Twoje PC  
Zarejestruj się na Twoje PC
TwojePC.pl | PC | Komputery, nowe technologie, recenzje, testy
M E N U
  0
 » Nowości
0
 » Archiwum
0
 » Recenzje / Testy
0
 » Board
0
 » Rejestracja
0
0
 
Szukaj @ TwojePC
 

w Newsach i na Boardzie
 
TwojePC.pl © 2001 - 2021
Wtorek 12 stycznia 2021 
    

Potwierdzono podatność klucza Google Titan na kopiowanie


Autor: Wedelek | źródło: Ninjalab | 05:01
(3)
Jakiś czas temu Google stworzyło dla swoich pracowników dedykowany, fizyczny klucz zabezpieczeń o nazwie Titan. Ten po podpięciu do portu USB odpowiada za dodatkową autentyfikację użytkownika, znacząco zwiększając bezpieczeństwo. Całość działa podobnie jak dwustopniowa weryfikacja za pomocą kodu SMS/e-mail. Różnica polega na tym, że po podaniu hasła nie musimy odbierać i wpisywać dodatkowego ciągu znaków, a zamiast tego podpinamy nasz klucz do portu USB lub łączymy go z naszym urządzeniem za pomocą Bluetooth. Jest to bardzo bezpieczna metoda, bo zwykłe przechwycenie hasła w niczym złodziejowi nie pomoże, a i kodu autentyfikacyjnego nie da się łatwo pozyskać.

Samo narzędzie okazało się na tyle wygodne, że w 2018 roku Titan trafił do sklepów, gdzie może go nabyć każdy. Wraz ze wzrostem jego popularności eksperci ds. zabezpieczeń poddawali go coraz wnikliwszej analizie i w końcu udało się znaleźć sposób na obejście jego zabezpieczeń. Od razu nadmienię, że sama metoda nie jest ani łatwa ani tania, bo wymaga fizycznego dostępu do klucza i dużych nakładów finansowych na jego zeskanowanie i skopiowanie. Innymi słowy jeśli nie jesteście w posiadaniu bardzo ważnych danych, to nikt nie będzie Was w ten sposób atakować, a sam wektor ataku należy potraktować bardziej jak ciekawostkę niż realne zagrożenie.

Podatność Titana jest ściśle związana z układem scalonym jaki w nim zastosowano. Jest to chip NXP A700X, który z uwagi na swoją popularność jest używany również przez innych producentów kluczy zabezpieczających i przez to jest na tyle dobrze poznany, że można go stosunkowo łatwo sklonować. Potencjalny złodziej korzysta więc z ataku typu side-channel, który co prawda jest relatywnie prosty do przeprowadzenia, ale wymaga stosowania specjalnych narzędzi, co czyni go bardzo drogim. Mowa tu o kwotach rzędu kilku tysięcy dolarów.

Przy tym wcześniej potencjalny złodziej musi uzyskać jeszcze hasło i oczywiście wykraść sam klucz. Najlepiej w taki sposób, żeby ofiara się nie zorientowała i nie zmieniła w międzyczasie systemu zabezpieczeń. A to już takie proste nie jest.

Jeśli temat Was zainteresował i chcielibyście się dowiedzieć nieco więcej na ten temat, to odsyłam Was do materiału Ninjalab, który precyzyjnie opisuje całe zagadnienie i samą procedurę ataku – LINK.


 

    
K O M E N T A R Z E
    

  1. Nierzetelny, clickbaitowy artykuł (autor: Pyth0n | data: 12/01/21 | godz.: 07:47)
    * Atak niszczy fizycznie klucz ("rozkucie" obudowy, trawienie skorup scalaków stężonym kwasem). Nie da rady ukraść, skopiować i podrzucić z powrotem użytkownikowi.
    * Sama procedura skanowania trwa 6-8 godzin, nie licząc czasu potrzebnego na demontaż i trawienie scalaków
    * U2F nie jest zabezpieczony hasłem. Nie trzeba go kopiować, wystarczy ukraść - skoro klonowanie i tak go niszczy. A wersje zabezpieczalne pinem (możliwe w FIDO2, nie w klasycznym U2F) nie dadzą się zeskanować, bo bez PINu scalak nawet nie dotknie klucza prywatnego.


  2. Da radę, (autor: Jacek_2004 | data: 12/01/21 | godz.: 11:13)
    jeżeli wykonasz dwie kopie i podrzucisz jedną.


  3. omg (autor: pawel1207 | data: 14/01/21 | godz.: 23:49)
    maja refleks podobne rozwiazanie stosowalismy 10 lat temu i wyglada na to ze bylo znacznie lepsze ..:D :D

    
D O D A J   K O M E N T A R Z
    

Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.