Nieuws

Usb-beveiligingsleutel aangekondigd die volledig open source is

vrijdag 17 augustus 2018, 15:30 door Redactie, 12 reacties

Er is een nieuwe usb-beveiligingssleutel aangekondigd die volledig open source is, zowel qua hardware als software. De "Solo" voldoet aan de FIDO2- U2F-standaarden en moet gebruikers een veiligere manier bieden om op accounts in te loggen dan bijvoorbeeld tweefactorauthenticatie via sms.

De usb-beveiligingssleutel fungeert als tweede factor tijdens het inloggen. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Daarnaast beschermt de usb-beveiligingssleutel tegen phishing. De naam van de website wordt namelijk cryptografisch gesigneerd. Daardoor werkt de sleutel alleen bij de websites waarvoor die moet werken en niet bij een phishingsite.

Vorig jaar maart stelde Google nog dat een usb-beveiligingssleutel de beste bescherming tegen phishing biedt. De Solo is naar eigen zeggen de eerste opensourcebeveiligingssleutel die met Facebook, Google,Twitter en andere websites werkt. De sleutel is echter nog niet te koop. Begin deze herfst zal er een Kickstarter voor de Solo starten.

Facebook beloont onderzoek naar trackingbescherming met 100.000 dollar

Z-CERT: fax ongeschikt voor uitwisselen medische gegevens

Reacties (12)

18-08-2018, 08:38 door karma4

Wordt er overal uitgedragen geen onbekende USB dingen in apparaten te stoppen.
Dat wringt ook als mechanische defecten kunnen ontstaan.

18-08-2018, 08:51 door Anoniem

Door karma4: Wordt er overal uitgedragen geen onbekende USB dingen in apparaten te stoppen.
Dat wringt ook als mechanische defecten kunnen ontstaan.

Als je een U2F-sleutel koopt is dat net als elk ander USB-apparaat dat je koopt niet iets wat je op straat hebt gevonden maar een bekend apparaat.

18-08-2018, 12:13 door Bitwiper - Bijgewerkt: 18-08-2018, 12:36

Door Anoniem:

Door karma4: Wordt er overal uitgedragen geen onbekende USB dingen in apparaten te stoppen.
Dat wringt ook als mechanische defecten kunnen ontstaan.

Als je een U2F-sleutel koopt is dat net als elk ander USB-apparaat dat je koopt niet iets wat je op straat hebt gevonden maar een bekend apparaat.

Exact. Maar degene waar je op reageert heeft Windows op zijn/haar PC, en vindt wellicht daarom het risico van een bekende USB-stick in die PC steken groter dan bijvoorbeeld zijn/haar hoofd voor onbekende beveiligings- en zelfs gezichtsherkennningscamera's houden (want dat zou, aldus bedoelde persoon, hetzelfde risico opleveren als jezelf fysiek in de openbare ruimte begeven en door andere mensen gezien worden).

En misschien heeft zij/hij wel gelijk - over de risico's van vertrouwde USB devices in een Windows PC steken bedoel ik. Je weet immers niet wat er met zo'n USB device kan gebeuren (voorbeelden: [1] en [2]) - los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt (Nb. dat met telemetrie op de laagst mogelijke stand).

[1] https://hackaday.com/2016/02/01/ftdi-drivers-break-fake-chips-again/
[2] https://answers.microsoft.com/en-us/windows/forum/windows_7-hardware/readyboost-makes-my-usb-unusable/d9e349e2-d25e-4fe2-be44-0ebd13f45ba0

18-08-2018, 13:04 door karma4 - Bijgewerkt: 18-08-2018, 13:22

Door Bitwiper:... Exact. Maar degene waar je op reageert heeft Windows op zijn/haar PC, en vindt wellicht daarom het risico van een bekende USB-stick in die PC steken groter dan bijvoorbeeld zijn/haar hoofd voor onbekende beveiligings- en zelfs gezichtsherkennningscamera's houden (want dat zou, aldus bedoelde persoon, hetzelfde risico opleveren als jezelf fysiek in de openbare ruimte begeven en door andere mensen gezien worden).
..

Ik kijk wat verder dan de thuis-pc, die is niet zo interessant.

De Enterprise omgeving met plekken waar gevoelige gegevens naar de desktop gekopieerd worden omdat er geen passende ICT processen zijn. Dan moet die werknemer een USB-stick in een machine gaan pluggen (kiosk model?) terwijl we nu net uitdragen geen usb zaken te willen gebruiken. De uitzondering in een Enterprise is daarbij al lastig.
https://www.databreachtoday.asia/improving-security-for-usb-drives-a-5851
https://hackernoon.com/this-3-diy-usb-device-will-kill-your-computer-33c4bdb1da40
Dat is os onafhankelijk en bij serieus gebruik relevant.

Hoe kan je uiteindelijk vooraf goed vaststellen dat een USB van de zaak is en niet iets wat opzettelijk neergelegd is.
Als je er een persoonlijk kenmerk opzet kan je wel je eigen usb vertrouwen maar je weet niet wat op het apparaat staat en de beheerder van het apparaat weet niet wie de fysieke toegang heeft.

Deze technische oplossing is al vele jaren oud. Kun je bij de bekende firma's inkopen.
https://www.vasco.com/products/two-factor-authenticators/hardware/pki/digipass-key-202.html
https://www.vasco.com/products/two-factor-authenticators/hardware/card-readers/digipass-870.html

18-08-2018, 15:45 door Bitwiper - Bijgewerkt: 18-08-2018, 15:50

Door karma4: https://www.vasco.com/products/two-factor-authenticators/hardware/card-readers/digipass-870.html

DIGIPASS 870 is a USB enabled personal card reader

ALLE hardware waar een aanvaller fysieke toegang tot heeft, nadat -maar zeker ook voordat- jouw organisatie deze ontving (ook camera"s dus - voor zover die niet overlopen van factory-added-software-achterdeuren en andere gapende gaten) kan zijn gebackdoored en/of gegevens naar buiten jouw organisatie verzenden (ook indien je een van internet gescheiden netwerk gebruikt).

Wat kan jij toch zwammen.

18-08-2018, 16:10 door karma4

Door Bitwiper: ,,,,
Wat kan jij toch zwammen.

Het zwammen en dikke duimen laat ik aan de open source gratis voor niets fanaten over.
Die "DIGIPASS 870 is a USB enabled personal card reader" is het pki systeem voor id bewijzen van België. Een chipkaart is wat lastige kapot te maken naar een apart eigen maar universeel USB gebeuren. Je houdt je eigen apparatuur zo gescheiden van direct contact. Wil je nu echt zeggen dat open USB toegang handig is in Enterprise settings.
Ja zeker handig voor de black hacker en het te verwachten datalek. Daar ben je op uit of op tegen?

18-08-2018, 16:42 door Anoniem

Door karma4: Het zwammen en dikke duimen laat ik aan de open source gratis voor niets fanaten over.

Dat er dingen zijn die je gratis kan krijgen lijkt je nogal hoog te zitten. Waarom eigenlijk?

Die "DIGIPASS 870 is a USB enabled personal card reader" is het pki systeem voor id bewijzen van België. Een chipkaart is wat lastige kapot te maken naar een apart eigen maar universeel USB gebeuren. Je houdt je eigen apparatuur zo gescheiden van direct contact. Wil je nu echt zeggen dat open USB toegang handig is in Enterprise settings.

Als je de DigiPass 870 in connected mode gebruikt dan heb je een USB-poort nodig. Dat je daar een smartcard insteekt wil niet zeggen dat je apparatuur gescheiden is van direct contact.

Ik zie twee apparaten die een USB-poort nodig hebben, en in het ene geval vertrouw je het wel en in het andere niet. Voor zover ik zie zit het verschil in de woorden "open source", niet in de vraag of de eigenschappen van het apparaat reden tot wantrouwen geven.

18-08-2018, 18:10 door Anoniem

Door karma4:

Door Bitwiper: ,,,,
Wat kan jij toch zwammen.

Ik ben vooral tegen selectief quoten.

18-08-2018, 19:11 door -karma4 - Bijgewerkt: 18-08-2018, 19:12

Door Bitwiper: ... los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt (Nb. dat met telemetrie op de laagst mogelijke stand) ...

WTF! (Wat moeten zij met mijn USB-device informatie?)

19-08-2018, 15:57 door Anoniem

Door Bitwiper:

los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt

Heb je daar meer info over?
DTM

19-08-2018, 17:53 door [Account Verwijderd]

Door Anoniem:

Door Bitwiper:

los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt

Heb je daar meer info over?
DTM

Ja, Bitwiper: Waar heb je die kennis vandaan?
Ik heb de hele halve middag gezocht, maar ik kan het nergens vinden...

19-08-2018, 20:01 door Bitwiper - Bijgewerkt: 19-08-2018, 20:18

Door Anoniem:

Door Bitwiper:

los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt

Heb je daar meer info over?
DTM

Door Wrebra:
Ja, Bitwiper: Waar heb je die kennis vandaan?
Ik heb de hele halve middag gezocht, maar ik kan het nergens vinden...

Sure, zie https://www.security.nl/posting/574019/W10+sends+USB+telemetry+via+http.

Als je Googled naar MICROSOFT_DEVICE_METADATA_RETRIEVAL_CLIENT zul je zien dat ik niet de enige ben die dit opvalt. Draai gewoon af en toe Wireshark op je PC (ook Linux) en kijk wat er gebeurt en probeer dat te begrijpen. M.i. zeer leerzaam!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer