Hejto.pl
Motyw strony
Dodaj post

Można klonować klucze Yubikey 5. Podatne są klucze z firmware < 5.7. Wymagany fizyczny dostęp.

Mocarz

w Cybersecurity

25piorunów

Piekło zamarzło, Yubikey’e zhackowane – tak moglibyśmy opisać wczorajszy komunikat wydany przez Yubico, czyli producenta najpopularniejszych na świecie fizycznych kluczy bezpieczeństwa. Moglibyśmy, ale pomimo że jest w tym nieco prawdy, to nie ma powodu do paniki, przynajmniej dla większości użytkowników popularnych yubikey’ów. Dlaczego nie ma? Zacznijmy od teorii...

Czyli ciekawa podatność kluczy Yubikey.

Komentarze (12)

Gruba ryba0piorunów

Uzywam, nie narzekam. Nie jest to tanie ale zabezpieczenie przed phishingiem (zwłaszcza konta bankowego - ing wspiera klucze sprzętowe) jest tego warte.

Fanatyk5piorunów

Nie używam więc jestem chroniony 😉

Fanatyk0piorunów

Ciekawe jaką narrację i obronę przyjmie NIEBEZPIECZNIK, który ciągle zachwala Yubikajejemadafaka. ( ͡~ ͜ʖ ͡°)

Osobistość3piorunów

@fadeimageone nigdy się nie dało kluczy aktualizować właśnie po to aby ograniczyć ryzyka.
Nawet gdy hardware będzie za grosze to musisz zlokalizować osobę i lecieć jej to zajebać a to raczej nie jest opłacalne.

Fanatyk3piorunów

@Anty_Anty z tego co wyczytałem to:

* firmware nie da się zaktualizować na wyprodukowanych już kluczach
* ryzyko jest marginalne przejęcia danych z klucza (dostęp fizyczny do klucza, potężny hardware za gruby hajs)
* YUBICO sam wydał łatkę FW, producent SoC nie ogarnął tematu.

Gruba ryba12piorunów

Ale zamiast kraść takiego YubiKey a następnie wyciągać z niego klucz prywatny, można YubiKey ukraść i go po prostu wykorzystać :smiley:

Atak chyba ciekawostką samą w sobie.

Mocarz2piorunów

@Marchew Tak raczej ciekawostka, atakowanie warstwy zabezpieczeń w postaci yubikey w porównaniu z innymi metodami umożliwiającymi dostęp do konta, to jak próba włamania się do otwartego domu poprzez wywiercenie dziury w ścianie.

Choć jest to możliwe w przypadku bardzo ważnego celu, lub mogą pojawić się oferty sprzedaży chwilowego dostępu do klucza będącego używanego w dużych firmach.

Autorytet0piorunów

@Marchew Owszem. Ja tu widzę zastosowanie dla np. szpiegów.

Gruba ryba0piorunów

@dolitd Więc trzeba ukraść klucz oraz poznać dane pierwszego składnika.
To musiało by zostać wymierzone w ściśle określoną osobę. Prawdopodobieństwo wymierzenia takiego "ataku" w przeciętnego kowalskiego jest zbliżone do zera.

Autorytet1piorunów

@Marchew @dildo-vaggins Tu raczej chodzi o to, żeby ukraść, ale niepostrzeżenie. Ofiara nadal ma swój klucz i niczego nie podejrzewa.

Gruba ryba0piorunów

@Marchew sama kradzież też nie powinna wiele dać bo w przypadku kradzieży powinniśmy odpiąć klucz od konta, a konto powinno mieć minimum dwa klucze.