Co bardziej świadomi użytkownicy kluczy YubiKey (choć chyba nie tylko) od wczoraj zapewne żyją tym, że bezpieczne klucze okazały się niekoniecznie aż tak bezpiecznie i w pewnych warunkach można je sklonować. Zacznę jednak od tego, że nie ma co panikować. Sam swoich kluczy nie wyrzuciłem, by kupić nowe (może innej firmy? ;-P), a dalej ich używam, choć są podatne (trefne), bo sprzed maja 2024, a więc mają oprogramowanie w wersji starszej niż 5.7 (podatność dotyczy też kluczy YubiHSM i YubiHSM 2 z oprogramowaniem starszym niż wersja 2.4). I tak główna zaleta w kontekście bezpieczeństwa stała się tym razem wadą, bo w kluczach tych nie można dokonać aktualizacji oprogramowania. Z jaką wersją wyjdą z fabryki, z taka zakończą swój żywot…
Na szczęście atak o nazwie Eucleak (nazwany tak przed odkrywców podatności z NinjaLab) nie jest ani prosty, ani tani, a do tego raczej nie da się go przeprowadzić tak, by nie pozostawić śladów po nim, bo wymaga nie tylko fizycznego dostępu do klucza, ale i jego rozebrania, a to może być trudne, bo cała elektronika po prostu jest zalana plastikiem, który przy okazji robi za obudowę klucza. A wszystko dlatego, że do ataku na klucz, a konkretnie układ Infineon 9 korzystający z podatnej biblioteki ECDSA wykorzystuje się… oscyloskop. Tak więc pożyczyć klucza na chwilę i zwrócić łatwo nie będzie, więc równie dobrze atakujący może sobie zachować „pożyczony” oryginał, zamiast męczyć się z próbą klonowania. Tak więc atakujący musi mieć dostęp do klucza, musi go rozebrać (procedura jednokierunkowa), posiadać odpowiedni sprzęt i sporo wiedzy… A na koniec jeszcze musi posiadać login i hasło do serwisu, gdzie korzystamy z klucza YubiKey, by moc odczytywać zachowanie klucza, gdy otrzymuje prośby o autoryzację. Więcej o podatności można przeczytać na stronie YubiKey, oraz na stronie odkrywców podatności, czyli NinjaLab (a bardziej dociekliwych może zainteresować PDF z pełnym raportem).
Natomiast nie mam wątpliwości, że służby sobie z tym poradzą, ale… na szczęście mało prawdopodobne, by większością z nas się faktycznie interesowały, a jeśli już, to klucz YubiKey pewnie i tak będzie najmniejszym zmartwieniem… ;-)
- Home Assistant 2024.10, czyli nowa karta „nagłówek” i niedziałający TTS w ramach usługi Google Cloud - 1970-01-01
- Zero Trust od Cloudflare, czyli prosty i bezpieczny sposób na dostęp do lokalnych zasobów z zewnątrz, bez publicznego adresu IP i otwierania portów na routerze - 1970-01-01
- Home Assistant i integracja z IMGW-PIB, czyli tworzymy automatyzację z powiadomieniami bazując na sensorach zagrożenie i alarm powodziowy - 1970-01-01