Portál AbcLinuxu, 7. května 2025 01:09

Bezpečnostní problém tokenů od společnosti Yubico

Společnost Yubico potvrdila bezpečnostní problém YSA-2024-03 svých tokenů YubiKey 5 a Security Key s firmwarem do verze 5.7, YubiKey Bio s firmwarem do verze 5.7.2 a YubiHSM 2 s firmwarem do verze 2.4.0. Útočník může z tokenu vytáhnout soukromý ECDSA klíč. Více na stránce EUCLEAK (pdf).

4.9.2024 05:00 | Ladislav Hagara | Bezpečnostní upozornění


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

4.9.2024 09:09 X
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Odpovědět | Sbalit | Link | Blokovat | Admin
Prihodim MIFARE backdoor od cinanu.
4.9.2024 21:51 Divny Host
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
jestli ten paper dobre chapu tak cinani backdoor akorat okopirovali z infineon/nxp predlohy:D
4.9.2024 09:35
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Odpovědět | Sbalit | Link | Blokovat | Admin
skrytý komentář Náš administrátor shledal tento komentář závadným.

off-topic a trolling

Zobrazit komentář
4.9.2024 14:10 Jan Kapčiar
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Odpovědět | Sbalit | Link | Blokovat | Admin
YubiKey 5 verze 5.7.0 a novější zranitelností netrpí (poslední verze před 5.7 byla verze 5.4.3, to byla také poslední verze, která obsahovala Infineon secure element knihovnu - ta byla pak nahrazena Yubico knihovnou), to samé YubiKey Bio s firmwarem 5.7.2 a YubiHSM 2 s firmwarem 2.4.0. (v článku předložka do vyznívá jako včetně, ale je to vyjma)
Salamek avatar 4.9.2024 14:21 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico 
YubiKey 5 NFC (5.4.3)
Fuck...
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
4.9.2024 14:28 X
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
To je sice hezky, ale:
YubiKeys are programmed in Yubico's facilities with the latest available firmware and once programmed cannot be updated to another version.
Takze to muzes rovnou vyhodit..
4.9.2024 14:43 Jan Kapčiar
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Prosím přečtěte si článek, v čem ona zranitelnost spočívá - dá se dohledat i na CZ webu český popis.

Aby mohl útočník YubiKey zneužít, musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD). Podle situace může útočník potřebovat také další znalosti včetně uživatelského jména, kódu PIN, hesla k účtu nebo ověřovacího klíče. Zranitelnost má dopad především na použití standardu FIDO, protože ten se ve výchozím nastavení spoléhá na postiženou funkci. Pokud používáte FIDO a máte už jen nastavený PIN, tak jste ok! Dále: V závislosti na konfiguraci a volbě algoritmu koncovým uživatelem mohou být ovlivněny také aplikace YubiKey PIV a OpenPGP.

Uvidíme, co k tomu dále napíše Yubico za doporučení. Není to příjemné, ale rozhodně to není důvod k vyhození tokenu.
tralala avatar 4.9.2024 14:45 tralala | skóre: 9 | blog: tralala
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Vo firmach sa vyhadzovat bude :) sukromne tiez cakam na doporucenie - mam verziu 5.4.3
Salamek avatar 4.9.2024 14:52 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Tak az je budete vyhazovat tak je poslete vyresetovane mym smerem, ja je klidne budu pouzivat dal ;-)
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
4.9.2024 14:54 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
musel by mít token fyzicky u sebe, znát uživatelské účty a mít specializované vybavení k provedení potřebného útoku (10k+ USD)
Ona jsou vyhlášena nějaká oficiální kritéria (náklady na útok, technické vybavení, míra fyzického přístupu, jejich kombinace), při jejichž nedosažení se nad zranitelností technického prostředku může mávnout rukou?
4.9.2024 17:32 Chulda
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Tak rozhodnutí je na vás, ale CVSS skóre ukazuje, jak závažný ten problém je a tam se vyloženě zohledňují ta vámi uvedená kritéria :)

V případě nutnosti fyzického přístupu je skóre podstatně nižší než když je možné vzdáleně zneužít tu chybu, viz i tento případ.

A jak vidno, jiní nad tím mávnou rukou a jen toto riziko zohlední.
4.9.2024 19:58 xxx
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Ty kriteria mas mit stanovena jeste pred vyberem technickeho porstredku, protoze to jsou kriteria, podle kterych ten prostredek vybiras.
4.9.2024 20:29 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
A jakým způsobem se tedy ve výběru předem zohledňuje potenciální zranitelnost prostředku v jeho předpokládaném životním cyklu?
4.9.2024 20:49 xxx
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Nijak. Ale pokud povazujes bariaeru 10k USD a nutnost onen prostredek najit/zcizit za dostatecnou, tak to pouzivat dal muzes. Nebo mi neco uniklo?
4.9.2024 22:25 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Pokud se nějakému kvalifikovanému prostředku odebere z důvodu zjištěné zranitelnosti certifikace, CA k určitému datu revokují certifikáty na ně dosud vystavené. Před tímto datem revokace je tedy třeba požádat (zdarma typicky s datumem expirace původního certifikátu) o následný certifikát na jiný uznávaný certifikovaný prostředek.
4.9.2024 23:16 xxx
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Uh. Neslo by to nejak vic laicky? Jedna se o znefunkcneni HW, nebo prestane vvyhovovat formalnim pozadavkum?
5.9.2024 07:09 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Hardware bude fungovat dál. Ale certifikáty na něm uložené přestanou platit.
5.9.2024 10:03 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Pokud je privátní klíč vygenerován uvnitř tokenu v době platnosti (tj. před zkrácením/vypršením) jeho certifikace kvalifikovaného prostředku bude CA autoritou podepsaná veřejná část kvalifikovaného certifikátu obsahovat příznak QESCD. Ten může(nemusí) být zákonem/stranami(např. při podpisu smluv) vyžadován pro splnění určitého stupně zabezpečení, z důvodu předpokládané vyšší ochrany privátního klíče (privátní klíč "nemůže" opustit token v němž vznikl) než při jeho uložení na filesystému či na nekvalifikovaném/zranitelném prostředku.
5.9.2024 18:00 bhbhh
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Ty o bezpecnosti nic nevis, ze?
4.9.2024 16:14 X
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
To jsou bezvyznamne penize, pokud jde napriklad o vojenske prostredky, CA HSM, nebo jinou nebo kritickou infrastrukturu. Risknes to? Pochybuji. Jen samotna existence moznosti je dost zavazny problem.
4.9.2024 19:09 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Nemusí jít jen o útok útočníka z venku, ale i o nějakou "pohodlnost vlastních lidí". Už ve slavných dobách RSA SecurID se našli tací, co si token nechávali doma a snímali ho Axis web kamerou nebo takto rovnou jeden účet sdílelo více lidí. A děje se to pořád, jen to dnes přešlo na sms brány nebo Androidy s TeamViewerem. Ono jak tyhle korporátní politiky dopadnou na lidi co jsou v IT schopný, tak se dějou věci :-D
4.9.2024 20:31 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Pokrok nezastavíš, v devadesátkách se chodilo měsíčně do banky pro vytištěný seznam jednorázových hesel pro denní dávkové příkazy.
5.9.2024 10:28 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Některé věci mě (nebo možná někomu jinému) dekády unikají. Jedna z prvních institucí v ČR (tipoval bych to někdy okolo roku 2004), která začala s širokým využitím kvalifikovaných certifikátu byla ČSSZ. Typický případ užití byla personální oznámení (nástupy atd) z organizace směrem k ČSSZ. K tomuto účelu musela být pověřená osoba za organizaci (typicky mzdová účetní) vybavena kvalifikovaným certifikátem uznávané české CA. Její kvalifikovaný certifikát (např. zaměstnanecký v případě PostSignum) byl vybaven jednoznačným atributem Identifikátorem klienta MPSV (IKPMSV). Když se před vypršením u CA vystavil následný certifikát muselo se sériové číslo následného certifikátu nahlásit telefonicky na ČSSZ, časem k tomu vytvořili webovou stránku na portálu. Dodnes mi uniká proč se tak dělo a asi stále děje, z metadat následného certifikátu (zejména IKPMSV) přeci musí být zřejmé, že jde stále o stejnou osobu (jejíž oprávnění jedna za organizaci v mezidobí změněno nebylo).
Salamek avatar 4.9.2024 14:49 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Ale prd, vektor utoku je tak sileny ze subjekt co by jej zvladl provest by stejne tak zvladl vas nechat "zmizet" a veskere info z vas vymucit v nejakem blacksite...
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
4.9.2024 15:01 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Ale hovno, mit lab a v nem potrebne nastroje ma kde kdo. Treba u nas v labu mame nastroje asi tak za $800k protoze nam to vydelava vice penez.
4.9.2024 17:22 Ai
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
ale web mas za 1$
4.9.2024 19:42 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
no a? Snad nebudu platit za 5 statickych stranek jako kokot VPS, admina co to bude spravovat a retarda ktery bude vyvijet FE/BE reseni...
Salamek avatar 4.9.2024 21:01 Salamek | skóre: 22 | blog: salamovo
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Musis znat muj pin a mit muj yubikey... k tomu ti je lab za $800k jaksi k hovnu...
Skutečně nemám v plánu zničit Microsoft. Bude to jen zcela neúmyslný vedlejší efekt.
5.9.2024 01:03 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
ukrast ti token je otazka par sekund a dostat pin taky...
4.9.2024 14:38 PetebLazar | skóre: 34 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Reálná "morální životnost" některých autoritami nabízených kvalifikovaných prostředků se ukáže docela tristní. Dočkal se, některý z vašich tokenů, své původně naplánované doby certifikace?
USB token TokenME (výrobce Oberthur Card System) V prodeji do 12/2020. 31.12.2022 - prostředek již není podporován jako kvalifikovaný
4.9.2024 16:37 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
zrovna Oberthur stal za hovno jiz v den uvedeni na trh... jinak mas pravdu.
4.9.2024 17:29
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Můžu se zeptat zkušenějsích? Je mi v Linuxu k něčemu TokenMe? Myslím jako třeba k uložení ssh klíčů. Píšou tam něco o variantách produktu, myslím, že by to měla být ta úplně poslední, s platností certifikace do 2030.
4.9.2024 18:03 X
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Kdyz, se ptas tak asi knicemu, ale pod linuxem funguje.
4.9.2024 18:23
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Ptám se, protože už ho mám, kvůli tomu, že mi ho stát nanutil. (Ale velkoryse mě ho nechal zaplatit.) A když už ho mám, tak mě napadlo, jestli by náhodou na něj nešel také uložit alespoň ssh klíč. Přičemž si nemůžu dovolit žádné velké pokusy, protože potřebuji v každém případě zachovat originální funkčnost.
4.9.2024 19:44 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
pred xx lety jsem to pouzival k ulozeni ssh klice (Oberthur, pak Gemalto, pak...), byl s tim jenom vopruz...
4.9.2024 21:27 pavele
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
Ale je to o něco bezpečnější než mít klíč na flešce, ne? :-)
5.9.2024 01:08 RealJ | skóre: 8
Rozbalit Rozbalit vše Re: Bezpečnostní problém tokenů od společnosti Yubico
jo...

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.