een kluis. Dat is 99,17% minder iteraties dan de huidige aanbeveling. Een enorm verschil in de weerbaarheid van de versleutelde gegevens dus.
LastPass geeft aan de iteraties voor iedere gebruiker te gaan ophogen naar 600.000 in de komende maanden, waar dat nog niet gebeurt is.
Multifactor-authenticatie
De vraag of er gebruik gemaakt wordt van multifactor-authenticatie is terecht. Het is altijd aan te raden om dit te gebruiken. Zo moet er via een tweede kanaal, zoals via een smartphone app, bevestigd worden bij elke inlogpoging.
Wat LastPass echter niet verteld is dat dit totaal niet helpt tegen een aanval zoals in dit geval plaatsgevonden heeft. De kluisbestanden zijn al buitgemaakt. Deels versleuteld, deels niet eens. De dader(s) kunnen nu alle tijd nemen om eindeloos hoofdwachtwoorden te gokken, om deze zo te proberen te ontsleutelen. En deze kluizen hebben standaard slechts 5.000 iteraties. Want de aankomende wijziging hiervan telt natuurlijk niet voor de kluizen die al gestolen zijn, en in die vorm nu in handen zijn van de dader(s).
Ook multifactor-authenticatie helpt hier niet. Dit helpt alleen tegen het verkrijgen van toegang tot de kluis via de reguliere dagelijkse werkwijze, de spreekwoordelijke voordeur. En dus niet als de kluisbestanden via de achterdeur gestolen worden, zoals nu het geval is gebleken.
Het alternatief
Hoewel het een dapper persbericht zou zijn, had het wellicht een betere optie geweest om voor volledige openheid en veiligheid te kiezen. In het voordeel van de bescherming van de gebruiker. Wat LastPass had kunnen doen, en had kunnen communiceren, is bijvoorbeeld iets in de trant van:
- Helaas heeft men ingebroken en zijn er via de achterdeur grotendeels-versleutelde kluisbestanden buitgemaakt
- We blijven in samenwerking met anderen zoeken naar de daders en hopen ook het motief nog op te kunnen helderen
- Beveiliging is en blijft een kat-en-muis-spel, waarbij we altijd streven naar een realistisch onmogelijke 100% veiligheid
- Intern hebben we veel toegevoegd en verbeterd om een incident als dit in de toekomst zo goed als mogelijk te voorkomen
- Extern zullen we bij elk gebruik van uw hoofdwachtwoord het iteratieaantal ophogen naar de dan geldende aanbeveling
- We raden u aan om al uw (kritieke) wachtwoorden direct te wijzigen voor uw best mogelijke verweer op dit moment
- Tevens is het sterk aanbevolen om ook bij al uw accounts elders multifactor-authenticatie in te schakelen
De spreekwoordelijke geest is immers al uit de fles.