abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Google Chrome 142
    dnes 02:55 | Nová verze

    Google Chrome 142 byl prohlášen za stabilní. Nejnovější stabilní verze 142.0.7444.59 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 20 bezpečnostních chyb. Za nejvážnější z nich bylo vyplaceno 50 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    Java edice Minecraftu bude bez obfuskace
    dnes 01:22 | IT novinky

    Pro moddery Minecraftu: Java edice Minecraftu bude bez obfuskace.

    Ladislav Hagara | Komentářů: 0
    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné
    včera 17:00 | Upozornění

    Národní identitní autorita, tedy NIA ID, MeG a eOP jsou nedostupné. Na nápravě se pracuje [𝕏].

    Ladislav Hagara | Komentářů: 5
    Nvidia je první firmou, jejíž tržní hodnota dosáhla 5 bilionů dolarů
    včera 16:44 | IT novinky

    Americký výrobce čipů Nvidia se stal první firmou na světě, jejíž tržní hodnota dosáhla pěti bilionů USD (104,5 bilionu Kč). Nvidia stojí v čele světového trhu s čipy pro umělou inteligenci (AI) a výrazně těží z prudkého růstu zájmu o tuto technologii. Nvidia již byla první firmou, která překonala hranici čtyř bilionů USD, a to letos v červenci.

    Ladislav Hagara | Komentářů: 4
    Red Hat bude podporovat a distribuovat toolkit NVIDIA CUDA
    včera 14:11 | Komunita

    Po Canonicalu a SUSE oznámil také Red Hat, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie).

    Ladislav Hagara | Komentářů: 2
    TrueNAS 25.10 Goldeye
    včera 13:55 | Nová verze

    TrueNAS (Wikipedie), tj. open source storage platforma postavená na Linuxu, byl vydán ve verzi 25.10 Goldeye. Přináší NVMe over Fabric (NVMe-oF) nebo OpenZFS 2.3.4.

    Ladislav Hagara | Komentářů: 0
    OpenIndiana 2025.10
    včera 13:33 | Nová verze

    Byla vydána OpenIndiana 2025.10. Unixový operační systém OpenIndiana (Wikipedie) vychází z OpenSolarisu (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    89 % zranitelností IT infrastruktury v českých školách je kritických
    včera 13:22 | Zajímavý článek

    České základní a střední školy čelí alarmujícímu stavu kybernetické bezpečnosti. Až 89 % identifikovaných zranitelností v IT infrastruktuře vzdělávacích institucí dosahuje kritické úrovně, což znamená, že útočníci mohou vzdáleně převzít kontrolu nad klíčovými systémy. Školy navíc často provozují zastaralé technologie, i roky nechávají zařízení bez potřebných aktualizací softwaru a používají k nim pouze výchozí, všeobecně známá

    … více »
    Ladislav Hagara | Komentářů: 12
    Josef Průša obdržel medaili Za zásluhy
    včera 05:11 | Komunita

    Během tradiční ceremonie k oslavě Dne vzniku samostatného československého státu (28. října) byl vyznamenán medailí Za zásluhy (o stát v oblasti hospodářské) vývojář 3D tiskáren Josef Průša. Letos byly uděleny pouze dvě medaile Za zásluhy o stát v oblasti hospodářské, druhou dostal informatik a manažer Ondřej Felix, který se zabývá digitalizací státní správy.

    🇹🇬 | Komentářů: 37
    Tor Browser 15.0
    včera 04:44 | Nová verze

    Tor Browser, tj. fork webového prohlížeče Mozilla Firefox s integrovaným klientem sítě Tor přednastavený tak, aby přes tuto síť bezpečně komunikoval, byl vydán ve verzi 15.0. Postaven je na Firefoxu ESR 140.

    Ladislav Hagara | Komentářů: 3
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (36%)
     (48%)
     (20%)
     (19%)
     (23%)
     (17%)
     (21%)
     (17%)
     (17%)
    Celkem 282 hlasů
     Komentářů: 14, poslední 14.10. 09:04
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Bezpečnostní problém tokenů od společnosti Yubico
    Štítky: ECDSA, problém, společnost, Yubico, Yubikey

    Bezpečnostní problém tokenů od společnosti Yubico

    Společnost Yubico potvrdila bezpečnostní problém YSA-2024-03 svých tokenů YubiKey 5 a Security Key s firmwarem do verze 5.7, YubiKey Bio s firmwarem do verze 5.7.2 a YubiHSM 2 s firmwarem do verze 2.4.0. Útočník může z tokenu vytáhnout soukromý ECDSA klíč. Více na stránce EUCLEAK (pdf).

    4.9.2024 05:00 | Ladislav Hagara | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    4.9.2024 09:09 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Prihodim MIFARE backdoor od cinanu.
    4.9.2024 21:51 Divny Host
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    jestli ten paper dobre chapu tak cinani backdoor akorat okopirovali z infineon/nxp predlohy:D
    4.9.2024 09:35
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    skrytý komentář Náš administrátor shledal tento komentář závadným.

    off-topic a trolling

    Zobrazit komentář
    4.9.2024 14:10 Jan Kapčiar
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    YubiKey 5 verze 5.7.0 a novější zranitelností netrpí (poslední verze před 5.7 byla verze 5.4.3, to byla také poslední verze, která obsahovala Infineon secure element knihovnu - ta byla pak nahrazena Yubico knihovnou), to samé YubiKey Bio s firmwarem 5.7.2 a YubiHSM 2 s firmwarem 2.4.0. (v článku předložka do vyznívá jako včetně, ale je to vyjma)
    Salamek avatar 4.9.2024 14:21 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico 
    YubiKey 5 NFC (5.4.3)
    Fuck...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 14:28 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    To je sice hezky, ale:
    YubiKeys are programmed in Yubico's facilities with the latest available firmware and once programmed cannot be updated to another version.
    Takze to muzes rovnou vyhodit..
    4.9.2024 14:43 Jan Kapčiar
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Prosím přečtěte si článek, v čem ona zranitelnost spočívá - dá se dohledat i na CZ webu český popis.

    Aby mohl útočník YubiKey zneužít, musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD). Podle situace může útočník potřebovat také další znalosti včetně uživatelského jména, kódu PIN, hesla k účtu nebo ověřovacího klíče. Zranitelnost má dopad především na použití standardu FIDO, protože ten se ve výchozím nastavení spoléhá na postiženou funkci. Pokud používáte FIDO a máte už jen nastavený PIN, tak jste ok! Dále: V závislosti na konfiguraci a volbě algoritmu koncovým uživatelem mohou být ovlivněny také aplikace YubiKey PIV a OpenPGP.

    Uvidíme, co k tomu dále napíše Yubico za doporučení. Není to příjemné, ale rozhodně to není důvod k vyhození tokenu.
    tralala avatar 4.9.2024 14:45 tralala | skóre: 9 | blog: tralala
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Vo firmach sa vyhadzovat bude :) sukromne tiez cakam na doporucenie - mam verziu 5.4.3
    Salamek avatar 4.9.2024 14:52 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Tak az je budete vyhazovat tak je poslete vyresetovane mym smerem, ja je klidne budu pouzivat dal ;-)
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 14:54 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD)
    Ona jsou vyhlášena nějaká oficiální kritéria (náklady na útok, technické vybavení, míra fyzického přístupu, jejich kombinace), při jejichž nedosažení se nad zranitelností technického prostředku může mávnout rukou?
    4.9.2024 17:32 Chulda
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Tak rozhodnutí je na vás, ale CVSS skóre ukazuje, jak závažný ten problém je a tam se vyloženě zohledňují ta vámi uvedená kritéria :)

    V případě nutnosti fyzického přístupu je skóre podstatně nižší než když je možné vzdáleně zneužít tu chybu, viz i tento případ.

    A jak vidno, jiní nad tím mávnou rukou a jen toto riziko zohlední.
    4.9.2024 19:58 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ty kriteria mas mit stanovena jeste pred vyberem technickeho porstredku, protoze to jsou kriteria, podle kterych ten prostredek vybiras.
    4.9.2024 20:29 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    A jakým způsobem se tedy ve výběru předem zohledňuje potenciální zranitelnost prostředku v jeho předpokládaném životním cyklu?
    4.9.2024 20:49 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Nijak. Ale pokud povazujes bariaeru 10k USD a nutnost onen prostredek najit/zcizit za dostatecnou, tak to pouzivat dal muzes. Nebo mi neco uniklo?
    4.9.2024 22:25 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokud se nějakému kvalifikovanému prostředku odebere z důvodu zjištěné zranitelnosti certifikace, CA k určitému datu revokují certifikáty na ně dosud vystavené. Před tímto datem revokace je tedy třeba požádat (zdarma typicky s datumem expirace původního certifikátu) o následný certifikát na jiný uznávaný certifikovaný prostředek.
    4.9.2024 23:16 xxx
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Uh. Neslo by to nejak vic laicky? Jedna se o znefunkcneni HW, nebo prestane vvyhovovat formalnim pozadavkum?
    5.9.2024 07:09 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Hardware bude fungovat dál. Ale certifikáty na něm uložené přestanou platit.
    5.9.2024 10:03 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokud je privátní klíč vygenerován uvnitř tokenu v době platnosti (tj. před zkrácením/vypršením) jeho certifikace kvalifikovaného prostředku bude CA autoritou podepsaná veřejná část kvalifikovaného certifikátu obsahovat příznak QESCD. Ten může(nemusí) být zákonem/stranami(např. při podpisu smluv) vyžadován pro splnění určitého stupně zabezpečení, z důvodu předpokládané vyšší ochrany privátního klíče (privátní klíč "nemůže" opustit token v němž vznikl) než při jeho uložení na filesystému či na nekvalifikovaném/zranitelném prostředku.
    5.9.2024 18:00 bhbhh
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ty o bezpecnosti nic nevis, ze?
    4.9.2024 16:14 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    To jsou bezvyznamne penize, pokud jde napriklad o vojenske prostredky, CA HSM, nebo jinou nebo kritickou infrastrukturu. Risknes to? Pochybuji. Jen samotna existence moznosti je dost zavazny problem.
    4.9.2024 19:09 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Nemusí jít jen o útok útočníka z venku, ale i o nějakou "pohodlnost vlastních lidí". Už ve slavných dobách RSA SecurID se našli tací, co si token nechávali doma a snímali ho Axis web kamerou nebo takto rovnou jeden účet sdílelo více lidí. A děje se to pořád, jen to dnes přešlo na sms brány nebo Androidy s TeamViewerem. Ono jak tyhle korporátní politiky dopadnou na lidi co jsou v IT schopný, tak se dějou věci :-D
    4.9.2024 20:31 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Pokrok nezastavíš, v devadesátkách se chodilo měsíčně do banky pro vytištěný seznam jednorázových hesel pro denní dávkové příkazy.
    5.9.2024 10:28 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Některé věci mě (nebo možná někomu jinému) dekády unikají. Jedna z prvních institucí v ČR (tipoval bych to někdy okolo roku 2004), která začala s širokým využitím kvalifikovaných certifikátu byla ČSSZ. Typický případ užití byla personální oznámení (nástupy atd) z organizace směrem k ČSSZ. K tomuto účelu musela být pověřená osoba za organizaci (typicky mzdová účetní) vybavena kvalifikovaným certifikátem uznávané české CA. Její kvalifikovaný certifikát (např. zaměstnanecký v případě PostSignum) byl vybaven jednoznačným atributem Identifikátorem klienta MPSV (IKPMSV). Když se před vypršením u CA vystavil následný certifikát muselo se sériové číslo následného certifikátu nahlásit telefonicky na ČSSZ, časem k tomu vytvořili webovou stránku na portálu. Dodnes mi uniká proč se tak dělo a asi stále děje, z metadat následného certifikátu (zejména IKPMSV) přeci musí být zřejmé, že jde stále o stejnou osobu (jejíž oprávnění jedna za organizaci v mezidobí změněno nebylo).
    Salamek avatar 4.9.2024 14:49 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale prd, vektor utoku je tak sileny ze subjekt co by jej zvladl provest by stejne tak zvladl vas nechat "zmizet" a veskere info z vas vymucit v nejakem blacksite...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    4.9.2024 15:01 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale hovno, mit lab a v nem potrebne nastroje ma kde kdo. Treba u nas v labu mame nastroje asi tak za $800k protoze nam to vydelava vice penez.
    4.9.2024 17:22 Ai
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    ale web mas za 1$
    4.9.2024 19:42 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    no a? Snad nebudu platit za 5 statickych stranek jako kokot VPS, admina co to bude spravovat a retarda ktery bude vyvijet FE/BE reseni...
    Salamek avatar 4.9.2024 21:01 Salamek | skóre: 22 | blog: salamovo
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Musis znat muj pin a mit muj yubikey... k tomu ti je lab za $800k jaksi k hovnu...
    Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
    5.9.2024 01:03 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    ukrast ti token je otazka par sekund a dostat pin taky...
    4.9.2024 14:38 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Reálná "morální životnost" některých autoritami nabízených kvalifikovaných prostředků se ukáže docela tristní. Dočkal se, některý z vašich tokenů, své původně naplánované doby certifikace?
    USB token TokenME (výrobce Oberthur Card System) V prodeji do 12/2020. 31.12.2022 - prostředek již není podporován jako kvalifikovaný
    4.9.2024 16:37 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    zrovna Oberthur stal za hovno jiz v den uvedeni na trh... jinak mas pravdu.
    4.9.2024 17:29
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Můžu se zeptat zkušenějsích? Je mi v Linuxu k něčemu TokenMe? Myslím jako třeba k uložení ssh klíčů. Píšou tam něco o variantách produktu, myslím, že by to měla být ta úplně poslední, s platností certifikace do 2030.
    4.9.2024 18:03 X
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Kdyz, se ptas tak asi knicemu, ale pod linuxem funguje.
    4.9.2024 18:23
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ptám se, protože už ho mám, kvůli tomu, že mi ho stát nanutil. (Ale velkoryse mě ho nechal zaplatit.) A když už ho mám, tak mě napadlo, jestli by náhodou na něj nešel také uložit alespoň ssh klíč. Přičemž si nemůžu dovolit žádné velké pokusy, protože potřebuji v každém případě zachovat originální funkčnost.
    4.9.2024 19:44 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    pred xx lety jsem to pouzival k ulozeni ssh klice (Oberthur, pak Gemalto, pak...), byl s tim jenom vopruz...
    4.9.2024 21:27 pavele
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    Ale je to o něco bezpečnější než mít klíč na flešce, ne? :-)
    5.9.2024 01:08 RealJ | skóre: 8
    Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
    jo...

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.