(0)
Artikel
bewerten
(100% positiv)
(5)

Schutz vor KeeFarce - KeePass Sicherheit erhöhen

ist KeePass noch sicher?

Inhalt dieses Artikels:

    Laut den allgemeinen Meinungen im Internet, ist die Verschlüsselung des Passwortmanagers KeePass sicher. Unterstrichen wird dies durch den Open Source- Ansatz: Der Quellcode ist für jedermann ersichtlich und dementsprechend geprüft. Die Sicherheit hängt vielmehr von der Verwendung ab. 

    siehe auch  KeePass in der Praxis 

    Sicherer Umgang

    Damit die Passwörter nicht in falsche Hände geraten, sollte natürlich ein sicheres Masterpasswort verwendet werden, ein sicherer Computer und vertrauenswürdige Plugins. Gesamt gesehen ist KeePass so sicher, wie das Gerät auf dem es läuft. Wird die KeePass Datenbank auf mehreren Geräten verwendet, gilt dies natürlich für alle. 

    Zum Beispiel gibt es spezielle Malware für KeePass, die eine geöffnete KeePass Datenbank ausliest, siehe folgende Diskussion: sourceforge.net/p/keepass/discussion/329220/thread/8e511d96/ 

    KeeFarce

    Das angesprochen Tool KeeFarce, kann zum Beispiel eine geöffnete KeePassdatenbank in eine nicht verschlüsselte csv Datei exportiert. Möglich ist dies durch DLL Injection. Das Tool bringt Keepass.exe dazu einen Export aller Benutzernamen und Passwörter in eine Textdatei zu erstellen. 

    KeeFarce funktioniert in Windows unter Verwendung der KeePass Versionen 2.28, 2.29 oder 2.30.

    Wie kann ich KeePass schützen?

    KeeFarce funktioniert mit der 2.x Version (inkl. 2.31) von KeePass, die Version 1.x ist derzeit nicht betroffen. Laut Hersteller wäre ein ähnliches Tool aber auch für die Version 1.x denkbar. Aufgrund der eingeschränkten Funktionen ist der Umstieg auf die Version 1.x aus meiner Sicht nicht zu empfehlen. Entsprechende Sicherheitseinstellungen, wie zum Beispiel das Deaktivieren des "Export" in den Sicherheitsrichtlinien von KeePass, schützen nicht vor KeeFarce, da das Tool auf einer anderen Ebene ansetzt.

    KeePass.exe umbenennen

    Da KeeFarce nach einer KeePass.exe sucht, bringt das Umbenennen der Keepass.exe einen kleinen Sicherheitsgewinn. 

    Zusätzlich muss die .config Datei auf den neuen Namen der .exe Datei umbenannt werden.

    Natürlich könnte eine angepasste KeeFarce-Version die .exe auch auf einem anderen Weg lokalisieren, daher hilft das Umbenennen nur bei der aktuellen KeeFarce Version.

    Als Administrator ausführen

    KeeFarce benötigt entsprechende Rechte um auf den Speicherbereich von Keepass zuzugreifen. KeeFarce muss dazu mit demselben Benutzer gestartet werden, mit dem auch die Datenbank geöffnet ist. Eine Ausnahme dazu ist System, siehe dazu: start als Local System - mehr als Administratorrechte.

    Theoretisch könnte die Angriffsfläche also ein ganz klein wenig minimiert werden, indem Keepass mit einem anderen Benutzerkonto oder mit der Option "Als Administrator ausführen" gestartet wird. 

    Die Benutzerkontensteuerung kann dabei auch dauerhaft in den Optionen der KeePass.exe eingestellt werden:

    Wenn KeeFarce dann nicht als "Administrator" und einer Bestätigung der Benutzerkontensteuerung ausgeführt wird, fehlen die entsprechenden Rechte für den Zugriff auf den Speicherbereich:

    Programme die mittels URL aus KeePass gestartet werden, werden mit dieser Variante auch als Administrator gestartet, der Sicherheitsgewinn bleibt dann auf der Strecke. 

    Außerdem bekommt KeePass dadurch mehr Rechte als notwendig, es muss also sichergestellt werden, dass KeePass selbst und die verwendeten Plugins vertrauenswürdig sind. 

    Ursprünglich hab ich KeeFarce unter Ausführung von KeePass als ein anderer Benutzer getestet. Die Idee KeePass einfach als Administrator zu starten, hab ich im Blog von SOLARIZ entdeckt: solariz.de/de/keefarce-keepass-gefahr.htm

    Das ausführen als Administrator hilft dennoch nur teilweise. Die Lösung ist vielmehr den PC frei von Schadsoftware zu halten.

    Schutz vor Malware

    An dieser Stelle sei aber erwähnt, dass der Start eines Programmes wie KeeFarce, den Zugriff auf den Computer voraussetzt.

    Solange also kein Fremder Zugriff auf den Computer hat, nützt das Programm nichts. Hätte ein Fremder Zugriff auf den Computer, und Keepass ist gerade geöffnet, sind die Passwörter nicht geschützt. KeePass kann sich also, wie auch alle anderen Programme, nicht selbst vor Malware schützen: Das ist Aufgabe des Virenscanners. Beschrieben wird dies auch im ersten der "Zehn unveränderlichen Gesetze zur Sicherheit": https://technet.microsoft.com/en-us/library/hh278941.aspx

     

    Zitat:

    "If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore."

     

    Übersetzt:

    "Wenn es ein Bösewicht schafft, Zugriff auf deinen Computer zu erlangen, dann ist es nicht mehr nur dein Computer." 

     

    siehe auch: keepass.info/help/base/security.html#secspecattacks

     

    Schreibschutz im KeePass Ordner

    Damit KeePass selbst nicht so einfach manipuliert werden kann, sollte der Ordner mit den Programmfiles schreibgeschützt werden, dazu Rechtsklick auf den Programmordner, meist: C:\Programme (x86)\KeePass Password Safe 2 und auf "Eigenschaften"

    "Sicherheit", "Erweitert" und Vererbung deaktivieren 

    und dem verwendeten Windows Benutzer nur  "Lese-" und "Ausführen" Berechtigung geben:

    Fazit

    Wichtig ist also nur vertrauenswürdige Programme zu starten, einen funktionierende Virenscanner zu verwenden und das Einspielen aktueller Sicherheitsupdates. Der Verzicht auf Java oder Flash könnte im Fall der Fälle auch von Vorteil sein.  Vor der aktuellen KeeFarce Version schützt das einfache Umbenennen der KeePass.exe. Der Start von KeePass als "Administrator" hilft ein wenig, da die Malware für den Zugriff dann auch entsprechende Rechte benötigt und diese erst nach der Bestätigung der Benutzerkontensteuerung bekommen würde. 

    letzte Änderung dieses Artikels: 10.01.2016 10:24



    Feedback: