image

Usb-beveiligingsleutel aangekondigd die volledig open source is

vrijdag 17 augustus 2018, 15:30 door Redactie, 12 reacties

Er is een nieuwe usb-beveiligingssleutel aangekondigd die volledig open source is, zowel qua hardware als software. De "Solo" voldoet aan de FIDO2- U2F-standaarden en moet gebruikers een veiligere manier bieden om op accounts in te loggen dan bijvoorbeeld tweefactorauthenticatie via sms.

De usb-beveiligingssleutel fungeert als tweede factor tijdens het inloggen. Nadat het wachtwoord is ingevoerd wordt de aanwezigheid van de sleutel gecontroleerd. Daarnaast beschermt de usb-beveiligingssleutel tegen phishing. De naam van de website wordt namelijk cryptografisch gesigneerd. Daardoor werkt de sleutel alleen bij de websites waarvoor die moet werken en niet bij een phishingsite.

Vorig jaar maart stelde Google nog dat een usb-beveiligingssleutel de beste bescherming tegen phishing biedt. De Solo is naar eigen zeggen de eerste opensourcebeveiligingssleutel die met Facebook, Google,Twitter en andere websites werkt. De sleutel is echter nog niet te koop. Begin deze herfst zal er een Kickstarter voor de Solo starten.

Reacties (12)
18-08-2018, 08:38 door karma4
Wordt er overal uitgedragen geen onbekende USB dingen in apparaten te stoppen.
Dat wringt ook als mechanische defecten kunnen ontstaan.
18-08-2018, 08:51 door Anoniem
Door karma4: Wordt er overal uitgedragen geen onbekende USB dingen in apparaten te stoppen.
Dat wringt ook als mechanische defecten kunnen ontstaan.
Als je een U2F-sleutel koopt is dat net als elk ander USB-apparaat dat je koopt niet iets wat je op straat hebt gevonden maar een bekend apparaat.
18-08-2018, 12:13 door Bitwiper - Bijgewerkt: 18-08-2018, 12:36
Door Anoniem:
Door karma4: Wordt er overal uitgedragen geen onbekende USB dingen in apparaten te stoppen.
Dat wringt ook als mechanische defecten kunnen ontstaan.
Als je een U2F-sleutel koopt is dat net als elk ander USB-apparaat dat je koopt niet iets wat je op straat hebt gevonden maar een bekend apparaat.
Exact. Maar degene waar je op reageert heeft Windows op zijn/haar PC, en vindt wellicht daarom het risico van een bekende USB-stick in die PC steken groter dan bijvoorbeeld zijn/haar hoofd voor onbekende beveiligings- en zelfs gezichtsherkennningscamera's houden (want dat zou, aldus bedoelde persoon, hetzelfde risico opleveren als jezelf fysiek in de openbare ruimte begeven en door andere mensen gezien worden).

En misschien heeft zij/hij wel gelijk - over de risico's van vertrouwde USB devices in een Windows PC steken bedoel ik. Je weet immers niet wat er met zo'n USB device kan gebeuren (voorbeelden: [1] en [2]) - los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt (Nb. dat met telemetrie op de laagst mogelijke stand).

[1] https://hackaday.com/2016/02/01/ftdi-drivers-break-fake-chips-again/
[2] https://answers.microsoft.com/en-us/windows/forum/windows_7-hardware/readyboost-makes-my-usb-unusable/d9e349e2-d25e-4fe2-be44-0ebd13f45ba0
18-08-2018, 13:04 door karma4 - Bijgewerkt: 18-08-2018, 13:22
Door Bitwiper:... Exact. Maar degene waar je op reageert heeft Windows op zijn/haar PC, en vindt wellicht daarom het risico van een bekende USB-stick in die PC steken groter dan bijvoorbeeld zijn/haar hoofd voor onbekende beveiligings- en zelfs gezichtsherkennningscamera's houden (want dat zou, aldus bedoelde persoon, hetzelfde risico opleveren als jezelf fysiek in de openbare ruimte begeven en door andere mensen gezien worden).
..
Ik kijk wat verder dan de thuis-pc, die is niet zo interessant.

De Enterprise omgeving met plekken waar gevoelige gegevens naar de desktop gekopieerd worden omdat er geen passende ICT processen zijn. Dan moet die werknemer een USB-stick in een machine gaan pluggen (kiosk model?) terwijl we nu net uitdragen geen usb zaken te willen gebruiken. De uitzondering in een Enterprise is daarbij al lastig.
https://www.databreachtoday.asia/improving-security-for-usb-drives-a-5851
https://hackernoon.com/this-3-diy-usb-device-will-kill-your-computer-33c4bdb1da40
Dat is os onafhankelijk en bij serieus gebruik relevant.

Hoe kan je uiteindelijk vooraf goed vaststellen dat een USB van de zaak is en niet iets wat opzettelijk neergelegd is.
Als je er een persoonlijk kenmerk opzet kan je wel je eigen usb vertrouwen maar je weet niet wat op het apparaat staat en de beheerder van het apparaat weet niet wie de fysieke toegang heeft.

Deze technische oplossing is al vele jaren oud. Kun je bij de bekende firma's inkopen.
https://www.vasco.com/products/two-factor-authenticators/hardware/pki/digipass-key-202.html
https://www.vasco.com/products/two-factor-authenticators/hardware/card-readers/digipass-870.html
18-08-2018, 15:45 door Bitwiper - Bijgewerkt: 18-08-2018, 15:50
DIGIPASS 870 is a USB enabled personal card reader
ALLE hardware waar een aanvaller fysieke toegang tot heeft, nadat -maar zeker ook voordat- jouw organisatie deze ontving (ook camera"s dus - voor zover die niet overlopen van factory-added-software-achterdeuren en andere gapende gaten) kan zijn gebackdoored en/of gegevens naar buiten jouw organisatie verzenden (ook indien je een van internet gescheiden netwerk gebruikt).

Wat kan jij toch zwammen.
18-08-2018, 16:10 door karma4
Door Bitwiper: ,,,,
Wat kan jij toch zwammen.
Het zwammen en dikke duimen laat ik aan de open source gratis voor niets fanaten over.
Die "DIGIPASS 870 is a USB enabled personal card reader" is het pki systeem voor id bewijzen van België. Een chipkaart is wat lastige kapot te maken naar een apart eigen maar universeel USB gebeuren. Je houdt je eigen apparatuur zo gescheiden van direct contact. Wil je nu echt zeggen dat open USB toegang handig is in Enterprise settings.
Ja zeker handig voor de black hacker en het te verwachten datalek. Daar ben je op uit of op tegen?
18-08-2018, 16:42 door Anoniem
Door karma4: Het zwammen en dikke duimen laat ik aan de open source gratis voor niets fanaten over.
Dat er dingen zijn die je gratis kan krijgen lijkt je nogal hoog te zitten. Waarom eigenlijk?
Die "DIGIPASS 870 is a USB enabled personal card reader" is het pki systeem voor id bewijzen van België. Een chipkaart is wat lastige kapot te maken naar een apart eigen maar universeel USB gebeuren. Je houdt je eigen apparatuur zo gescheiden van direct contact. Wil je nu echt zeggen dat open USB toegang handig is in Enterprise settings.
Als je de DigiPass 870 in connected mode gebruikt dan heb je een USB-poort nodig. Dat je daar een smartcard insteekt wil niet zeggen dat je apparatuur gescheiden is van direct contact.

Ik zie twee apparaten die een USB-poort nodig hebben, en in het ene geval vertrouw je het wel en in het andere niet. Voor zover ik zie zit het verschil in de woorden "open source", niet in de vraag of de eigenschappen van het apparaat reden tot wantrouwen geven.
18-08-2018, 18:10 door Anoniem
Door karma4:
Door Bitwiper: ,,,,
Wat kan jij toch zwammen.
Het zwammen en dikke duimen laat ik aan de open source gratis voor niets fanaten over.
Die "DIGIPASS 870 is a USB enabled personal card reader" is het pki systeem voor id bewijzen van België. Een chipkaart is wat lastige kapot te maken naar een apart eigen maar universeel USB gebeuren. Je houdt je eigen apparatuur zo gescheiden van direct contact. Wil je nu echt zeggen dat open USB toegang handig is in Enterprise settings.
Ja zeker handig voor de black hacker en het te verwachten datalek. Daar ben je op uit of op tegen?
Ik ben vooral tegen selectief quoten.
18-08-2018, 19:11 door -karma4 - Bijgewerkt: 18-08-2018, 19:12
Door Bitwiper: ... los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt (Nb. dat met telemetrie op de laagst mogelijke stand) ...

WTF! (Wat moeten zij met mijn USB-device informatie?)
19-08-2018, 15:57 door Anoniem
Door Bitwiper:

los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt

Heb je daar meer info over?
DTM
19-08-2018, 17:53 door [Account Verwijderd]
Door Anoniem:
Door Bitwiper:

los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt

Heb je daar meer info over?
DTM

Ja, Bitwiper: Waar heb je die kennis vandaan?
Ik heb de hele halve middag gezocht, maar ik kan het nergens vinden...
19-08-2018, 20:01 door Bitwiper - Bijgewerkt: 19-08-2018, 20:18
Door Anoniem:
Door Bitwiper:
los van het feit dat Windows 10 meteen na insteken, via http, gevevens van dat USB device -waaronder een GUID- naar Redmond stuurt
Heb je daar meer info over?
DTM
Door Wrebra:
Ja, Bitwiper: Waar heb je die kennis vandaan?
Ik heb de hele halve middag gezocht, maar ik kan het nergens vinden...
Sure, zie https://www.security.nl/posting/574019/W10+sends+USB+telemetry+via+http.

Als je Googled naar MICROSOFT_DEVICE_METADATA_RETRIEVAL_CLIENT zul je zien dat ik niet de enige ben die dit opvalt. Draai gewoon af en toe Wireshark op je PC (ook Linux) en kijk wat er gebeurt en probeer dat te begrijpen. M.i. zeer leerzaam!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.