Good USB - Csináld magad YubiKey

Hardver

Nincs több tízezer forintod YubiKey-re, de szeretnél hasonló funkcionalitású eszközt olcsón? Nézd meg a Good USB-t, ami Arduino felhasználásával ad a kezedbe "csináld magad" hardveres 2FA eszközt.

( Dolphy | 2022. 06. 19., v – 07:18 )

Szerkesztve: 2022. 06. 19., v – 07:18

Mennyivel biztonsagosabb egy ilyen, mint egy telora telepitett TOTP kodos kliens? Offline?

En is ezen gondolkodtam, szerintem semmivel ez kb csak a "barkacsolasrol" szol. Githubon irja is:

Is this truly secure?
Not completely. It is possible to pull the code and keys out of the Arduino.

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

Ok de ugye telefonnal merjuk most (a szalban) ossze, mindket eszkoz kompromittalhato es ha maga az usb-s eszkoz nem tesz sokkal tobbet mint hogy ad neked egy privat kulcsot amibol szamolhatsz akkor en nem latok telefonos eszkozhoz kepest biztonsagi elonyt.

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

Ott az előny a gépre dugott YubiKey-nél, hogy kevés, hogy felbasszák a gépet, mert emberi interakció is kell ahhoz, hogy kiadja a YubiKey a karaktersort. Történetesen, ha villog, meg kell fizikailag érinteni. Igen, elképzelhető, hogy valahogy rávehető egy sérülékenység kihasználásával, hogy a YubiKey kiadja a megfelelő karaktersort, de ehhez abban meg kell találni a sérülékenységet.

Egy telefonon, ami a YubiKey-jel ellentétben nem céleszköz, valószínűleg egyszerűbb sérülékenységet találni erre.

A fenti eszköz is afelé megy, hogy legyen rajta egy gomb, amit meg kell nyomni. Itt a biztonságot az fogja megadni, hogy mennyire sikerül kevésbé kompromittálható eszközökből összeállítani.

trey @ gépház

Teljesen igazad van a YubiKey-jel kapcsolatban, de ahogy nezem jelenleg ez meg eleg messze van attol, ezert irtam amit irtam - kizarolag errol a cuccrol. Ettol fuggetlenul a kenyelem reszet megertem.

[insert line here]
B.C. 3500 - DIY Vehicle / A.D. 30 - DIY Religion / A.D. 1991 - DIY OS

A ficko proof of concept-kent alkotta meg ezt az eszkozt. Ha torli az LB1-es es LB2-es Lock Bit-et, onnantol a Flash es az EEPROM olvasasa is tiltott. Torolheto a JTAG debug, es az ujraprogramozas is. Innentol kezdve kb. annyira nehez kinyerni belole a kulcsot, mint barmi masbol. (ld. az adatlap 353. oldalat)

Persze fejlesztes kozben az ujraprogramozas meg a debug torlese, meg az EEPROM olvasas tiltasa csak plusz nehezites, nem csodalom, hogy nem billentette at.

A strange game. The only winning move is not to play. How about a nice game of chess?

Innentol kezdve kb. annyira nehez kinyerni belole a kulcsot, mint barmi masbol.

Not true. Pl. side-channel HW attack-ek?

"It’s important to understand what we mean by “secure hardware.” Secure hardware features a secure chip, which has built-in countermeasures to mitigate a long list of attacks. Standard microcontrollers lacks these features. Built-in countermeasures make intrusive- and non-intrusive attacks an order of magnitude more complicated to perform. Secure hardware relies on secure firmware, where additional firmware countermeasures are implemented to further strengthen the device against attacks."

https://www.yubico.com/blog/secure-hardware-vs-open-source/

Magyarul ez egy jatek. De teny jobb mint a semmi...

s/biztonságosabb/kényelmesebb/

Próbáld ki, ha több mindenhez használod, hogy mennyivel kényelmesebb a gépbe bedugott USB-s eszközt megérinteni egy sudo második faktorhoz, meg számtalan weboldalhoz, mint állandóan kézbe venni a telefont, belépni az appba, megkeresni az adott fiókhoz tartozó bejegyzést, megnyomni, kibogarászni a számsort, visszagépelni, <jaj, elbasztam>, megint, <jaj, lejárt a idő>, megint, a faszom ...

Egy-két fióknál ez még csak-csak, de amikor 20-30-nál tartasz, akkor azt mondod, megéri az a 40 ezer forint két YubiKey-re ... Hogy ez ad-e olyan kényelmet mint egy NFC-s YubiKey? Végigolvasva, hogy hol tart, még nem, de további fejlesztéseket ígér a szerző.

trey @ gépház

Az MS Authenticatorral például így léphetsz be az Azure admin oldalra, de támogatott esetben a sima Windows belépés is megoldható így, ha AzureAD-s a userstore.
Mivel a Microsoft MFA megoldás tud így működni (ahogy a lent említett összes többi is), igazából a rendszergazdán/megrendelőn múlik, hogy hol engedélyezi és hol nem, akár a teljes SSO-ra kiterjeszthető és akkor minden céges rendszert így tudsz elérni.

En nem allitok be semmit sehova es nem vetetek semmit senkivel. Most egy mezei netes felhasznalo szemszogebol vizsgaltuk a dolgot, aki (en) szeretne belepni gugliba, lastpass-ba, github-ra, flickr-be, online bankba, stb. Hogy te rendszergazdakent mit taknyolsz ossze az AD kornyezeteddel, leszarom. Ez meg ilyen.

Tehát akkor te mezei user ha valaki összetaknyozta neked a google, a GitHub meg egyéb más helyeken ahova be akarsz lépni, hogy lehessen mondjuk MS authenticatorral, DUO-val, google authenticatorral ingyen vagy épp egy kurva drága de semmivel nem biztonságosabb kulccsal akkor te azt választod? Elég érdekes user vagy...

DUO Security, MS Authenticator (ahogy fent is írták) Google saját appos 2nd factor (Pl Youtube appon keresztül) meg még rengeteg, sőt már az RSA SecurID-nak is van hasonló megoldása.
Ezek azért egyik sem kis cég és mindenhol elég egy értesítésre rányomnia és Approve/Deny közül választani.
 

A security key (akár gyári, akár barkács) alapvetően azért biztonságosabb, mint az OTP (akár app/SMS/email/kijelzős kütyü alapú), mert a phishing lehetőséget kiiktatja: ha OTP-t kell megadnod, és azt beírod a g00gle.com-ra, akkor a támadó azt fel tudja használni, hogy saját magánál azzal a google.com-ra lépjen be, de a security key által készített aláírás nem lesz érvényes, azt nem lehet továbbítani (mert tartalmazza a domaint is).

A YubiKey és a hasonló gyári megoldások az ilyen barkácsmegoldásoknál még annyival adnak többet, hogy nem tudod kinyerni és lemásolni belőle a privát kulcsot észrevétlenül, hamarabb válik használhatatlanná az eszköz, minthogy a memóriachiphez hozzáférnél - ennél az Arduino-s kütyünél ha megszerzed pár órára, valószínűleg ki tudod olvasni belőle a privát kulcsot anélkül, hogy a tulajdonosa ezt utólag észrevenné.

Egyébként Google bejelentkezéshez lehet a modernebb telefonokat bluetoothon át security keynek használni, ekkor nem kell külön eszközt venned, és megkapod a security key szintű phishing elleni védelmet is: https://support.google.com/accounts/answer/9289445 (arról nem tudok, hogy ezt más szolgáltató támogatná).

A barkacsmegoldasnal is be tudod allitani a megfelelo lock biteket. Nem egy Yubikey, de ha valaki ezt elviszi par orara, sokkal kisebb az esely, hogy rajon, megis mi a fene ez, mert annyira egyedi. Harombetusoknek vagy van Yubikeyhez polcrol leveheto megoldasuk, vagy nem, de amit te otthon barkacsolsz, ahhoz biztosan nincs.

A security by obscurity nem ajanlott, de ha valami nagyon szokatlan, akkor jol mukodik a gyakorlatban. Valamelyik kernelfejleszto irta, hogy honapokig hasznalt egy tavolrol sebezheto VAX-ra forditott SSHD-t problema nelkul, mert aki exploitot tudott volna irni ra, annak nem volt meg a hardware, ugy meg nehez.

A strange game. The only winning move is not to play. How about a nice game of chess?

( Caro | 2022. 06. 19., v – 08:45 )

Az eredeti hírről maradtam le, jó tudni hogy létezik ilyen. SSH mellé régóta gondolkodok hasonlón.

( Ago | 2022. 06. 21., k – 19:59 )

Szerkesztve: 2022. 06. 21., k – 20:08

Annyit fűznék hozzá, - bár érdekelt fél vagyok a Yubikey sikerében itthon is, ezt a transzparencia miatt írom -, hogy a Google is Yubikeyt használ, nem a Google Authenticatort második faktornak. Ez talán jelent valamit. A Yubikeynél elég nagy figyelmet fordítanak, hogy minden amit lehet és amit ők fejlesztenek, nyílt legyen. A Yubikey OTP metódus is teljesen nyilvános volt az elejétől - https://developers.yubico.com/OTP/ - és egyébként az egész működés és feature mit tud és mit nem, elég transzparens: https://docs.yubico.com/hardware/yubikey/yk-5/tech-manual/webdocs.pdf 

Manapság fontos, hogy elmondhatjuk/elmondhatják azt is, ami EU piacra készül az EU-ban készül, ami USA-nak az USA-ban - talán az 5Ci a kivétel, az USA-ban készül(t), de ezt nem követem, mert elég kevéssé keresett (meg a jövőben az USB C miatt már mindegy is lesz). ÉS elvileg nincs benne kínai cucc. Ezt külön ki szokták emelni. (Gondolom a kínaiak hasonló kütyüi kínai belpiacra meg a fordítottját, teljesen érthető módon). https://www.yubico.com/products/manufacturing/

Alapítói és erőteljes támogatói a FIDO alliancenak  - https://fidoalliance.org/company/yubico/ - , egyébként egy szuper korrekt csapat - skandináv alapok -, és eléggé kiforrott már a cég működése is (nyilván a hirtelen növekedéssel útkeresések és huppanók is voltak). 

Mellékesen, amikor cyber kárra akarsz biztosítást kötni - van már ilyen - akkor hardver alapú - és minősített - eszközt követel meg a biztosító a második faktorra. Egyébként vannak érdekes és jó kezdeményezések sok fele, jó is ez, minél elterjedtebb a metódus - hw kulcsok, 2fa, bármi extra védelem - , annál jobb.

És egyébként a molding megbontása is következményekkel jár. Ezt is elfelejtettem említeni. ÉS elég komoly verifikációkon megy át - FIPS verzió is EU-ba CSPN is van, mivel FIPS az nagyon USA. ( The French information security agency (ANSSI) developed the CSPN certification as a lightweight alternative to CC certifications)
Amennyiben reklámnak gondoljátok vagy hypeolásnak töröljétek nyugodtan a postot, de a mondat az elején direkt azért van ott, tisztánlátás végett írtam ezeket.