Można klonować klucze Yubikey 5. Podatne są klucze z firmware < 5.7. Wymagany fizyczny dostęp.

Można klonować klucze Yubikey 5. Podatne są klucze z firmware < 5.7. Wymagany fizyczny dostęp.

Sekurak
Piekło zamarzło, Yubikey’e zhackowane – tak moglibyśmy opisać wczorajszy komunikat wydany przez Yubico, czyli producenta najpopularniejszych na świecie fizycznych kluczy bezpieczeństwa. Moglibyśmy, ale pomimo że jest w tym nieco prawdy, to nie ma powodu do paniki, przynajmniej dla większości użytkowników popularnych yubikey’ów. Dlaczego nie ma? Zacznijmy od teorii...

Czyli ciekawa podatność kluczy Yubikey.

#technologia #cyberbezpieczenstwo #cybersecurity #ciekawostki

Komentarze (12)

Marchew

Ale zamiast kraść takiego YubiKey a następnie wyciągać z niego klucz prywatny, można YubiKey ukraść i go po prostu wykorzystać


Atak chyba ciekawostką samą w sobie.

dildo-vaggins

@Marchew sama kradzież też nie powinna wiele dać bo w przypadku kradzieży powinniśmy odpiąć klucz od konta, a konto powinno mieć minimum dwa klucze.

dolitd

@Marchew @dildo-vaggins Tu raczej chodzi o to, żeby ukraść, ale niepostrzeżenie. Ofiara nadal ma swój klucz i niczego nie podejrzewa.

Marchew

@dolitd Więc trzeba ukraść klucz oraz poznać dane pierwszego składnika.

To musiało by zostać wymierzone w ściśle określoną osobę. Prawdopodobieństwo wymierzenia takiego "ataku" w przeciętnego kowalskiego jest zbliżone do zera.

dolitd

@Marchew Owszem. Ja tu widzę zastosowanie dla np. szpiegów.

doki16

@Marchew Tak raczej ciekawostka, atakowanie warstwy zabezpieczeń w postaci yubikey w porównaniu z innymi metodami umożliwiającymi dostęp do konta, to jak próba włamania się do otwartego domu poprzez wywiercenie dziury w ścianie.


Choć jest to możliwe w przypadku bardzo ważnego celu, lub mogą pojawić się oferty sprzedaży chwilowego dostępu do klucza będącego używanego w dużych firmach.

fadeimageone

Ciekawe jaką narrację i obronę przyjmie NIEBEZPIECZNIK, który ciągle zachwala Yubikajejemadafaka. ( ͡~ ͜ʖ ͡°)

Anty_Anty

@fadeimageone nie musi zmieniać narracji.

fadeimageone

@Anty_Anty z tego co wyczytałem to:


  • firmware nie da się zaktualizować na wyprodukowanych już kluczach

  • ryzyko jest marginalne przejęcia danych z klucza (dostęp fizyczny do klucza, potężny hardware za gruby hajs)

  • YUBICO sam wydał łatkę FW, producent SoC nie ogarnął tematu.

Anty_Anty

@fadeimageone nigdy się nie dało kluczy aktualizować właśnie po to aby ograniczyć ryzyka.

Nawet gdy hardware będzie za grosze to musisz zlokalizować osobę i lecieć jej to zajebać a to raczej nie jest opłacalne.

kodyak

Nie używam więc jestem chroniony

dildo-vaggins

Uzywam, nie narzekam. Nie jest to tanie ale zabezpieczenie przed phishingiem (zwłaszcza konta bankowego - ing wspiera klucze sprzętowe) jest tego warte.

Zaloguj się aby komentować