No i w końcu ktoś fajnie wytłumaczył o co chodzi z tą aferą z Yubikey. Wszędzie tylko tytuły, że złamano zabezpieczenia, to koniec kluczy sprzętowych... Sam posiadam Yubikey 5 NFC i Yubikey C NFC. Ten pierwszy ma wersję 4.5.x a drugi już nowszą 4.7.2. Przynajmniej teraz wiem, że jako szary kowalski nie mam się zbytnio czego obawiać :) Dzięki za materiał 😃
Bardzo dobrze, że pojawił się ten film. Jakiś czas temu omawiał tą sprawę Piotrek Konieczny z Niebezpiecznika. Atak praktycznie niewykonalny dla szarego Kowalskiego, no chyba, że sąsiedzi wchodzą swobodnie do mieszkania podczas nieobecności interesanta. Większości ludzi to nie dotyczy. Tajemnicą Poliszynela jest, że każde zabezpieczenie zostanie kiedyś złamane, albo ten kto nadzoruje proces zostanie przekupiony bądź zaszantażowany. Problemem nie jest klucz taki a taki tylko, kto to wspiera bo na razie jest z tym bool tyuka chociaż mechanizm nie jest nowy.
Ochrona przeciwko włamaniu do mieszkania, można mieć super zabezpieczenia i antywłamaniowe okna, drzwi za miliony, ale wystarczy dźwig z kulą aby zrobić dziurę w dachu i wejść do obiektu. To tym samym jest ten atak na klucze sprzętowe. Praktycznie przy pomocy młotka można szybko coś zrobić.
Trzeba dodać, ze ten atak wymaga decappingu czyli rozpuszczenia obudowy klucza, aby w pełni wykorzystać podatności na atak kanałem bocznym. Mimo wszystko łatwiej taki klucz ukraść, zrobić co trzeba (np. dodać kolejny klucz) i odłożyć na miejsce. Ilość informacji o atakowanym (hasła, piny, loginy) i złożoność techniczna tego ataku sprawia, ze szybciej i taniej jest złamać człowieka niż te zabezpieczenie.
Mam do sprzedania YubiKey... :-D A tak poważnie to warunki konieczne do przeprowadzenia tego ataku są tak złożone, że mimo podatności przeciętny Kowalski jest lepiej zabepieczony niż w przypadku braku klucza sprzętowego.
I właśnie dlatego należy stawiać na procedury o równym czasie realizacji. :D Jeżeli coś trwa za krótko - wydłużać. A jak jeszcze znajdzie się miejsce na wykonywanie tych samych obliczeń na losowych danych (żeby udawać zużycie prądu i emisję EM), to już w ogóle miód. ;D Tylko ciekawe, jak bardzo będzie się to opierać np. podgrzewaniu czy schładzaniu... Można też jeszcze przerywać dostawę prądu (brownout czy jakiś szerszy fuzzing) i patrzeć, czy mamy odpowiedź zwrotną czy nie... Jak zwykle: zabawa w kotka i myszkę.
Dzięki za cenną wskazówkę, przestałem brać prysznice. Ludzie trochę dziwnie się patrzą jak przechodzę obok ale przynajmniej teraz czuję się bezpieczny.
Jak zwykle Mati daje radę i jak zawsze staje na najwyższym stopniu zadania wyjaśniając coś turbo złożonego w przystępny i prosty sposób. Dzięki 💪 ps szanuje też że nadal używasz obrazka tweeta a nie nowego x 😉 jest ładniejszy i każdy wie ocb
Kupiłem yubikeya 5 nano aby logować się przy włączaniu Windows 11 i co? Nie można użyć tego klucza sprzętowego, taką dostaje informacje gdy próbuję wybrać klucz sprzętowy do logowania...
Ten przykład z hasłem sprawdzanym znak po znaku i mierzeniu czasu od sygnatury elektromagnetycznej którą generuje operacja, to trochę jak atak na kłódkę czy zamek z szyfrem, w którym przeskok po prawidłowej cyfrze kodu (czyli tam mamy jakąś zapadkę/przerwę w dysku etc) będzie odczuwalny jako drgnięcie zamka w dłoni ślusarza (bądź włamywacza) i tak można cyfra po cyfrze ustalić kombinację. Najprostszy trik obrony przed tym, to zrobienie tzw fałszywych wycięć, aby nawet nieprawidłowe cyfry generowały takie same drgnięcia.
Ktoś pokazał, że się da ale chyba o wiele prościej byłoby użyć yubikey w normalny sposób jak już się wejdzie w jego posiadanie albo zainstalować komuś Pegasusa/Predatora czy tam inne fiku miku :)
Tak jak na końcu mówiłeś działają mikro kontrolery firmy Alladin. Póki co nie udało się ich rozgryźć. Też są stosowane jako zabezpieczenie programu. np KIBES.
Jestem włascicielem jednoosobowej działalności gospodarczej, zdecydowanie czuję się zagrożony złamaniem mojego klucza :) Fajne video, szacun za wiedzę, ale serio ludzie czasami mają takie paranoje, ze głowa wysiada. Tak jak mówiłes, szanse że ktoś bedzie chciał shakować mojego klucza jest zerowa, bo nie jestem ani dylomatą, ani prezesem korporacji ani agentem służb, po prostu łatwiej się logować i zabezpieczać niż tymi kodami z autentikatora :)
Chaiłbym zauważyć jedną rzecz... Skoro można zabrać komuś yubikey na godzinę i też jednocześnie znasz jego login i hasło... to możesz się po prostu gdzieś zalogować i coś napsocić... Rozumiem - kopia, podziałasz z opóźnieniem, etc. Ale nadal bliskie niemożliwego...
Możesz się zalogować i dodać swój własny klucz, a potem używać go do logowania. Do menedżera haseł w pierwszej kolejności. Stąd wniosek, że po utracie klucza z pola widzenia, dobrze jest go obejrzeć i sprawdzić, czy nam czegoś nie podpięto do kont.
@@UncoloredKnife Pewnie jakiś skrypcik by się przydał, bo sporo tych kont się nazbierało - sprawdzanie manualne trwałoby zapewne dłużej, niż do następnej utraty z pola widzenia i trzebaby zaczynać od początku.
Czyli analogicznie jak udostępnię nieznajomemu klucz do swojego domu, to on może zrobić kopię i z niego skorzysta do niecnych celów, to tak samo może się stać jak ktoś pożyczy ode mnie yubikey? Pożyczanie kluczy do domu nieznanym osobom nie zalicza się do dobrych praktyk, natomiast pożyczanie klucza youbikey było do tej pory jak najbardziej prawidłowe?
odwieczny cykl wyscigu zbrojen.... ale szczerze mowiac jak slysze o takich podatnosciach gdzie atakujacy musi miec: fizyczny dostep, wszystkie dostepy, admina etc to macham na to reka... ciekawostka dla topki sluzb, a dla przecietnego czlowieka czy nawet power-usera nie ma to znaczenia
żeby wykonać kopię musi mieć znajomość serwisu, loginu, hasła i fizycznie posiadać klucz czy nie łatwiej się wtedy po prostu zalogować? i na pewno łatwiej oddać nieuszkodzony klucz, niż taki, który był analizowany z drugiej strony mówi się, by nie tworzyć własnych bibliotek krypto oczywiście rozumiem, że tam pracują specjaliści w temacie, a mniejsze jej wykorzystanie utrudnia analizę, ale jednak wydanie jej w takim czasie brzmi groźnie chyba że tworzyli ją i testowali dużo dłużej i tylko ten temat przyspieszył wdrożenie
Mam i ... bardzo ciezko tego uzywac. Logowac od tak sie nie mozna, tylko jak drugi etap, banki tego nie obsluguja, w pracy tez nie dolacze, bo gdzie tam w korpo przekonac kogos. No taki fajny bryloczyk na cale 5 stron, waznych, bardzo waznych. Ale jednak pozostale 10 waznych zostaje bez wsparcia. A teraz juz apple pozwala uzywac telefonu jako klucza wiec duzo lepiej/latwiej to dziala.
Nie widzę możliwości obrony przed takim atakiem. Jakby ktoś wiedział co zrobili inżynierowie yk, że w miesiąc ogarnęli tą podatność to z chęcią się zapoznam. Jeśli czas operacji np. mnożenia będzie zawsze taki sam to operacje, kiedy trzeba mnożyć więcej razy będą trwały dłużej. Jeśli czas będzie zawsze inny zrobimy inaczej, będziemy badać ten sam klucz miliony razy, wtedy skorelujemy opóźnienia w udzielaniu odpowiedzi z procesora z danymi, które mu serwujemy. Można też analizować szum w takim widmie lub uznać jakiś wzorzec za szum i go wyciąć z całęgo widma. W końcu można szukać korelacji na fragmentach widma. Może AI by pomogło. Tak czy siak zaglądamy przez sondę bezpośrednio w krzem. Nie ma ratunku.
a mnie zastanawia, na ile taki atak może zostać wykonany z użyciem taniego SDRa zamiast oscyloskopu z sondą bliskiego pola. Po pierwsze, SDR jest o wiele czulszy od oscyloskopu. Po drugie, ściągnięcie próbek I/Q zamiast samej obwiedni daje możliwość głębszej analizy. Po trzecie, ten sam SDR może być użyty do podsłuchu komunikacji USB oraz obserwacji wyświetlacza (np. HDMI) - podobne ataki wykonywano na AES.
Jest jeden problem ponieważ kilku krotne próby uwierzytelniania moze zablokowac dostep do konta a atakowana osoba moze dostać powiadomienie o próbie logowania
Na stronie producenta wersje YubiKey 5 FIPS dalej posiadają wersję Firmware 5.4, albo brak aktualizacji sprzętu albo na stronie sklepu brak aktualizacji
Jestem lajkonikiem w tych sprawach ale czy nie da się zablokować klucza przy, załóżmy 99 próbach podania hasła? Prawdziwy uż tyle razy się nie pomyli a, podejrzewam, nie da się złamać hasła w 99 próbach ( chyba że się fartownie trafi ).
Porównanie z wpisywaniem hasła było uproszczeniem. W praktyce, nie było tu mowy o żadnym haśle, tylko o wielokrotnym korzystaniu z klucza w teoretycznie poprawny sposób. A jeżeli chodzi o logowaniem, w którym używasz klucza do potwierdzenia, to klucz nawet nie wie i nie ma jak wiedzieć czy użytkownik podał poprawne hasło. To wie usługa, do której się próbujesz zalogować.
A to nie jest tak,że jak się stosuje Yubikey to po stronie serwera i klucza zapisuje ile razy był użyty i jak jest rozbieżność to się blokuje. Czyli jak zaloguję się 100 razy "na swoim klucz". Ktoś go skopiuje i zaloguje się na kopii 101-szy raz. I a potem ja zaloguję się ponownie 101-szy raz to serwer uzna, że są dwa takie same klucze i zablokuje klucz?
Nie da się nie odnieść wrażenia, że autor bardzo usilnie stara się nas przekonać, że wprawdzie złamano zabezpieczenia, ale ohohoh, jakie to trudne. Potem się okazuje, że jakaś izraelska firma sprzedała służbom pudełeczko i teraz wystarczy wpiąć taki kluczyk na 15 minut i po sprawie.
Prawda jest taka że; każdy algorytm nawet tzw. Losowe musi być zrozumieć go mogła 2 strona musi być dla niej zrozumiały i tu nie pomoże kodowanie szyfrowanie 124 B ale w świetle faktu że każde zabezpieczenia hasłem da się złamać to jedynie da się złamać znając używając tylko indywidualne nr MAC urządzenia bo to jest jedyną obrona przed złamaniem hasło hasło
Tylko że wejście na poziom urządzenia i wymagania do potwierdzenia z tego urządzeń potwierdzenia w określonym zakresie to trudne aczkolwiek nie niemożliwe ale to znaczy że nie ma bezpieczeństwa chyba za to dotyczy tylko 2 indywidualnych zabezpieczenia typu ja i ty i tylko dla tego zabezpieczenia na 2 indywidualne zamienne algorytm
Tylko 2 bezpośrednio połączenia działające w algorytm indywidualnych dla nich morze uniknąć infiltracji inaczej ... 5000 urządzenia wybuchnie od tak szkoda tych co tam stracił oczy ręce szkoda dzieci ale sygnał dymny by tak się nie stalo
Nie, jak ci ktoś wpusci wirusa na kompa który przejmuje połączenie z serwerem to sie włamie i tak. Nie wiem czy moze zmienic dane bez aktywacji klucza po raz drugi i jak to dokładnie działa ale generalnie jak ktos kontroluje twoj system to złamie wszystko.
Podejrzewam, że jacyś dyplomaci, szefowie banków czy dużych spółek handlowych jeżeli używali starszych kluczy to już mają nowe. A przynajmniej mam taką nadzieję :D
Służby nie muszą bawić się z Twoim kluczem. Same mają wiele różnych, stosunkowo niedrogich przedmiotów, którymi zmuszą Cię do wyjawienia wszystkich informacji, jakie posiadasz.
Jako paranoik boję się podłączać czegokolwiek do portu USB, bo wiem jak łatwo urządzenia mogą udawać i robić co chcą... Skąd mamy wiedzieć, że nasz klucz nie odpali reverse-shella w jakiejś 3 literowej instytucji? Czy Yubikey może być wykorzystany w internecie do deanonimizacji użytkownika? (widziałem legitne strony, które skanują moją sieć domową - i to chyba nie jest wporządku)
A ja mam pytanie co to za przekazy podprogowe... Poprzednio jakaś panna, teraz jakias czerwona plansza od prawego górnego rogu rozchodzi się na cały ekran...
Jeśli nie jesteś posiadaczem dostępu do super pilnie strzeżonych danych, ani miliardów na koncie, to raczej nie ma takiej potrzeby. Nikt nie będzie przeprowadzał takiego ataku na zwykłego "Kowalskiego".
Місяць тому
O nie! Więc ktoś chce ukraść mi mój klucz i go kopiować ponosząc niebotyczne koszty, zamiast po prostu podlączyć go do komputera i zwyczajnie się zalogować przy pomocy loginu i hasła, które i tak musi znać. Aż mnie dreszcz przeszedł.
Sens używania klucza sprzętowego zaczyna się po dezaktywowaniu dostępu za pomocą metod uwierzytelniania "słabszych" niż klucz sprzętowy. Czyli login/hasło, 2FA trzeba dezaktywować po skonfigurowaniu Yubikeya do usługi.
Ale wiesz @MateuszChrobok, że już daaawno da się obejść TPM i mieć Win11 nie...? Ja mam zainstalowany np. na ancient komputerze, gdzie o tym wtedy nikt nie słyszał chyba nawet.. lol...
dla biedaków (czyli dla mnie) problemem zawsze jest cena ... czy moja osoba w świecie internetowym (czy nawet realnym) jest warta +250zł ... raczej nie ... Chciałbym taki klucz (dla pełnego mojego bezpieczeństwa musiałbym mieć z dwa) ale raczej nigdy sobie na takowy nie pozwolę ... :(
Jest i to nawet kilka zer więcej. Ktoś weźmie na ciebie kredyt. To, że go jeszcze nie masz tylko ułatwi sprawę. Kumpla żona tak skończyła. Historii jest wiele, popytaj dookoła.
@@JasonStejtam Ja mam security key NFC który mimo posiadania w opisie i nazwie słowa nfc nie działa z nfc xD No albo to problem braku usług googla i logowania sie przez przeglądarke na tel. Zebrano nowy tag plakietka jest pusta. Jest jakas apka od nich by sprawdzic ten klucz na tel ale tez nie działa bez usług googla. Uzywanie huawei jest strasznie męczące.
Dla wszystkich chcących podpinać U2F do banku - to akurat niekoniecznie wlasciwe narzedzie. Wiesz ŻE autoryzujesz, GDZIE autoryzujesz ale nie wiesż CO. Za mało kontekstu.
@@janepko Jaki jest więc drugi składnik rzy transakcjach? Kody z aplikacji, potwierdzenie w aplikacji lub SMS? Klucz do samego logowana do banku ma w sumie kawałek sensu, bo przynajmniej transakcje inicjowałoby się w sesji rozpoczętej kluczem, więc najpewniej nie zphishowanej.
Prawodopodobnie mam klucze z wersją firmware'u podatną (nie wiem, nie sprawdzałem), natomiast nie muszę obawiać się ataku i podwędzenia klucza, ponieważ jestem nikim XD
No i w końcu ktoś fajnie wytłumaczył o co chodzi z tą aferą z Yubikey. Wszędzie tylko tytuły, że złamano zabezpieczenia, to koniec kluczy sprzętowych...
Sam posiadam Yubikey 5 NFC i Yubikey C NFC. Ten pierwszy ma wersję 4.5.x a drugi już nowszą 4.7.2.
Przynajmniej teraz wiem, że jako szary kowalski nie mam się zbytnio czego obawiać :)
Dzięki za materiał 😃
Nawet te "podatne" klucze Ci pozycje w top 1% zabezpieczonych ludzi 😂
Nie ma zamków (i kluczy) zapobiegających włamaniu. Są tylko utrudniające na tyle, że włamywacz pójdzie raczej do sąsiada.
Najbardziej pozytywne "Cześć" w polskim internecie. Bezdyskusyjnie. Zabieram się za oglądanie.
"Zależnie od poziomu paranoi" - :) rozwalił mnie ten tekst. Świetny materiał.
Bardzo dobrze, że pojawił się ten film. Jakiś czas temu omawiał tą sprawę Piotrek Konieczny z Niebezpiecznika. Atak praktycznie niewykonalny dla szarego Kowalskiego, no chyba, że sąsiedzi wchodzą swobodnie do mieszkania podczas nieobecności interesanta. Większości ludzi to nie dotyczy. Tajemnicą Poliszynela jest, że każde zabezpieczenie zostanie kiedyś złamane, albo ten kto nadzoruje proces zostanie przekupiony bądź zaszantażowany. Problemem nie jest klucz taki a taki tylko, kto to wspiera bo na razie jest z tym bool tyuka chociaż mechanizm nie jest nowy.
Ochrona przeciwko włamaniu do mieszkania, można mieć super zabezpieczenia i antywłamaniowe okna, drzwi za miliony, ale wystarczy dźwig z kulą aby zrobić dziurę w dachu i wejść do obiektu.
To tym samym jest ten atak na klucze sprzętowe. Praktycznie przy pomocy młotka można szybko coś zrobić.
14:13 Co Robić i Jak Żyć?
Właśnie czekałem na twój film aby ktoś lepszy wytłumaczył
Trzeba dodać, ze ten atak wymaga decappingu czyli rozpuszczenia obudowy klucza, aby w pełni wykorzystać podatności na atak kanałem bocznym. Mimo wszystko łatwiej taki klucz ukraść, zrobić co trzeba (np. dodać kolejny klucz) i odłożyć na miejsce. Ilość informacji o atakowanym (hasła, piny, loginy) i złożoność techniczna tego ataku sprawia, ze szybciej i taniej jest złamać człowieka niż te zabezpieczenie.
Mam do sprzedania YubiKey... :-D A tak poważnie to warunki konieczne do przeprowadzenia tego ataku są tak złożone, że mimo podatności przeciętny Kowalski jest lepiej zabepieczony niż w przypadku braku klucza sprzętowego.
I właśnie dlatego należy stawiać na procedury o równym czasie realizacji. :D Jeżeli coś trwa za krótko - wydłużać. A jak jeszcze znajdzie się miejsce na wykonywanie tych samych obliczeń na losowych danych (żeby udawać zużycie prądu i emisję EM), to już w ogóle miód. ;D Tylko ciekawe, jak bardzo będzie się to opierać np. podgrzewaniu czy schładzaniu... Można też jeszcze przerywać dostawę prądu (brownout czy jakiś szerszy fuzzing) i patrzeć, czy mamy odpowiedź zwrotną czy nie... Jak zwykle: zabawa w kotka i myszkę.
Dzięki za cenną wskazówkę, przestałem brać prysznice. Ludzie trochę dziwnie się patrzą jak przechodzę obok ale przynajmniej teraz czuję się bezpieczny.
Klucze Yubikey są wodoodporne, można się kąpać z nimi 😆
Dzięki za świetne wytłumaczenie 👍
Jak zwykle Mati daje radę i jak zawsze staje na najwyższym stopniu zadania wyjaśniając coś turbo złożonego w przystępny i prosty sposób. Dzięki 💪
ps szanuje też że nadal używasz obrazka tweeta a nie nowego x 😉 jest ładniejszy i każdy wie ocb
Kupiłem yubikeya 5 nano aby logować się przy włączaniu Windows 11 i co? Nie można użyć tego klucza sprzętowego, taką dostaje informacje gdy próbuję wybrać klucz sprzętowy do logowania...
Najciekawsza rzecz jakaś w ten weekend widziałem. Dzięki wielkie Mateusz za super materiał. 👍🏻
Ten przykład z hasłem sprawdzanym znak po znaku i mierzeniu czasu od sygnatury elektromagnetycznej którą generuje operacja, to trochę jak atak na kłódkę czy zamek z szyfrem, w którym przeskok po prawidłowej cyfrze kodu (czyli tam mamy jakąś zapadkę/przerwę w dysku etc) będzie odczuwalny jako drgnięcie zamka w dłoni ślusarza (bądź włamywacza) i tak można cyfra po cyfrze ustalić kombinację. Najprostszy trik obrony przed tym, to zrobienie tzw fałszywych wycięć, aby nawet nieprawidłowe cyfry generowały takie same drgnięcia.
Ktoś pokazał, że się da ale chyba o wiele prościej byłoby użyć yubikey w normalny sposób jak już się wejdzie w jego posiadanie albo zainstalować komuś Pegasusa/Predatora czy tam inne fiku miku :)
Tak jak na końcu mówiłeś działają mikro kontrolery firmy Alladin. Póki co nie udało się ich rozgryźć. Też są stosowane jako zabezpieczenie programu. np KIBES.
Jestem włascicielem jednoosobowej działalności gospodarczej, zdecydowanie czuję się zagrożony złamaniem mojego klucza :) Fajne video, szacun za wiedzę, ale serio ludzie czasami mają takie paranoje, ze głowa wysiada. Tak jak mówiłes, szanse że ktoś bedzie chciał shakować mojego klucza jest zerowa, bo nie jestem ani dylomatą, ani prezesem korporacji ani agentem służb, po prostu łatwiej się logować i zabezpieczać niż tymi kodami z autentikatora :)
Bardzo dobra robota 👍
Dzięki
Chaiłbym zauważyć jedną rzecz... Skoro można zabrać komuś yubikey na godzinę i też jednocześnie znasz jego login i hasło... to możesz się po prostu gdzieś zalogować i coś napsocić... Rozumiem - kopia, podziałasz z opóźnieniem, etc. Ale nadal bliskie niemożliwego...
Możesz się zalogować i dodać swój własny klucz, a potem używać go do logowania. Do menedżera haseł w pierwszej kolejności.
Stąd wniosek, że po utracie klucza z pola widzenia, dobrze jest go obejrzeć i sprawdzić, czy nam czegoś nie podpięto do kont.
@@UncoloredKnife Pewnie jakiś skrypcik by się przydał, bo sporo tych kont się nazbierało - sprawdzanie manualne trwałoby zapewne dłużej, niż do następnej utraty z pola widzenia i trzebaby zaczynać od początku.
Czyli analogicznie jak udostępnię nieznajomemu klucz do swojego domu, to on może zrobić kopię i z niego skorzysta do niecnych celów, to tak samo może się stać jak ktoś pożyczy ode mnie yubikey?
Pożyczanie kluczy do domu nieznanym osobom nie zalicza się do dobrych praktyk, natomiast pożyczanie klucza youbikey było do tej pory jak najbardziej prawidłowe?
witam panie Mateuszu Chrobok - w filmie pan wspomniał o wymianie takich kluczy - co pan na myśli to mówiąc. Za odpowiedź dziękuje z góry.
7:42 piękne
odwieczny cykl wyscigu zbrojen.... ale szczerze mowiac jak slysze o takich podatnosciach gdzie atakujacy musi miec: fizyczny dostep, wszystkie dostepy, admina etc to macham na to reka... ciekawostka dla topki sluzb, a dla przecietnego czlowieka czy nawet power-usera nie ma to znaczenia
żeby wykonać kopię musi mieć znajomość serwisu, loginu, hasła i fizycznie posiadać klucz
czy nie łatwiej się wtedy po prostu zalogować? i na pewno łatwiej oddać nieuszkodzony klucz, niż taki, który był analizowany
z drugiej strony mówi się, by nie tworzyć własnych bibliotek krypto
oczywiście rozumiem, że tam pracują specjaliści w temacie, a mniejsze jej wykorzystanie utrudnia analizę, ale jednak wydanie jej w takim czasie brzmi groźnie
chyba że tworzyli ją i testowali dużo dłużej i tylko ten temat przyspieszył wdrożenie
Mam i ... bardzo ciezko tego uzywac. Logowac od tak sie nie mozna, tylko jak drugi etap, banki tego nie obsluguja, w pracy tez nie dolacze, bo gdzie tam w korpo przekonac kogos. No taki fajny bryloczyk na cale 5 stron, waznych, bardzo waznych. Ale jednak pozostale 10 waznych zostaje bez wsparcia. A teraz juz apple pozwala uzywac telefonu jako klucza wiec duzo lepiej/latwiej to dziala.
PKO już obsługuje
@@irukard ale nie wszystkie dostępne rozwiązania
powoli w końcu banki zaczynają obsługiwać, już 3 w polsce ogarniają. a co do wygody, cóż, bezpieczeństwo nigdy nie jest wygodne
Technologia jest stosunkowo nowa, wdrożenie jej trwa. Nie wszystko od razu.
@@MrRobaloAmigo znaczy zauważ że taki fb czy google powalają na to już od kilku lat
Mateusz tak jak mówiłeś Infineon jest niemiecki a u niemca procesy hmm no delikatnie mówiąc leżą i są mentalnie przestarzałe ⚠️
Nie widzę możliwości obrony przed takim atakiem. Jakby ktoś wiedział co zrobili inżynierowie yk, że w miesiąc ogarnęli tą podatność to z chęcią się zapoznam.
Jeśli czas operacji np. mnożenia będzie zawsze taki sam to operacje, kiedy trzeba mnożyć więcej razy będą trwały dłużej. Jeśli czas będzie zawsze inny zrobimy inaczej, będziemy badać ten sam klucz miliony razy, wtedy skorelujemy opóźnienia w udzielaniu odpowiedzi z procesora z danymi, które mu serwujemy. Można też analizować szum w takim widmie lub uznać jakiś wzorzec za szum i go wyciąć z całęgo widma. W końcu można szukać korelacji na fragmentach widma. Może AI by pomogło. Tak czy siak zaglądamy przez sondę bezpośrednio w krzem. Nie ma ratunku.
a mnie zastanawia, na ile taki atak może zostać wykonany z użyciem taniego SDRa zamiast oscyloskopu z sondą bliskiego pola. Po pierwsze, SDR jest o wiele czulszy od oscyloskopu. Po drugie, ściągnięcie próbek I/Q zamiast samej obwiedni daje możliwość głębszej analizy. Po trzecie, ten sam SDR może być użyty do podsłuchu komunikacji USB oraz obserwacji wyświetlacza (np. HDMI) - podobne ataki wykonywano na AES.
👍👍👍
5:20 jest i Goticzek :)
Najbardziej polska z niemieckich gier xD
Jest jeden problem ponieważ kilku krotne próby uwierzytelniania moze zablokowac dostep do konta a atakowana osoba moze dostać powiadomienie o próbie logowania
👍👍 Łapka pod zasięg 👍👊
A zrobić jedną kopię, zwrócić ją i zostawić sobie oryginał?
Można po prostu ukraść komuś klucz, kiedy ten ktoś jest zdala od kopii, np. na wakacjach. Zanim wróci, można próbować się włamywać.
Na stronie producenta wersje YubiKey 5 FIPS dalej posiadają wersję Firmware 5.4, albo brak aktualizacji sprzętu albo na stronie sklepu brak aktualizacji
Jestem lajkonikiem w tych sprawach ale czy nie da się zablokować klucza przy, załóżmy 99 próbach podania hasła? Prawdziwy uż tyle razy się nie pomyli a, podejrzewam, nie da się złamać hasła w 99 próbach ( chyba że się fartownie trafi ).
Porównanie z wpisywaniem hasła było uproszczeniem. W praktyce, nie było tu mowy o żadnym haśle, tylko o wielokrotnym korzystaniu z klucza w teoretycznie poprawny sposób.
A jeżeli chodzi o logowaniem, w którym używasz klucza do potwierdzenia, to klucz nawet nie wie i nie ma jak wiedzieć czy użytkownik podał poprawne hasło. To wie usługa, do której się próbujesz zalogować.
@@kotletor dzięki za wyjaśnienie
A to nie jest tak,że jak się stosuje Yubikey to po stronie serwera i klucza zapisuje ile razy był użyty i jak jest rozbieżność to się blokuje. Czyli jak zaloguję się 100 razy "na swoim klucz". Ktoś go skopiuje i zaloguje się na kopii 101-szy raz. I a potem ja zaloguję się ponownie 101-szy raz to serwer uzna, że są dwa takie same klucze i zablokuje klucz?
Nie, klucz niczego w sobie nie zapisuje podczas używania.
mam yubikeya..z chęcią obejrzę :)
A co sądzisz o kluczach Thetis i Winkeo?
Nie da się nie odnieść wrażenia, że autor bardzo usilnie stara się nas przekonać, że wprawdzie złamano zabezpieczenia, ale ohohoh, jakie to trudne. Potem się okazuje, że jakaś izraelska firma sprzedała służbom pudełeczko i teraz wystarczy wpiąć taki kluczyk na 15 minut i po sprawie.
Wklej prosze kiedys Tigera Bonzo "tego typu"
No ok ale jak chce cos uwierzytelnic przez fona , to gdzie ten yubikey mam podłączyć ?
Przez NFC albo włożyć w przejściówkę
Edit: Są też yubikey z USB-C
Teraz pojawią się promocje na Yubico :)
17:13 tego typu
W końcu branża hakerska.
Benc
Prawda jest taka że; każdy algorytm nawet tzw. Losowe musi być zrozumieć go mogła 2 strona musi być dla niej zrozumiały i tu nie pomoże kodowanie szyfrowanie 124 B ale w świetle faktu że każde zabezpieczenia hasłem da się złamać to jedynie da się złamać znając używając tylko indywidualne nr MAC urządzenia bo to jest jedyną obrona przed złamaniem hasło hasło
Tylko że wejście na poziom urządzenia i wymagania do potwierdzenia z tego urządzeń potwierdzenia w określonym zakresie to trudne aczkolwiek nie niemożliwe ale to znaczy że nie ma bezpieczeństwa chyba za to dotyczy tylko 2 indywidualnych zabezpieczenia typu ja i ty i tylko dla tego zabezpieczenia na 2 indywidualne zamienne algorytm
Tylko 2 bezpośrednio połączenia działające w algorytm indywidualnych dla nich morze uniknąć infiltracji inaczej ... 5000 urządzenia wybuchnie od tak szkoda tych co tam stracił oczy ręce szkoda dzieci ale sygnał dymny by tak się nie stalo
Wstawka z Tymkiem 🎉
Wymienić????
Czyli ta cała "afera" to strategia marketingowa, na zwiększenie sprzedaży....
Polecam prędkość odtwarzania x2 lub więcej.
Dzięki
@@mr.krangnet2968 odpowiedź na pytanie: co robić i jak żyć 😅
autentyczny fakt ;-) a są takie fakty, które nie są autentyczne?
yubico zrobi akcje wymiany ? kiedys chyba robilo .
Czyli co z polskiego na polski jeśli używam klucza yubikey mogę mieć chasło 1234 i taki sam login a i tak nikt się nie włamie ?
Nie, jak ci ktoś wpusci wirusa na kompa który przejmuje połączenie z serwerem to sie włamie i tak. Nie wiem czy moze zmienic dane bez aktywacji klucza po raz drugi i jak to dokładnie działa ale generalnie jak ktos kontroluje twoj system to złamie wszystko.
W skrócie - tak. Ale dokładniej - nie ma mocnych na piwniczaka w czarnym kapeluszu, który chce cie zhackowac
czyli wszystkie wcześniejsze klucze są do kosza gdy obawiamy się służb.
Czym cel cenniejszy tym atak bardziej opłacalny.
Podejrzewam, że jacyś dyplomaci, szefowie banków czy dużych spółek handlowych jeżeli używali starszych kluczy to już mają nowe. A przynajmniej mam taką nadzieję :D
Służby nie muszą bawić się z Twoim kluczem. Same mają wiele różnych, stosunkowo niedrogich przedmiotów, którymi zmuszą Cię do wyjawienia wszystkich informacji, jakie posiadasz.
👍👍
Jako paranoik boję się podłączać czegokolwiek do portu USB, bo wiem jak łatwo urządzenia mogą udawać i robić co chcą... Skąd mamy wiedzieć, że nasz klucz nie odpali reverse-shella w jakiejś 3 literowej instytucji? Czy Yubikey może być wykorzystany w internecie do deanonimizacji użytkownika? (widziałem legitne strony, które skanują moją sieć domową - i to chyba nie jest wporządku)
A jakie to są fakty nieautentyczne? :)
Jesteś na dobrym tropie. Tzn. Mateusz często przemyca w mowie i w obrazkach takie śmieszne podteksty.
A ja mam pytanie co to za przekazy podprogowe... Poprzednio jakaś panna, teraz jakias czerwona plansza od prawego górnego rogu rozchodzi się na cały ekran...
Prezenty od y-tuba
Mam cztery klucze podatne na ten atak i za jakiś czas będę musiał kupić te które mają poprawione oprogramowanie.
Spodziewasz się że służby będą chciały Ci się dobrać do dupy?;D
Jeśli nie jesteś posiadaczem dostępu do super pilnie strzeżonych danych, ani miliardów na koncie, to raczej nie ma takiej potrzeby. Nikt nie będzie przeprowadzał takiego ataku na zwykłego "Kowalskiego".
O nie! Więc ktoś chce ukraść mi mój klucz i go kopiować ponosząc niebotyczne koszty, zamiast po prostu podlączyć go do komputera i zwyczajnie się zalogować przy pomocy loginu i hasła, które i tak musi znać. Aż mnie dreszcz przeszedł.
Sens używania klucza sprzętowego zaczyna się po dezaktywowaniu dostępu za pomocą metod uwierzytelniania "słabszych" niż klucz sprzętowy. Czyli login/hasło, 2FA trzeba dezaktywować po skonfigurowaniu Yubikeya do usługi.
zawsze można do głowy wszczepić sobie yubkey i "z głowy" xD
3:50 nie wiem czy o takim JCOP można powiedzieć ze jest proste.
Ale wiesz @MateuszChrobok, że już daaawno da się obejść TPM i mieć Win11 nie...? Ja mam zainstalowany np. na ancient komputerze, gdzie o tym wtedy nikt nie słyszał chyba nawet.. lol...
Jak powiązane jest obejście wymogu TPM przy instalacji win11 do tematu filmu?
Chłop badał i szukał luki dwa lata która została załatana w miesiąc czasu
co za wkład pracy
Napisałbym, że "pierwszy" ale akurat wracałem dość szybko z Krakowa po HackYeah :D
Albo HackYeah
@@MateuszChrobok no przecież dobrze jest. Po prostu byłem nie wyspany ;)
dla biedaków (czyli dla mnie) problemem zawsze jest cena ...
czy moja osoba w świecie internetowym (czy nawet realnym) jest warta +250zł ... raczej nie ...
Chciałbym taki klucz (dla pełnego mojego bezpieczeństwa musiałbym mieć z dwa) ale raczej nigdy sobie na takowy nie pozwolę ... :(
Jest i to nawet kilka zer więcej. Ktoś weźmie na ciebie kredyt. To, że go jeszcze nie masz tylko ułatwi sprawę. Kumpla żona tak skończyła. Historii jest wiele, popytaj dookoła.
@@romanowskis1at w sumie o tym nie pomyślałem, ja mogę byc bezwartościowy ale moja zdolnośc kredytowoa w parabankach już jest coś warta ... :(
mam wersję z biometrią, także mogę być spokojny :)
kolejne potencjalne miejsce na luke
Chyba, że utną Tobie palec albo palce.
@@jakubmarek1860 ucinanie palca - nowa gałąź socjotechniki ;)
I nie masz większości przydatnych opcji którą posiada YK?
@@JasonStejtam Ja mam security key NFC który mimo posiadania w opisie i nazwie słowa nfc nie działa z nfc xD No albo to problem braku usług googla i logowania sie przez przeglądarke na tel. Zebrano nowy tag plakietka jest pusta. Jest jakas apka od nich by sprawdzic ten klucz na tel ale tez nie działa bez usług googla. Uzywanie huawei jest strasznie męczące.
Kolejny dowód na to, jak bardzo g-warte jest zamknięte oprogramowanie
Pojeb... Kto nie doświadczył wiele razy i stracił wiele ten nie wie... No cóż 🤷 jak żyć ?
Masz duży przester na mikrofonie, źle się słucha! Poza tym mega szacun za merytorykę i wiedzę.
KONTROLĄ
Nie ma jak szyfrowany pendrive + na nim menedżer haseł odpinany od komputerach , stare i dobre rozwiązanie
Brzmi jak proszenie się o kłopoty. Pamięci flash w pendrive są dosyć zawodne i utrata haseł w taki sposób to chyba kiepski plan.
@@Shieldziak mam kilka sztuk kopi
Czym szyfrujesz te pendrivy? Rozwiązanie chyba trochę uciążliwe, bo każdorazowo należy je synchronizować przy tworzeniu nowego konta?
@@JasonStejtam luks
Skoro już jesteśmy przy kryptografii i antitamperingu, to może coś o datAshur i cloudAshur?
nikt😂
Ta podatność na pewno nie znalazła się tam przypadkiem, to kolejna odsłona niemieckiego planu opanowania Świata! ;-)
Dla wszystkich chcących podpinać U2F do banku - to akurat niekoniecznie wlasciwe narzedzie. Wiesz ŻE autoryzujesz, GDZIE autoryzujesz ale nie wiesż CO. Za mało kontekstu.
Yubikey nie działa na lewych stronach więc o ile nie mam zainfekowanego komputera to wiem co autoryzuję
I dlatego (przez brak CO) PSD2 nie pozwala na klucze tego typu do autoryzacji operacji, więc banki tego nie wdrożą, kropka.
@@Alf7Red wytlumaczysz dla debila o co chodzi bo nie czaje
Klucze nie służą do autoryzacji transakcji.
@@janepko Jaki jest więc drugi składnik rzy transakcjach? Kody z aplikacji, potwierdzenie w aplikacji lub SMS? Klucz do samego logowana do banku ma w sumie kawałek sensu, bo przynajmniej transakcje inicjowałoby się w sesji rozpoczętej kluczem, więc najpewniej nie zphishowanej.
O proszę. Kupiłem tydzień temu dwa klucze Yubikey. Firmware 5.7.1.
Prawodopodobnie mam klucze z wersją firmware'u podatną (nie wiem, nie sprawdzałem), natomiast nie muszę obawiać się ataku i podwędzenia klucza, ponieważ jestem nikim XD
Ełk moje miasto :p
Swietna porcja wiedzy, jak zawsze.
Pozdrawiam z przygotowan do egzaminu Networking+ i Security+
O/