W sumie nikt nie popełniał chyba jeszcze wpisu o Yubikeyach, więc potencjalny autorze - jako uzupełnienie tego wpisu masz szansę
No, ale nie o tym.
Zapewne większość z was uwierzytelnia różne rzeczy telefonem - czy to aplikacją bankową, czy też korzystając z aplikacji typu Google Authenticathor, Authy, 2FAS, Ping iD. Wiecie, jak to skonfigurować i jak obsługiwać. Ale czemu działa? I dlaczego jak zgubimy telefon i nie mamy kopii zapasowej, to nie można nijak odzyskać konta bez kodów generowanych przy podpinaniu aplikacji / klucza uwierzytelniającego?
Aby nie pomieszać (bo klucze sprzętowe typu Yubikey to jedno, a aplikacje generujące kody to drugie) warto poznać pojęcie TOTP (Time Based One Time Password). To ten 6-cyfrowy kod, który zmienia się co 30 sekund, który generuje nam aplikacja. To działa, bo istnieje "sekret", który zna authenticator. Owym "sekretem" jest właśnie jest kod (kreskowy, QR itp), który skanuje się łącząc aplikację z kontem. Gdy apka uwierzytelniająca "zna" ten sekret, może wypluwać 6-cyfrowe kody, które pozwolą na zalogowanie się - ale uwaga - nigdy nie ujawnia go ponownie i nie ma jak jej go z bebechów wydłubać.
W przypadku aplikacji na smartfony "sekret" jest przechowywany w telefonie. W przypadku kluczy sprzętowych takich jak Yubikey, "sekret" jest przechowywany TYLKO na kluczu (i ujawniony, gdy podłączysz klucz do dowolnego urządzenia, na którym możesz uruchomić Yubikey Authenticator).
Korzystając z aplikacji uwierzytelniających Jeśli chcesz, możesz wydrukować kod kreskowy / QR (czyli ów "sekret") i załadować go do wielu urządzeń (czyli np. 3 smarfony będą w stanie generować te same kody) na początku, gdy po raz pierwszy ustawiasz TOTP lub później w dowolnym terminie. Czyli tylko aplikacje, które "widziały" ów konkretny, sekretny kod będą w stanie generować dla użytkownika działające kody.
Ogólnie przyjmuje się, że najlepiej jest mieć "sekret" w dwóch miejscach, zwłaszcza w przypadku stron / kont, które nie dają opcji awaryjnego uwierzytelniania np. przy pomocy SMS (a pamiętajmy, że opcja awaryjna czyni rzeczy MNIEJ bezpiecznymi np. ta SMS-owa jest podatna na kradzież / klonowanie karty SIM). Większość ludzi w takiej sytuacji skorzystałaby z dwóch fizycznych kluczy (dlatego doradza się od razu kupowanie zapasowego), przechowywałaby wydrukowaną kopię "sekretu" do konfiguracji authenticatorów, albo kodów do odzyskwania konta gdzieś w bezpiecznym miejscu.
To, co warto zrozumieć i zapamiętać, to fakt, że nie możba NIGDY wydostać sekretu z Yubikey lub aplikacji typu Google Authenticator. Nie ma także sposobu na wykonanie kopii zapasowej klucza Yubikey lub Google Authenticator bez oryginalnego kodu kreskowego (lub jego odpowiednika tekstowego).
Klucze Yubikey obsługują również U2F, który jest lepszym, bardziej bezpiecznym rozwiązaniem od TOTP, ponieważ nie ma tu kodu, który można wyłudzić. Niestety wsparcie dla tej opcji jest rzadziej spotykane niż dla TOTP, ale zdecydowanie lepiej jest używać go, jeśli się ma taką możliwość. Jest to coś, czego prawdopodobnie nigdy nie próbowałeś, jeśli nie masz jakiejś odmiany klucza sprzętowego.
Na koniec ciekawostka: żaden polski bank nie umożliwia dodatkowego zabezpieczenia swojego konta przy pomocy kluczy sprzętowych i mimo plotek o trwających pracach, od dwóch lat temat z miejsca nie ruszył.
Uwaga: wyjaśnienie znalazłam w necie i przerobiłam, żeby się lepiej czytało i było przystępniejsze dla przeciętnego człowieka. Wg mojej wiedzy trzyma się kupy, ale jeśli ktoś znacznie lepiej obeznany ode mnie dostrzeże nieścisłości, to proszę o sprostowanie
W ogóle to ciekawe, czy ktoś tę ścianę tekstu w ogóle przeczyta
A tu trochę info o kluczach (i niech was nie pokusi kupować kiedykolwiek używki, czy korzystać z jakiegoś znalezionego na ulicy
@kosik jakieś formy backupu są (nie wiem jak na Androidzie, na iOS na pewno, bo mój migrowało w backupie). Ale raczej nie wyciągniesz z niego tego kodu kreskowego do ponownego zeskanowania, bo to byłby gigantyczny wektor potencjalnego ataku.
Nie dodałem ostatnio nic bo leżałem chory, dzisiaj jeszcze odpocznę ale jutro już coś dla was napiszę! Obiecuje!
Poniżej ciekawostka która się wydarzyła stosunkowo niedawno
Ktoś wysłał komornikom fałszywą wiadomość e-mail i wyłudził od nich hasła do portalu Krajowej Rady Komorniczej. Komornicy publikują tam obwieszczenia o licytacjach, np. zajętych nieruchomości. Atakujący ze zhackowanycych kont komorników opublikował fałszywe obwieszczenia — zaproszenia do licytacji. Osoby, które zdecydowały się przystąpić do tych licytacji, zgodnie z wymogami musiały wpłacić wadium. Problem w tym, że podane konto bankowe należało do złodzieja…
Jako że stworzona społecznośc cybersecurity ma nie tylko uczyć ale i chronić to jest ważna informacja!
Informujecie nas, że otrzymujecie SMS-y z numeru “669979971“, które przywołują w treści marki “Inpost” i “PGE”. Wiadomości zachęcają do odwiedzenia strony CBZC i zastanawiacie się o co chodzi… Uspokajamy: to nie atak, to akcja Centralnego Biura Zwalczania Cyberprzestępczości. Policjanci ostatnio złapali szajkę okradającą Polaków takimi SMS-ami i aktualnie poszukują poszkodowanych, którzy w wyniku złośliwych SMS-ów mogli stracić pieniądze. Jeśli straciłeś pieniądze na skutek tego oszustwa lub znasz kogoś kto je stracił — zobacz co należy zrobić.
@SuperSzturmowiec to racja. W szkole na informatyce powinni uczyć na co uważać, a było rysowanie w paint. Chociaż zagrożenia też są świeże więc ciężko.
Chyba trzeba traktować to tak że jak widzisz co ktoś odwala to wiesz z kim masz do czynienia xD
Zajmuję się programowaniem, głównie PHP, trochę baz danych czasami liznę front. Mój stały zleceniodawca jako że był zadowolony z jakości mojej pracy i kompleksowego podejścia przekazał kontakt do mnie do pewnej instytucji publicznej, która zajmuje się edukacją.
Szybkie rozpoznanie terenu, sprawdzenie paru rzeczy trochę automatami, trochę ręcznie i zapaliło się wszystko na czerwono
publicznie dostępne dumpy SQL
brak aktualizacji od ponad 5 lat
Lista cve dłuższa, niz niejeden wiersz
publicznie dostępne configi serwera
najciekawsza była prośba o implementację integracji pomimo, że była wykonana, więc nie wiadomo, co kto zbieral i po co
Itd...
W zasadzie każdy mógł zrobić wszystko łącznie z dropem całej bazy danych
W takim przypadku należy:
a) zgłosić sprawę do uodo
b) na policję
c) do prokuratury
D) do każdego z publiczną kopią
A wy jak podchodzicie do security w swoich projektach? Spotkaliście takie kwiatki?
@pescyn admin tak wszystko zrobił dbając o "bezpieczeństwo" , ochrona danych z mojego doświadczenia jest traktowana dość po macoszemu, czego nie rozumiem, ale z drugiej strony co taki pan informatyk za 4k jest w stanie zrobić mając zlecenia od podpięcia myszki a skończywszy na robieniu katalogu w flashu XD
Cyber Polygon to unikalne wydarzenie z zakresu cyberbezpieczeństwa, które łączy w sobie największe na świecie szkolenie techniczne dla zespołów korporacyjnych oraz konferencję online z udziałem wysokich rangą przedstawicieli organizacji międzynarodowych i wiodących korporacji.
Każdego roku, szkolenie gromadzi szerokie grono globalnych firm i struktur rządowych, podczas gdy transmisja na żywo gromadzi miliony widzów z całego świata.
Cele strategiczne
Coroczne szkolenie umożliwia organizacjom ocenę ich cyberodporności, wymianę najlepszych praktyk i przyniesienie wymiernych rezultatów globalnej społeczności:
rozwijanie umiejętności zespołów w zakresie odpierania ataków cybernetycznych
poszerzenie praktycznej wiedzy specjalistów technicznych
zaangażowanie kierownictwa organizacji międzynarodowych i korporacji w dialog na temat bezpieczeństwa cybernetycznego
zwiększenie świadomości społecznej w zakresie bezpieczeństwa cybernetycznego
Koncepcja 2021
W miarę jak globalna cyfryzacja nabiera coraz większego tempa, świat staje się coraz bardziej połączony. Wokół nas powstają cyfrowe ekosystemy: państwa, przedsiębiorstwa i osoby prywatne korzystają z szybkiego rozprzestrzeniania się internetu i inteligentnych urządzeń. W tym kontekście wystarczy jedno podatne na ataki ogniwo, aby cały system runął, podobnie jak efekt domina.
Bezpieczne podejście do rozwoju cyfrowego już dziś zadecyduje o przyszłości ludzkości na najbliższe dziesięciolecia.
Cyber Polygon 2021 umożliwi widzom i uczestnikom doskonalenie swoich umiejętności w zakresie cyberbezpieczeństwa, wzmocni odporność ich organizacji i nauczy odpierać cyberzagrożenia na wszystkich poziomach.
Konferencja online
Czołowi światowi eksperci omówią kluczowe zagrożenia związane z cyfryzacją i podzielą się najlepszymi praktykami w zakresie rozwoju bezpiecznego ekosystemu.
Szkolenie techniczne
Zespoły będą ćwiczyć odpieranie ukierunkowanego ataku na łańcuch dostaw w ekosystemie korporacyjnym.
Ścieżka ekspercka
Specjaliści, którzy nie mogą wziąć udziału w praktycznej części Cyber Polygonu, mogą być na bieżąco dzięki naszym materiałom wideo. Będą one zawierały prezentacje ekspertów z dziedziny cyberbezpieczeństwa. Wszystkie materiały zostaną udostępnione w dniu wydarzenia.
Cyber Poligon 2020
W 2020 roku transmisja na żywo zgromadziła 5 milionów widzów z 57 krajów. W wydarzeniu wzięli udział światowi liderzy i znani eksperci, w tym Michaił Miszustin, premier Federacji Rosyjskiej, Klaus Schwab, założyciel i przewodniczący wykonawczy Światowego Forum Ekonomicznego, najwyżsi urzędnicy z INTERPOL, ICANN, Visa, IBM, Sber, MTS i innych organizacji.
W ćwiczeniach technicznych wzięło udział 120 największych przedsiębiorstw z 29 krajów. Wśród nich znalazły się instytucje finansowe, opieki zdrowotnej i edukacyjne, organy państwowe i organy ścigania, dostawcy energii, firmy z branży IT, metalowej, telekomunikacyjnej, chemicznej, inżynierii lotniczej i kosmicznej oraz innych.
