abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 20:33 | Nová verze

    Byla vydána (Mastodon, 𝕏) nová verze 2024.3 linuxové distribuce navržené pro digitální forenzní analýzu a penetrační testování Kali Linux (Wikipedie). Přehled novinek se seznamem nových nástrojů v oficiálním oznámení.

    Ladislav Hagara | Komentářů: 0
    dnes 14:55 | Bezpečnostní upozornění

    Ve FreeBSD byla nalezena a opravena kritická bezpečnostní chyba CVE-2024-43102 s CVSS 10.

    Ladislav Hagara | Komentářů: 2
    dnes 14:22 | Komunita

    K posouzení byly předány patche přidávající do linuxových stromů zařízení (device trees) zařízení s SoC A7 až A11 od Applu (iPhone, iPad, iPod a Apple TV).

    Ladislav Hagara | Komentářů: 0
    dnes 13:22 | Zajímavý článek

    Vývoj webového prohlížeče nad renderovacím jádrem Servo, aktuální příspěvek na blogu Serva (Wikipedie). Vedle referenčního prohlížeče servoshell vzniká prohlížeč Verso. Vyzkoušet lze noční sestavení.

    Ladislav Hagara | Komentářů: 0
    dnes 02:22 | Nová verze

    Unicode Consortium, nezisková organizace koordinující rozvoj standardu Unicode, oznámila vydání Unicode 16.0. Přidáno bylo 5 185 nových znaků. Celkově jich je 154 998. Přibylo 7 nových Emoji.

    Ladislav Hagara | Komentářů: 5
    dnes 01:00 | IT novinky

    Byla vydána první major verze 1.0 oficiálního firmwaru pro zařízení Flipper Zero (Wikipedie). Po třech letech vývoje. Přehled novinek i s náhledy a videi v příspěvku na blogu: podpora aplikací třetích stran, nový NFC podsystém, podpora JavaScriptu pro psaní aplikací, vylepšení spotřeby, zrychlení Bluetooth přenosu…

    Ladislav Hagara | Komentářů: 4
    včera 23:33 | Nová verze

    Radicle, distribuovaná alternativa k softwaru pro spolupráci jako např. GitLab, byl vydán ve verzi 1.0. Nyní obsahuje nad gitem postavený, rozšiřitelný protokol pro diskuze a nakládání s patchi, autentizaci a autorizaci, integraci Toru a uživatelské rozhraní v příkazovém řádku či jednoduché webové rozhraní pro prohlížení repozitářů. Projekt byl dříve představen a diskutován na Linux Weekly News.

    Fluttershy, yay! | Komentářů: 0
    včera 15:11 | Nová verze

    Byla vydána nová verze 6.7 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.5.3. Thunderbird na verzi 115.15.0. OnionShare z verze 2.2 na verzi 2.6.

    Ladislav Hagara | Komentářů: 0
    včera 12:22 | IT novinky

    Rozsudky Soudního dvora Evropské unie ve věcech C-465/20 P (Apple) a C-48/22 P (Google a Alphabet): Irsko poskytlo společnosti Apple protiprávní daňová zvýhodnění ve výši 13 miliard eur a je povinné je získat zpět. Byla potvrzena pokuta ve výši 2,4 miliardy eur uložená společnosti Google za to, že zneužívala svého dominantního postavení tím, že upřednostňovala vlastní službu srovnávání výrobků.

    Ladislav Hagara | Komentářů: 49
    včera 03:22 | Nová verze

    Apache Cassandra (Wikipedie), tj. open source NoSQL distribuovaná databáze, byla vydána v nové major verzi 5.0. Přehled novinek v příspěvku na blogu a v souboru NEWS na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Rozcestník

    Bezpečnostní problém tokenů od společnosti Yubico

    Společnost Yubico potvrdila bezpečnostní problém YSA-2024-03 svých tokenů YubiKey 5 a Security Key s firmwarem do verze 5.7, YubiKey Bio s firmwarem do verze 5.7.2 a YubiHSM 2 s firmwarem do verze 2.4.0. Útočník může z tokenu vytáhnout soukromý ECDSA klíč. Více na stránce EUCLEAK (pdf).

    4.9. 05:00 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    4.9. 09:09 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Prihodim MIFARE backdoor od cinanu.
    4.9. 21:51 Divny Host
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    jestli ten paper dobre chapu tak cinani backdoor akorat okopirovali z infineon/nxp predlohy:D
    4.9. 09:35
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    skrytý komentář Náš administrátor shledal tento komentář závadným.

    off-topic a trolling

    Zobrazit komentář
    4.9. 14:10 Jan Kapčiar
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    YubiKey 5 verze 5.7.0 a novější zranitelností netrpí (poslední verze před 5.7 byla verze 5.4.3, to byla také poslední verze, která obsahovala Infineon secure element knihovnu - ta byla pak nahrazena Yubico knihovnou), to samé YubiKey Bio s firmwarem 5.7.2 a YubiHSM 2 s firmwarem 2.4.0. (v článku předložka do vyznívá jako včetně, ale je to vyjma)
    Salamek avatar 4.9. 14:21 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    YubiKey 5 NFC (5.4.3)
    Fuck...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9. 14:28 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    To je sice hezky, ale:
    YubiKeys are programmed in Yubico's facilities with the latest available firmware and once programmed cannot be updated to another version.
    Takze to muzes rovnou vyhodit..
    4.9. 14:43 Jan Kapčiar
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Prosím přečtěte si článek, v čem ona zranitelnost spočívá - dá se dohledat i na CZ webu český popis.

    Aby mohl útočník YubiKey zneužít, musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD). Podle situace může útočník potřebovat také další znalosti včetně uživatelského jména, kódu PIN, hesla k účtu nebo ověřovacího klíče. Zranitelnost má dopad především na použití standardu FIDO, protože ten se ve výchozím nastavení spoléhá na postiženou funkci. Pokud používáte FIDO a máte už jen nastavený PIN, tak jste ok! Dále: V závislosti na konfiguraci a volbě algoritmu koncovým uživatelem mohou být ovlivněny také aplikace YubiKey PIV a OpenPGP.

    Uvidíme, co k tomu dále napíše Yubico za doporučení. Není to příjemné, ale rozhodně to není důvod k vyhození tokenu.
    tralala avatar 4.9. 14:45 tralala | skóre: 9 | blog: tralala
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Vo firmach sa vyhadzovat bude :) sukromne tiez cakam na doporucenie - mam verziu 5.4.3
    Salamek avatar 4.9. 14:52 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Tak az je budete vyhazovat tak je poslete vyresetovane mym smerem, ja je klidne budu pouzivat dal ;-)
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9. 14:54 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD)
    Ona jsou vyhlášena nějaká oficiální kritéria (náklady na útok, technické vybavení, míra fyzického přístupu, jejich kombinace), při jejichž nedosažení se nad zranitelností technického prostředku může mávnout rukou?
    4.9. 17:32 Chulda
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Tak rozhodnutí je na vás, ale CVSS skóre ukazuje, jak závažný ten problém je a tam se vyloženě zohledňují ta vámi uvedená kritéria :)

    V případě nutnosti fyzického přístupu je skóre podstatně nižší než když je možné vzdáleně zneužít tu chybu, viz i tento případ.

    A jak vidno, jiní nad tím mávnou rukou a jen toto riziko zohlední.
    4.9. 19:58 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ty kriteria mas mit stanovena jeste pred vyberem technickeho porstredku, protoze to jsou kriteria, podle kterych ten prostredek vybiras.
    4.9. 20:29 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    A jakým způsobem se tedy ve výběru předem zohledňuje potenciální zranitelnost prostředku v jeho předpokládaném životním cyklu?
    4.9. 20:49 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Nijak. Ale pokud povazujes bariaeru 10k USD a nutnost onen prostredek najit/zcizit za dostatecnou, tak to pouzivat dal muzes. Nebo mi neco uniklo?
    4.9. 22:25 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokud se nějakému kvalifikovanému prostředku odebere z důvodu zjištěné zranitelnosti certifikace, CA k určitému datu revokují certifikáty na ně dosud vystavené. Před tímto datem revokace je tedy třeba požádat (zdarma typicky s datumem expirace původního certifikátu) o následný certifikát na jiný uznávaný certifikovaný prostředek.
    4.9. 23:16 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Uh. Neslo by to nejak vic laicky? Jedna se o znefunkcneni HW, nebo prestane vvyhovovat formalnim pozadavkum?
    5.9. 07:09 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Hardware bude fungovat dál. Ale certifikáty na něm uložené přestanou platit.
    5.9. 10:03 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokud je privátní klíč vygenerován uvnitř tokenu v době platnosti (tj. před zkrácením/vypršením) jeho certifikace kvalifikovaného prostředku bude CA autoritou podepsaná veřejná část kvalifikovaného certifikátu obsahovat příznak QESCD. Ten může(nemusí) být zákonem/stranami(např. při podpisu smluv) vyžadován pro splnění určitého stupně zabezpečení, z důvodu předpokládané vyšší ochrany privátního klíče (privátní klíč "nemůže" opustit token v němž vznikl) než při jeho uložení na filesystému či na nekvalifikovaném/zranitelném prostředku.
    5.9. 18:00 bhbhh
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ty o bezpecnosti nic nevis, ze?
    4.9. 16:14 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    To jsou bezvyznamne penize, pokud jde napriklad o vojenske prostredky, CA HSM, nebo jinou nebo kritickou infrastrukturu. Risknes to? Pochybuji. Jen samotna existence moznosti je dost zavazny problem.
    4.9. 19:09 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Nemusí jít jen o útok útočníka z venku, ale i o nějakou "pohodlnost vlastních lidí". Už ve slavných dobách RSA SecurID se našli tací, co si token nechávali doma a snímali ho Axis web kamerou nebo takto rovnou jeden účet sdílelo více lidí. A děje se to pořád, jen to dnes přešlo na sms brány nebo Androidy s TeamViewerem. Ono jak tyhle korporátní politiky dopadnou na lidi co jsou v IT schopný, tak se dějou věci :-D
    4.9. 20:31 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokrok nezastavíš, v devadesátkách se chodilo měsíčně do banky pro vytištěný seznam jednorázových hesel pro denní dávkové příkazy.
    5.9. 10:28 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Některé věci mě (nebo možná někomu jinému) dekády unikají. Jedna z prvních institucí v ČR (tipoval bych to někdy okolo roku 2004), která začala s širokým využitím kvalifikovaných certifikátu byla ČSSZ. Typický případ užití byla personální oznámení (nástupy atd) z organizace směrem k ČSSZ. K tomuto účelu musela být pověřená osoba za organizaci (typicky mzdová účetní) vybavena kvalifikovaným certifikátem uznávané české CA. Její kvalifikovaný certifikát (např. zaměstnanecký v případě PostSignum) byl vybaven jednoznačným atributem Identifikátorem klienta MPSV (IKPMSV). Když se před vypršením u CA vystavil následný certifikát muselo se sériové číslo následného certifikátu nahlásit telefonicky na ČSSZ, časem k tomu vytvořili webovou stránku na portálu. Dodnes mi uniká proč se tak dělo a asi stále děje, z metadat následného certifikátu (zejména IKPMSV) přeci musí být zřejmé, že jde stále o stejnou osobu (jejíž oprávnění jedna za organizaci v mezidobí změněno nebylo).
    Salamek avatar 4.9. 14:49 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale prd, vektor utoku je tak sileny ze subjekt co by jej zvladl provest by stejne tak zvladl vas nechat "zmizet" a veskere info z vas vymucit v nejakem blacksite...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9. 15:01 RealJ | skóre: 3
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale hovno, mit lab a v nem potrebne nastroje ma kde kdo. Treba u nas v labu mame nastroje asi tak za $800k protoze nam to vydelava vice penez.
    4.9. 17:22 Ai
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    ale web mas za 1$
    4.9. 19:42 RealJ | skóre: 3
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    no a? Snad nebudu platit za 5 statickych stranek jako kokot VPS, admina co to bude spravovat a retarda ktery bude vyvijet FE/BE reseni...
    Salamek avatar 4.9. 21:01 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Musis znat muj pin a mit muj yubikey... k tomu ti je lab za $800k jaksi k hovnu...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    5.9. 01:03 RealJ | skóre: 3
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    ukrast ti token je otazka par sekund a dostat pin taky...
    4.9. 14:38 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Reálná "morální životnost" některých autoritami nabízených kvalifikovaných prostředků se ukáže docela tristní. Dočkal se, některý z vašich tokenů, své původně naplánované doby certifikace?
    USB token TokenME (výrobce Oberthur Card System) V prodeji do 12/2020. 31.12.2022 - prostředek již není podporován jako kvalifikovaný
    4.9. 16:37 RealJ | skóre: 3
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    zrovna Oberthur stal za hovno jiz v den uvedeni na trh... jinak mas pravdu.
    4.9. 17:29
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Můžu se zeptat zkušenějsích? Je mi v Linuxu k něčemu TokenMe? Myslím jako třeba k uložení ssh klíčů. Píšou tam něco o variantách produktu, myslím, že by to měla být ta úplně poslední, s platností certifikace do 2030.
    4.9. 18:03 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Kdyz, se ptas tak asi knicemu, ale pod linuxem funguje.
    4.9. 18:23
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ptám se, protože už ho mám, kvůli tomu, že mi ho stát nanutil. (Ale velkoryse mě ho nechal zaplatit.) A když už ho mám, tak mě napadlo, jestli by náhodou na něj nešel také uložit alespoň ssh klíč. Přičemž si nemůžu dovolit žádné velké pokusy, protože potřebuji v každém případě zachovat originální funkčnost.
    4.9. 19:44 RealJ | skóre: 3
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    pred xx lety jsem to pouzival k ulozeni ssh klice (Oberthur, pak Gemalto, pak...), byl s tim jenom vopruz...
    4.9. 21:27 pavele
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale je to o něco bezpečnější než mít klíč na flešce, ne? :-)
    5.9. 01:08 RealJ | skóre: 3
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    jo...

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.