abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Singularity, nejnovější otevřený film od Blender Studia
    včera 17:22 | Komunita

    Singularity (YouTube) je nejnovější otevřený film od Blender Studia. Jedná se o jejich první 4K HDR film.

    Ladislav Hagara | Komentářů: 0
    Vyšla hra Život Není Krásný: Poslední Exekuce
    včera 16:55 | Zajímavý software

    Vyšla hra Život Není Krásný: Poslední Exekuce (Steam, ProtonDB). Kreslená point & click adventura ze staré školy plná černého humoru a nekorektního násilí. Vžijte se do role zpustlého exekutora Vladimíra Brehowského a projděte s ním jeho poslední pracovní den. Hra volně navazuje na sérii Život Není Krásný.

    Ladislav Hagara | Komentářů: 1
    Fedora Hummingbird Linux
    včera 14:00 | Zajímavý projekt

    Společnost Red Hat představila Fedora Hummingbird, tj. linuxovou distribuci s nativním kontejnerovým designem určenou pro vývojáře využívající AI agenty.

    Pinhead | Komentářů: 4
    Dusklight, hra The Legend of Zelda: Twilight Princess na počítačích a mobilních zařízeních
    včera 02:22 | Zajímavý software

    Hru The Legend of Zelda: Twilight Princess od společnosti Nintendo si lze nově díky projektu Dusklight (původně Dusk) a reverznímu inženýrství zahrát i na počítačích a mobilních zařízeních. Vyžadována je kopie původní hry (textury, modely, hudba, zvukové efekty, …). Ukázka na YouTube. Projekt byl zahájen v srpnu 2020.

    Ladislav Hagara | Komentářů: 0
    Erlang/OTP 29.0
    včera 01:11 | Nová verze

    Byla vydána nová major verze 29.0 programovacího jazyka Erlang (Wikipedie) a související platformy OTP (Open Telecom Platform, Wikipedie). Detailní přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Zranitelnost Fragnesia
    13.5. 21:22 | Bezpečnostní upozornění

    Po zranitelnostech Copy Fail a Dirty Frag přichází zranitelnost Fragnesia. Další lokální eskalace práv na Linuxu. Zatím v upstreamu neopravena. Přiřazeno ji bylo CVE-2026-46300.

    Ladislav Hagara | Komentářů: 1
    Sovereign Tech Agency podpoří KDE částkou 1 285 200 eur
    13.5. 14:00 | Komunita

    Sovereign Tech Agency (Wikipedie) prostřednictvím svého fondu Sovereign Tech Fund podpoří KDE částkou 1 285 200 eur.

    Ladislav Hagara | Komentářů: 7
    The Android Show | I/O Edition 2026
    13.5. 12:55 | IT novinky

    Google na včerejší akci The Android Show | I/O Edition 2026 (YouTube) představil celou řadu novinek: Gemini Intelligence, notebooky Googlebook, novou generaci Android Auto, …

    Ladislav Hagara | Komentářů: 0
    EK chystá pravidla pro věkové omezení sociálních sítí, řekla von der Leyenová
    13.5. 12:33 | IT novinky

    Evropská komise by do léta mohla předložit návrh normy omezující používání sociálních sítí dětmi v zájmu jejich bezpečí na internetu. Prohlásila to včera předsedkyně EK Ursula von der Leyenová, podle níž řada zemí Evropské unie volá po zavedení věkové hranice pro sociální sítě. EU částečně řeší bezpečnost dětí v digitálním prostředí v již platném nařízení o digitálních službách (DSA), podle německé političky to však není dostatečné a

    … více »
    Ladislav Hagara | Komentářů: 48
    scrcpy 4.0
    13.5. 04:11 | Nová verze

    Multiplatformní open source aplikace scrcpy (Wikipedie) pro zrcadlení připojeného zařízení se systémem Android na desktopu a umožňující ovládání tohoto zařízení z desktopu, byla vydána v nové verzi 4.0.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Které desktopové prostředí na Linuxu používáte?
     (13%)
     (8%)
     (2%)
     (14%)
     (31%)
     (4%)
     (6%)
     (3%)
     (16%)
     (25%)
    Celkem 1610 hlasů
     Komentářů: 30, poslední 3.4. 20:20
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Bezpečnostní problém tokenů od společnosti Yubico
    Štítky: ECDSA, problém, společnost, Yubico, Yubikey

    Bezpečnostní problém tokenů od společnosti Yubico

    Společnost Yubico potvrdila bezpečnostní problém YSA-2024-03 svých tokenů YubiKey 5 a Security Key s firmwarem do verze 5.7, YubiKey Bio s firmwarem do verze 5.7.2 a YubiHSM 2 s firmwarem do verze 2.4.0. Útočník může z tokenu vytáhnout soukromý ECDSA klíč. Více na stránce EUCLEAK (pdf).

    4.9.2024 05:00 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    4.9.2024 09:09 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Prihodim MIFARE backdoor od cinanu.
    4.9.2024 21:51 Divny Host
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    jestli ten paper dobre chapu tak cinani backdoor akorat okopirovali z infineon/nxp predlohy:D
    4.9.2024 09:35
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    skrytý komentář Náš administrátor shledal tento komentář závadným.

    off-topic a trolling

    Zobrazit komentář
    4.9.2024 14:10 Jan Kapčiar
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    YubiKey 5 verze 5.7.0 a novější zranitelností netrpí (poslední verze před 5.7 byla verze 5.4.3, to byla také poslední verze, která obsahovala Infineon secure element knihovnu - ta byla pak nahrazena Yubico knihovnou), to samé YubiKey Bio s firmwarem 5.7.2 a YubiHSM 2 s firmwarem 2.4.0. (v článku předložka do vyznívá jako včetně, ale je to vyjma)
    Salamek avatar 4.9.2024 14:21 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico 
    YubiKey 5 NFC (5.4.3)
    Fuck...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 14:28 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    To je sice hezky, ale:
    YubiKeys are programmed in Yubico's facilities with the latest available firmware and once programmed cannot be updated to another version.
    Takze to muzes rovnou vyhodit..
    4.9.2024 14:43 Jan Kapčiar
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Prosím přečtěte si článek, v čem ona zranitelnost spočívá - dá se dohledat i na CZ webu český popis.

    Aby mohl útočník YubiKey zneužít, musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD). Podle situace může útočník potřebovat také další znalosti včetně uživatelského jména, kódu PIN, hesla k účtu nebo ověřovacího klíče. Zranitelnost má dopad především na použití standardu FIDO, protože ten se ve výchozím nastavení spoléhá na postiženou funkci. Pokud používáte FIDO a máte už jen nastavený PIN, tak jste ok! Dále: V závislosti na konfiguraci a volbě algoritmu koncovým uživatelem mohou být ovlivněny také aplikace YubiKey PIV a OpenPGP.

    Uvidíme, co k tomu dále napíše Yubico za doporučení. Není to příjemné, ale rozhodně to není důvod k vyhození tokenu.
    tralala avatar 4.9.2024 14:45 tralala | skóre: 9 | blog: tralala
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Vo firmach sa vyhadzovat bude :) sukromne tiez cakam na doporucenie - mam verziu 5.4.3
    Salamek avatar 4.9.2024 14:52 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Tak az je budete vyhazovat tak je poslete vyresetovane mym smerem, ja je klidne budu pouzivat dal ;-)
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 14:54 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD)
    Ona jsou vyhlášena nějaká oficiální kritéria (náklady na útok, technické vybavení, míra fyzického přístupu, jejich kombinace), při jejichž nedosažení se nad zranitelností technického prostředku může mávnout rukou?
    4.9.2024 17:32 Chulda
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Tak rozhodnutí je na vás, ale CVSS skóre ukazuje, jak závažný ten problém je a tam se vyloženě zohledňují ta vámi uvedená kritéria :)

    V případě nutnosti fyzického přístupu je skóre podstatně nižší než když je možné vzdáleně zneužít tu chybu, viz i tento případ.

    A jak vidno, jiní nad tím mávnou rukou a jen toto riziko zohlední.
    4.9.2024 19:58 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ty kriteria mas mit stanovena jeste pred vyberem technickeho porstredku, protoze to jsou kriteria, podle kterych ten prostredek vybiras.
    4.9.2024 20:29 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    A jakým způsobem se tedy ve výběru předem zohledňuje potenciální zranitelnost prostředku v jeho předpokládaném životním cyklu?
    4.9.2024 20:49 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Nijak. Ale pokud povazujes bariaeru 10k USD a nutnost onen prostredek najit/zcizit za dostatecnou, tak to pouzivat dal muzes. Nebo mi neco uniklo?
    4.9.2024 22:25 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokud se nějakému kvalifikovanému prostředku odebere z důvodu zjištěné zranitelnosti certifikace, CA k určitému datu revokují certifikáty na ně dosud vystavené. Před tímto datem revokace je tedy třeba požádat (zdarma typicky s datumem expirace původního certifikátu) o následný certifikát na jiný uznávaný certifikovaný prostředek.
    4.9.2024 23:16 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Uh. Neslo by to nejak vic laicky? Jedna se o znefunkcneni HW, nebo prestane vvyhovovat formalnim pozadavkum?
    5.9.2024 07:09 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Hardware bude fungovat dál. Ale certifikáty na něm uložené přestanou platit.
    5.9.2024 10:03 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokud je privátní klíč vygenerován uvnitř tokenu v době platnosti (tj. před zkrácením/vypršením) jeho certifikace kvalifikovaného prostředku bude CA autoritou podepsaná veřejná část kvalifikovaného certifikátu obsahovat příznak QESCD. Ten může(nemusí) být zákonem/stranami(např. při podpisu smluv) vyžadován pro splnění určitého stupně zabezpečení, z důvodu předpokládané vyšší ochrany privátního klíče (privátní klíč "nemůže" opustit token v němž vznikl) než při jeho uložení na filesystému či na nekvalifikovaném/zranitelném prostředku.
    5.9.2024 18:00 bhbhh
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ty o bezpecnosti nic nevis, ze?
    4.9.2024 16:14 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    To jsou bezvyznamne penize, pokud jde napriklad o vojenske prostredky, CA HSM, nebo jinou nebo kritickou infrastrukturu. Risknes to? Pochybuji. Jen samotna existence moznosti je dost zavazny problem.
    4.9.2024 19:09 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Nemusí jít jen o útok útočníka z venku, ale i o nějakou "pohodlnost vlastních lidí". Už ve slavných dobách RSA SecurID se našli tací, co si token nechávali doma a snímali ho Axis web kamerou nebo takto rovnou jeden účet sdílelo více lidí. A děje se to pořád, jen to dnes přešlo na sms brány nebo Androidy s TeamViewerem. Ono jak tyhle korporátní politiky dopadnou na lidi co jsou v IT schopný, tak se dějou věci :-D
    4.9.2024 20:31 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokrok nezastavíš, v devadesátkách se chodilo měsíčně do banky pro vytištěný seznam jednorázových hesel pro denní dávkové příkazy.
    5.9.2024 10:28 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Některé věci mě (nebo možná někomu jinému) dekády unikají. Jedna z prvních institucí v ČR (tipoval bych to někdy okolo roku 2004), která začala s širokým využitím kvalifikovaných certifikátu byla ČSSZ. Typický případ užití byla personální oznámení (nástupy atd) z organizace směrem k ČSSZ. K tomuto účelu musela být pověřená osoba za organizaci (typicky mzdová účetní) vybavena kvalifikovaným certifikátem uznávané české CA. Její kvalifikovaný certifikát (např. zaměstnanecký v případě PostSignum) byl vybaven jednoznačným atributem Identifikátorem klienta MPSV (IKPMSV). Když se před vypršením u CA vystavil následný certifikát muselo se sériové číslo následného certifikátu nahlásit telefonicky na ČSSZ, časem k tomu vytvořili webovou stránku na portálu. Dodnes mi uniká proč se tak dělo a asi stále děje, z metadat následného certifikátu (zejména IKPMSV) přeci musí být zřejmé, že jde stále o stejnou osobu (jejíž oprávnění jedna za organizaci v mezidobí změněno nebylo).
    Salamek avatar 4.9.2024 14:49 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale prd, vektor utoku je tak sileny ze subjekt co by jej zvladl provest by stejne tak zvladl vas nechat "zmizet" a veskere info z vas vymucit v nejakem blacksite...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 15:01 RealJ | skóre: 10
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale hovno, mit lab a v nem potrebne nastroje ma kde kdo. Treba u nas v labu mame nastroje asi tak za $800k protoze nam to vydelava vice penez.
    4.9.2024 17:22 Ai
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    ale web mas za 1$
    4.9.2024 19:42 RealJ | skóre: 10
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    no a? Snad nebudu platit za 5 statickych stranek jako kokot VPS, admina co to bude spravovat a retarda ktery bude vyvijet FE/BE reseni...
    Salamek avatar 4.9.2024 21:01 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Musis znat muj pin a mit muj yubikey... k tomu ti je lab za $800k jaksi k hovnu...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    5.9.2024 01:03 RealJ | skóre: 10
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    ukrast ti token je otazka par sekund a dostat pin taky...
    4.9.2024 14:38 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Reálná "morální životnost" některých autoritami nabízených kvalifikovaných prostředků se ukáže docela tristní. Dočkal se, některý z vašich tokenů, své původně naplánované doby certifikace?
    USB token TokenME (výrobce Oberthur Card System) V prodeji do 12/2020. 31.12.2022 - prostředek již není podporován jako kvalifikovaný
    4.9.2024 16:37 RealJ | skóre: 10
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    zrovna Oberthur stal za hovno jiz v den uvedeni na trh... jinak mas pravdu.
    4.9.2024 17:29
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Můžu se zeptat zkušenějsích? Je mi v Linuxu k něčemu TokenMe? Myslím jako třeba k uložení ssh klíčů. Píšou tam něco o variantách produktu, myslím, že by to měla být ta úplně poslední, s platností certifikace do 2030.
    4.9.2024 18:03 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Kdyz, se ptas tak asi knicemu, ale pod linuxem funguje.
    4.9.2024 18:23
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ptám se, protože už ho mám, kvůli tomu, že mi ho stát nanutil. (Ale velkoryse mě ho nechal zaplatit.) A když už ho mám, tak mě napadlo, jestli by náhodou na něj nešel také uložit alespoň ssh klíč. Přičemž si nemůžu dovolit žádné velké pokusy, protože potřebuji v každém případě zachovat originální funkčnost.
    4.9.2024 19:44 RealJ | skóre: 10
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    pred xx lety jsem to pouzival k ulozeni ssh klice (Oberthur, pak Gemalto, pak...), byl s tim jenom vopruz...
    4.9.2024 21:27 pavele
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale je to o něco bezpečnější než mít klíč na flešce, ne? :-)
    5.9.2024 01:08 RealJ | skóre: 10
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    jo...

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.