abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 14:00 | Zajímavý článek

    Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    včera 12:00 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 12.0 (Mastodon). Forgejo je fork Gitei.

    Ladislav Hagara | Komentářů: 0
    17.7. 18:44 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).

    Ladislav Hagara | Komentářů: 1
    17.7. 16:11 | Nová verze

    Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 2
    17.7. 15:55 | Komunita

    Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

    Ladislav Hagara | Komentářů: 5
    16.7. 21:22 | IT novinky

    Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

    Ladislav Hagara | Komentářů: 19
    16.7. 16:22 | IT novinky

    Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

    Ladislav Hagara | Komentářů: 26
    16.7. 15:33 | Upozornění

    Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapyAI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.

    bindiff | Komentářů: 8
    16.7. 13:33 | Bezpečnostní upozornění

    Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).

    Ladislav Hagara | Komentářů: 5
    16.7. 00:11 | Nová verze

    Open source modální textový editor Helix, inspirovaný editory Vim, Neovim či Kakoune, byl vydán ve verzi 25.07. Přehled novinek se záznamy terminálových sezení v asciinema v oznámení na webu. Detailně v CHANGELOGu na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (0%)
     (0%)
     (50%)
     (0%)
     (0%)
     (0%)
     (0%)
     (50%)
    Celkem 2 hlasů
     Komentářů: 0
    Rozcestník

    Bezpečnostní problém tokenů od společnosti Yubico

    Společnost Yubico potvrdila bezpečnostní problém YSA-2024-03 svých tokenů YubiKey 5 a Security Key s firmwarem do verze 5.7, YubiKey Bio s firmwarem do verze 5.7.2 a YubiHSM 2 s firmwarem do verze 2.4.0. Útočník může z tokenu vytáhnout soukromý ECDSA klíč. Více na stránce EUCLEAK (pdf).

    4.9.2024 05:00 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    4.9.2024 09:09 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Prihodim MIFARE backdoor od cinanu.
    4.9.2024 21:51 Divny Host
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    jestli ten paper dobre chapu tak cinani backdoor akorat okopirovali z infineon/nxp predlohy:D
    4.9.2024 09:35
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    skrytý komentář Náš administrátor shledal tento komentář závadným.

    off-topic a trolling

    Zobrazit komentář
    4.9.2024 14:10 Jan Kapčiar
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    YubiKey 5 verze 5.7.0 a novější zranitelností netrpí (poslední verze před 5.7 byla verze 5.4.3, to byla také poslední verze, která obsahovala Infineon secure element knihovnu - ta byla pak nahrazena Yubico knihovnou), to samé YubiKey Bio s firmwarem 5.7.2 a YubiHSM 2 s firmwarem 2.4.0. (v článku předložka do vyznívá jako včetně, ale je to vyjma)
    Salamek avatar 4.9.2024 14:21 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    YubiKey 5 NFC (5.4.3)
    Fuck...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 14:28 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    To je sice hezky, ale:
    YubiKeys are programmed in Yubico's facilities with the latest available firmware and once programmed cannot be updated to another version.
    Takze to muzes rovnou vyhodit..
    4.9.2024 14:43 Jan Kapčiar
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Prosím přečtěte si článek, v čem ona zranitelnost spočívá - dá se dohledat i na CZ webu český popis.

    Aby mohl útočník YubiKey zneužít, musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD). Podle situace může útočník potřebovat také další znalosti včetně uživatelského jména, kódu PIN, hesla k účtu nebo ověřovacího klíče. Zranitelnost má dopad především na použití standardu FIDO, protože ten se ve výchozím nastavení spoléhá na postiženou funkci. Pokud používáte FIDO a máte už jen nastavený PIN, tak jste ok! Dále: V závislosti na konfiguraci a volbě algoritmu koncovým uživatelem mohou být ovlivněny také aplikace YubiKey PIV a OpenPGP.

    Uvidíme, co k tomu dále napíše Yubico za doporučení. Není to příjemné, ale rozhodně to není důvod k vyhození tokenu.
    tralala avatar 4.9.2024 14:45 tralala | skóre: 9 | blog: tralala
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Vo firmach sa vyhadzovat bude :) sukromne tiez cakam na doporucenie - mam verziu 5.4.3
    Salamek avatar 4.9.2024 14:52 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Tak az je budete vyhazovat tak je poslete vyresetovane mym smerem, ja je klidne budu pouzivat dal ;-)
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 14:54 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD)
    Ona jsou vyhlášena nějaká oficiální kritéria (náklady na útok, technické vybavení, míra fyzického přístupu, jejich kombinace), při jejichž nedosažení se nad zranitelností technického prostředku může mávnout rukou?
    4.9.2024 17:32 Chulda
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Tak rozhodnutí je na vás, ale CVSS skóre ukazuje, jak závažný ten problém je a tam se vyloženě zohledňují ta vámi uvedená kritéria :)

    V případě nutnosti fyzického přístupu je skóre podstatně nižší než když je možné vzdáleně zneužít tu chybu, viz i tento případ.

    A jak vidno, jiní nad tím mávnou rukou a jen toto riziko zohlední.
    4.9.2024 19:58 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ty kriteria mas mit stanovena jeste pred vyberem technickeho porstredku, protoze to jsou kriteria, podle kterych ten prostredek vybiras.
    4.9.2024 20:29 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    A jakým způsobem se tedy ve výběru předem zohledňuje potenciální zranitelnost prostředku v jeho předpokládaném životním cyklu?
    4.9.2024 20:49 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Nijak. Ale pokud povazujes bariaeru 10k USD a nutnost onen prostredek najit/zcizit za dostatecnou, tak to pouzivat dal muzes. Nebo mi neco uniklo?
    4.9.2024 22:25 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokud se nějakému kvalifikovanému prostředku odebere z důvodu zjištěné zranitelnosti certifikace, CA k určitému datu revokují certifikáty na ně dosud vystavené. Před tímto datem revokace je tedy třeba požádat (zdarma typicky s datumem expirace původního certifikátu) o následný certifikát na jiný uznávaný certifikovaný prostředek.
    4.9.2024 23:16 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Uh. Neslo by to nejak vic laicky? Jedna se o znefunkcneni HW, nebo prestane vvyhovovat formalnim pozadavkum?
    5.9.2024 07:09 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Hardware bude fungovat dál. Ale certifikáty na něm uložené přestanou platit.
    5.9.2024 10:03 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokud je privátní klíč vygenerován uvnitř tokenu v době platnosti (tj. před zkrácením/vypršením) jeho certifikace kvalifikovaného prostředku bude CA autoritou podepsaná veřejná část kvalifikovaného certifikátu obsahovat příznak QESCD. Ten může(nemusí) být zákonem/stranami(např. při podpisu smluv) vyžadován pro splnění určitého stupně zabezpečení, z důvodu předpokládané vyšší ochrany privátního klíče (privátní klíč "nemůže" opustit token v němž vznikl) než při jeho uložení na filesystému či na nekvalifikovaném/zranitelném prostředku.
    5.9.2024 18:00 bhbhh
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ty o bezpecnosti nic nevis, ze?
    4.9.2024 16:14 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    To jsou bezvyznamne penize, pokud jde napriklad o vojenske prostredky, CA HSM, nebo jinou nebo kritickou infrastrukturu. Risknes to? Pochybuji. Jen samotna existence moznosti je dost zavazny problem.
    4.9.2024 19:09 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Nemusí jít jen o útok útočníka z venku, ale i o nějakou "pohodlnost vlastních lidí". Už ve slavných dobách RSA SecurID se našli tací, co si token nechávali doma a snímali ho Axis web kamerou nebo takto rovnou jeden účet sdílelo více lidí. A děje se to pořád, jen to dnes přešlo na sms brány nebo Androidy s TeamViewerem. Ono jak tyhle korporátní politiky dopadnou na lidi co jsou v IT schopný, tak se dějou věci :-D
    4.9.2024 20:31 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokrok nezastavíš, v devadesátkách se chodilo měsíčně do banky pro vytištěný seznam jednorázových hesel pro denní dávkové příkazy.
    5.9.2024 10:28 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Některé věci mě (nebo možná někomu jinému) dekády unikají. Jedna z prvních institucí v ČR (tipoval bych to někdy okolo roku 2004), která začala s širokým využitím kvalifikovaných certifikátu byla ČSSZ. Typický případ užití byla personální oznámení (nástupy atd) z organizace směrem k ČSSZ. K tomuto účelu musela být pověřená osoba za organizaci (typicky mzdová účetní) vybavena kvalifikovaným certifikátem uznávané české CA. Její kvalifikovaný certifikát (např. zaměstnanecký v případě PostSignum) byl vybaven jednoznačným atributem Identifikátorem klienta MPSV (IKPMSV). Když se před vypršením u CA vystavil následný certifikát muselo se sériové číslo následného certifikátu nahlásit telefonicky na ČSSZ, časem k tomu vytvořili webovou stránku na portálu. Dodnes mi uniká proč se tak dělo a asi stále děje, z metadat následného certifikátu (zejména IKPMSV) přeci musí být zřejmé, že jde stále o stejnou osobu (jejíž oprávnění jedna za organizaci v mezidobí změněno nebylo).
    Salamek avatar 4.9.2024 14:49 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale prd, vektor utoku je tak sileny ze subjekt co by jej zvladl provest by stejne tak zvladl vas nechat "zmizet" a veskere info z vas vymucit v nejakem blacksite...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 15:01 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale hovno, mit lab a v nem potrebne nastroje ma kde kdo. Treba u nas v labu mame nastroje asi tak za $800k protoze nam to vydelava vice penez.
    4.9.2024 17:22 Ai
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    ale web mas za 1$
    4.9.2024 19:42 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    no a? Snad nebudu platit za 5 statickych stranek jako kokot VPS, admina co to bude spravovat a retarda ktery bude vyvijet FE/BE reseni...
    Salamek avatar 4.9.2024 21:01 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Musis znat muj pin a mit muj yubikey... k tomu ti je lab za $800k jaksi k hovnu...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    5.9.2024 01:03 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    ukrast ti token je otazka par sekund a dostat pin taky...
    4.9.2024 14:38 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Reálná "morální životnost" některých autoritami nabízených kvalifikovaných prostředků se ukáže docela tristní. Dočkal se, některý z vašich tokenů, své původně naplánované doby certifikace?
    USB token TokenME (výrobce Oberthur Card System) V prodeji do 12/2020. 31.12.2022 - prostředek již není podporován jako kvalifikovaný
    4.9.2024 16:37 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    zrovna Oberthur stal za hovno jiz v den uvedeni na trh... jinak mas pravdu.
    4.9.2024 17:29
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Můžu se zeptat zkušenějsích? Je mi v Linuxu k něčemu TokenMe? Myslím jako třeba k uložení ssh klíčů. Píšou tam něco o variantách produktu, myslím, že by to měla být ta úplně poslední, s platností certifikace do 2030.
    4.9.2024 18:03 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Kdyz, se ptas tak asi knicemu, ale pod linuxem funguje.
    4.9.2024 18:23
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ptám se, protože už ho mám, kvůli tomu, že mi ho stát nanutil. (Ale velkoryse mě ho nechal zaplatit.) A když už ho mám, tak mě napadlo, jestli by náhodou na něj nešel také uložit alespoň ssh klíč. Přičemž si nemůžu dovolit žádné velké pokusy, protože potřebuji v každém případě zachovat originální funkčnost.
    4.9.2024 19:44 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    pred xx lety jsem to pouzival k ulozeni ssh klice (Oberthur, pak Gemalto, pak...), byl s tim jenom vopruz...
    4.9.2024 21:27 pavele
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale je to o něco bezpečnější než mít klíč na flešce, ne? :-)
    5.9.2024 01:08 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    jo...

    Založit nové vláknoNahoru


    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.