Security Advisory YSA-2024-03 Infineon ECDSA Private Key Recovery Published Date: 2024-09-03Tracking IDs: YSA-2024-03CVE: In ProcessCVSS Severity: 4.9 Summary A vulnerability was discovered in Infineon’s cryptographic library, which is utilized in YubiKey 5 Series, and Security Key Series with...
www.yubico.com
Mới dùng chatgpt để đọc, thì thấy hacker vẫn phải có quyền can thiệp vật lý vào Yubikey đã, sau đó cần phải có thêm 1 đống kiến thức để khai thác.
Reactions:
SoulEvilX
Chính xác là vậy mà.
- Can thiệp vật lý thì dễ mà. Bạn để quên key đâu đó rồi ra ngoài smoke chẳng hạn
- Kiến thức là thứ attacker … có thừa
Em nói chứ, cái yubikey giờ vứt ra giữa đường, 100 người đi qua đi lại, ko bik có nhận ra nó là cái gì ko nữa
)
Reactions:
SoulEvilX
Em nói chứ, cái yubikey giờ vứt ra giữa đường, 100 người đi qua đi lại, ko bik có nhận ra nó là cái gì ko nữa
)
Nhận ra là 1 chuyện, còn phải biết chủ nhân của nó là ai, mỗi khóa chỉ khớp vs tk của chính chủ nữa, nói chung việc hack là có thể, nhưng có thực sự khả thi hay không là 1 chuyện khác nữa
giống việc b*av trước đây hack dc face id của iphone đó
Reactions:
SoulEvilX
Em nói chứ, cái yubikey giờ vứt ra giữa đường, 100 người đi qua đi lại, ko bik có nhận ra nó là cái gì ko nữa
)
Nhận ra là 1 chuyện, còn phải biết chủ nhân của nó là ai, mỗi khóa chỉ khớp vs tk của chính chủ nữa, nói chung việc hack là có thể, nhưng có thực sự khả thi hay không là 1 chuyện khác nữa
giống việc b*av trước đây hack dc face id của iphone đó
Cuộc sống có ai biết trước chữ ngờ. Thôi thà xây chuồng trước khi mất bò.
Cuộc sống có ai biết trước chữ ngờ. Thôi thà xây chuồng trước khi mất bò.
rồi giải pháp của bác là gì, mua yubikey firmware mới hơn hả, hay chuyển sang brand khác
rồi giải pháp của bác là gì, mua yubikey firmware mới hơn hả, hay chuyển sang brand khác
Mình mua key mới đó. 2 keys cũ cất vào tủ làm backup. Key mới móc vào chìa khoá mang theo người.
2 key để nhà cũng ớn. Ai biết ở nhà có j … hiaz ….
Uâỳ , ai lại làm thế bạn mình, nhìn quê lắm. Đỉnh cao của ybk là con nano, mua cắm chết vào laptop luôn chứ tháo ra tháo vào làm gì :v.
Mà cũng chả cần ybk nữa , mua token2 cho rẻ
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member. (https://www.token2.com/shop/product/-token2-t2f2-mini-fido2-and-u2f-security-key)
Suy cho cùng chỉ passkey, fido2 là dùng chủ yếu, thì token2 rẻ và dễ tiếp cận.
Passkey, TOTP giờ mấy app Password Manager + Authenticator cân được rồi bạn. Có cần thiết dùng hardware keys không bạn ơi?
Passkey, TOTP giờ mấy app Password Manager + Authenticator cân được rồi bạn. Có cần thiết dùng hardware keys không bạn ơi?
cái này tuỳ thuộc váo quan điểm và cách sử dụng mỗi người. Bạn muốn an toàn cao, nhưng kiến thức sử dụng ko có, thì sử dụng hardwallet keys cũng nguy hiểm
Reactions:
SoulEvilX
Mình mua key mới đó. 2 keys cũ cất vào tủ làm backup. Key mới móc vào chìa khoá mang theo người.
2 key để nhà cũng ớn. Ai biết ở nhà có j … hiaz ….
bác order thằng ở trang chủ hả,có bị hải quan vịn lại ko
cái này tuỳ thuộc váo quan điểm và cách sử dụng mỗi người. Bạn muốn an toàn cao, nhưng kiến thức sử dụng ko có, thì sử dụng hardwallet keys cũng nguy hiểm
- Kiến thức mình hơi bị nữa mùa. Nên rất willing việc ai đó educate mình
( dù cũng làm trong ngành IT này hơn 20 năm )
- Mình bị cái thứ ám ảnh ( maybe đúng / sai ) về security. Hay nói đúng hơn về lòng tin con người. Nên cơ bản chung quanh mình không ai đáng tin, kể cả người chung chăn chung gối hay cả ... người thân
bác order thằng ở trang chủ hả,có bị hải quan vịn lại ko
Shop VN có bán mà . Nhắc mới nhớ nghĩa là thằng bán nó biết mình xài
Reactions:
spinyhangout
- Kiến thức mình hơi bị nữa mùa. Nên rất willing việc ai đó educate mình
( dù cũng làm trong ngành IT này hơn 20 năm )
- Mình bị cái thứ ám ảnh ( maybe đúng / sai ) về security. Hay nói đúng hơn về lòng tin con người. Nên cơ bản chung quanh mình không ai đáng tin, kể cả người chung chăn chung gối hay cả ... người thân
Shop VN có bán mà . Nhắc mới nhớ nghĩa là thằng bán nó biết mình xài
shop VN bán hàng tồn, hàng cũ ko mà bác, Nhớ kêu nó kiểm tra firmware, bác mua đời nào
- Kiến thức mình hơi bị nữa mùa. Nên rất willing việc ai đó educate mình
( dù cũng làm trong ngành IT này hơn 20 năm )
- Mình bị cái thứ ám ảnh ( maybe đúng / sai ) về security. Hay nói đúng hơn về lòng tin con người. Nên cơ bản chung quanh mình không ai đáng tin, kể cả người chung chăn chung gối hay cả ... người thân
Shop VN có bán mà . Nhắc mới nhớ nghĩa là thằng bán nó biết mình xài
Hacker lại chính là người bán cho bạn.
Reactions:
SoulEvilX
I'm a big fan of YubiKeys and the fact that some of them are vulnerable to being cloned doesn't change that. Let me explain.
www.zdnet.com
Dùng tiếp đi bạn mình, bao giờ tài khoản vài chục tỉ hẵng lo
Đọc qua thì nó phải cầm được key của mình, mà nó cầm được thì nó dùng luôn cho rồi.
Chứ muốn âm thầm clone thì phải:
- lấy được key
- phá cái vỏ ra
- có thiết bị đọc
- để lại chỗ cũ
Reactions:
SoulEvilX
Đọc qua thì nó phải cầm được key của mình, mà nó cầm được thì nó dùng luôn cho rồi.
Chứ muốn âm thầm clone thì phải:
- lấy được key
- phá cái vỏ ra
- có thiết bị đọc
- để lại chỗ cũ
Nó dùng luôn thì mình biết. Và chỉ dùng đc 1 lần. Còn clone ra về nhà xài thì seo :v
Mới dùng chatgpt để đọc, thì thấy hacker vẫn phải có quyền can thiệp vật lý vào Yubikey đã, sau đó cần phải có thêm 1 đống kiến thức để khai thác.
Researchers at NinjaLabs
discovered the attack. This sophisticated attack leverages a cryptographic bug, known as a side-channel attack, present in a tiny chip -- the Infineon SLE78 -- within the key. The process requires physical access to the key, disassembling it using solvents or a hot air gun, connecting the chip to $11,000 worth of equipment, and extracting private keys from the key.
That said, existing YubiKey owners don't need to discard their devices. The attack in question requires significant resources – around $11,000 worth of specialized equipment – and advanced expertise in electrical and cryptographic engineering. It also necessitates knowledge of the targeted accounts and potentially sensitive information such as usernames, PINs, account passwords, or authentication keys.
"The attacker would need physical possession of the YubiKey, Security Key, or YubiHSM, knowledge of the accounts they want to target, and specialized equipment to perform the necessary attack," the company
noted in its security advisory.
- Đại khái thì thiết bị cần để extract private keys từ ybk rất đắt đỏ
- Tổng thời gian cần để xử lí con key khoảng tầm 10 giờ, nếu con key có 100 accounts thì ngồi extract cũng cực lắm đoá
Nói chung nếu m là thằng hacker , lỡ lụm dc ybk của bà Hằng thì cũng ráng ngồi mò , còn lụm 1 con hàng random thì thôi liên hệ chủ nhân , trả lại cho nhanh,biết đâu được nữ chủ nhân ( trẻ , đẹp, hồi xuân các thứ ) bồi thường bằng tình cảm. Còn lụm dc của vozer chắc cũng như mình, khả năng tầm vài cái tài khoản pr0nhub với xamvn thôi
Reactions:
SoulEvilX
Cơ bản ý bạn đúng hết ah. dev qu. èn như mình n ợ ng An hàng sml có mé o j đâu.
Nhưng cái gọi là “nỗi sợ tâm l ý @m @nh” thì … nó k cho mình tin cái j hết
Passkey, TOTP giờ mấy app Password Manager + Authenticator cân được rồi bạn. Có cần thiết dùng hardware keys không bạn ơi?
TOTP thì bỏ qua , vì nó oudated. Còn nếu chỉ cần passkey thì sắm ybk ko cần thiết lắm với nhu cầu cá nhân
Ybk nó có nhiều use case hơn, cụ thể là:
- Sử dụng như 1 PKI: ybk role là CA , giữ private key, sử dụng 1 thằng thứ 3 như smallstep để tạo cert , publickey cho các host , mình hay dùng cái này, connect vào host nhanh như 1 giấc mơ , lại an toàn vì private key nằm trong ybk , tạo public key cho cả trăm host vẫn cảm thấy an toàn. Có thể automate rotate key sau 30 ngày tuỳ ý
Link tham khảo
Build a Tiny Certificate Authority For Your Homelab (https://smallstep.com/blog/build-a-tiny-ca-with-raspberry-pi-yubikey/)
- Dùng ybk để connect vào azure resource, nhanh hơn dùng authenticator, đó là lý do mình gắn cứng key vào laptop , ko tháo ra vì dùng thường xuyên
Reactions:
homicidenam and SoulEvilX
TOTP thì bỏ qua , vì nó oudated. Còn nếu chỉ cần passkey thì sắm ybk ko cần thiết lắm với nhu cầu cá nhân
Cám ơn bạn.
Mấy trường hợp kia ngoài tầm rồi.
