Hacker cung cấp bằng chứng về cách thức để đánh bại phần cứng dựa trên công nghệ 2FA

Hacker cung cấp bằng chứng về cách thức để đánh bại phần cứng dựa trên công nghệ 2FA

- in Công nghệ mới, Lập trình
0

Các hacker của DEF CON cho thấy thẻ YubiKeys và RSA có thể bị giả mạo và phá vỡ.

Tấm thẻ phần cứng, thiết bị nhỏ sản xuất mã hoặc cắm vào máy tính của bạn, có thể cung cấp cách tốt nhất để thêm khóa bổ sung vào tài khoản email của bạn. Trong khi xác thực hai yếu tố được gửi bằng tin nhắn SMS có thể bị chặn, một kẻ tấn công có thể sẽ có một thời gian khó khăn hơn để giữ mã độc đáo mà các công cụ tìm kiếm nhỏ này tạo ra.

Nhưng, nó không phải là không thể. Hai nhà nghiên cứu bảo mật tại hội nghị hacking hàng năm của DEF CON tại Las Vegas trình bày một số cuộc tấn công bằng chứng của khái niệm về các thẻ phần cứng phổ biến, bao gồm YubiKey.

“Các thiết bị bảo mật phần cứng là một cải tiến, chúng rất tuyệt, chúng cung cấp mức bảo vệ mà không có gì khác. Tuy nhiên, chúng ta cần lưu tâm đến phần cứng của chúng ta, và chỉ vì chúng ta nói mã thông báo ma thuật này là an toàn, chúng ta không ngầm định Giả sử rằng, “Joe FitzPatrick, một trong những nhà nghiên cứu đằng sau dự án, nói với Bo mạch chủ tại hội nghị. Michael Leibowitz cũng nghiên cứu.

Trên Github, bất cứ ai cũng có thể tải xuống một số mã để bắt chước một YubiKey trên một Arduino, một máy tính nhỏ bé tương tự như một Raspberry Pi. Vì vậy, các nhà nghiên cứu đã lấy nó, nhưng thay vì để chìa khóa như chỉ là một bảng tính máy tính khỏa thân, họ cũng cố gắng sao chép sự xuất hiện của YubiKey thực sự để tạo ra những gì họ dub một DoobieKey. Trong một bản demo trực tiếp, FitzPatrick và Leibowitz cho thấy rằng các máy chủ YubiKey đã nhận ra thiết bị của họ như là một YubiKey chính hãng.

Mặc dù phiên bản chứng minh khái niệm có khả năng sẽ không lừa ai đó trong cơ thể, Leibowitz cũng trình bày một thiết kế in 3D có thể làm cho chìa khóa thuyết phục hơn nhiều.

Đối với một cuộc tấn công có thể hoạt động như thế nào trong thực tế, một hacker có thể làm một loạt DoobieKeys và sau đó đưa chúng ra cho những người tham dự tại một bữa tiệc; Tụ họp nơi mọi người gặp nhau để tìm hiểu về mã hóa và bảo mật. Khi nạn nhân đi và liên kết YubiKey giả của họ với Gmail của họ, ví dụ kẻ tấn công cũng có một bản sao của mã thông báo hai nhân tố của họ.

“Đó là một cuộc tấn công chuỗi cung ứng, bạn đang sửa đổi chúng trước khi người dùng nhận được chúng,” FitzPatrick nói với Bo mạch chủ.

Christopher Harrell, phó chủ tịch kỹ thuật tại Yubico nói với Bo mạch chủ trong một email, “phần cứng cộng với chuỗi cung ứng ngày nay hack cuộc biểu tình tại DefCon minh họa rằng khi mua các sản phẩm an ninh, cả phần mềm và phần cứng, chọn một nguồn đáng tin cậy và đánh giá một cách cẩn thận các kênh truyền hình mua sắm và phân phối là chìa khóa. Tại Yubico, chúng tôi quản lý chuỗi cung ứng của riêng mình và đảm bảo rằng tất cả các bí mật về thiết bị được cung cấp bởi nhà máy đều được xử lý cẩn thận và không bao giờ xuất khẩu. Cuộc tấn công đã chứng minh đã không làm giảm hoặc bỏ qua bất kỳ chức năng hoặc vật liệu chìa khóa nào trong YubiKey. ”

Các nhà nghiên cứu cũng nghiên cứu các dấu hiệu RSA, các thiết bị tương tự hiển thị mã mà người dùng phải nhập vào máy tính của họ. Thiết bị RSA giả phát sóng mã xác minh qua bluetooth.

Theo giả thuyết, hacker “sẽ ở gần nhau, và về cơ bản sẽ nói thiết bị đó cung cấp mã cho nó”, FitzPatrick nói. Cách tiếp cận khác, ông giải thích, sẽ là mã độc RSA độc hại để liên tục phát sóng chìa khóa xác minh để bất kỳ thiết bị bluetooth gần đó có thể lấy mã.

Đối với dự án RSA, FitzPatrick sẽ tải lên thiết kế bảng cho Github trong tương lai gần và có khả năng là mã để những người khác có thể tạo ra mã độc độc hại của họ. Ngoài ra, những kẻ tấn công sẽ cần phải có một bảng cụ thể sản xuất mà sẽ mất một tuần, và mua một mô-đun bluetooth cho khoảng $ 10.

FitzPatrick cho biết: “Phần cứng sẽ nhận được mã cho một trạng thái khả thi.

Một lần nữa, không có nghiên cứu này có nghĩa là bạn thường nên ngừng sử dụng các thiết bị bảo mật phần cứng. Tuy nhiên, vẫn cần phải nhận thức được các điểm yếu tiềm tàng để những người có thể bị đe doạ bởi những cuộc tấn công như vậy, ngay cả khi có thể được thông báo và các nhà nghiên cứu tìm ra các giải pháp.

“Hãy tiếp tục sử dụng YubiKeys của bạn, tiếp tục sử dụng các thẻ của bạn,” FitzPatrick cho biết trong khi trình bày.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may also like

DAICO và ICO, sự khác biệt nào mà Vitalik Buterin mang đến cho cộng đồng đầu tư tiền điện tử

Thật khó để nói là khái niệm DAICO chưa bao