19:28
7/3/2022

Wiecie co najbardziej drażni włamywaczy (w tym prorosyjskich rządowych hakerów)? Kiedy po udanym ataku phishingowym (czyli wyłudzeniu hasła) próbują się zalogować na konto ofiary i widzą to:

Ten komunikat oznacza, że zaatakowana osoba korzysta z klucza U2F, a zatem nie można przejąć jej konta. Tylko dwuskładnikowe uwierzytelnienie oparte o taki sprzętowy klucz U2F nie jest możliwe do zphishowania (nawet jeśli ofiara nabierze się na fałszywą stronę i poda atakującemu wszystkie dane, a nawet użyje na niej klucza U2F). Dlatego naszym zdaniem klucz U2F jest niezbędny zwłaszcza dla aktywistów działających na rzecz Ukrainy, którzy obecnie są narażeni na ataki internetowe ze strony prorosyjskich hackerów.

Niestety te klucze trochę kosztują…

I dlatego chcemy przekazać 100 takich kluczy U2F aktywistom i dziennikarzom, którzy robią dobrą robotę pomagając ofiarom inwazji Rosji na Ukrainę lub koordynując pomoc uchodźcom w Polsce. Po to żeby zabezpieczyli sobie nimi konta na Facebooku, Twitterze lub Gmailu przed zhackowaniem i nikt nie popsuł ich wysiłków.

I tu pytanie do Ciebie:

Czy znasz kogoś, komu takie klucze najbardziej się przydadzą?

Uwaga! Klucze przede wszystkim przydadzą się tym, którzy:

  • pracują w oparciu o skrzynki na GMailu i konta w portalach społecznościowych Facebook/Twitter (bo te serwisy klucze wspierają).
  • mają dużo “fanów” (bo wtedy przejęcie ich kont może posłużyć do sporej dezinformacji)
  • przetwarzają dane osobowe uchodźców (bo wtedy włamanie na ich konta spowoduje wyciek tych danych)

Jeśli znasz osoby pasujące do powyższego opisu, to wypełnij ten formularz:

    Namiar na aktywiste, któremu przyda się klucz U2F (wymagane)

    Dodatkowe informacje:

    Potwierdź, że jesteś z krwi i kości ;-)

    Każdemu aktywiście (i nie-aktywistom też!) już teraz proponujemy włączyć wszędzie gdzie się da dwuskładnikowe uwierzytelnienie, nawet w słabszej niż klucz U2F formie. To wciąż lepsze niż brak jakiegokolwiek drugiego składnika. A żeby zrozumieć na czym polegają ataki phishingowe i dlaczego da się obejść dwuskładnikowe uwierzytelnienie realizowane przez kod SMS lub kod generowany przez aplikację, to rzućcie okiem na nasz film:

    PS. Poza phishingiem warto pamiętać, że są jeszcze ataki z wykorzystaniem złośliwego oprogramowania. Dlatego aktywiści powinni do swojej pracy w miarę możliwości korzystać z dedykowanego komputera (np. najtańszego chromebooka lub starszego sprzętu, na którym zostanie wgrany ChromeOS). Albo mocno pilnować się, by nie instalować żadnych nowych programów i “dodatków do przeglądarki”, a wszelkie załączniki otwierać/edytować za pomocą chmurowych pakietów biurowych (np. Google Docs), a nie lokalnie.

    Też chcesz jakoś wspomóc Ukrainę? Połącz przyjemne z pożytecznym — weź udział w naszym charytatywnym lajwie z Michałem “lcamtufem” Zalewskim, z którego cały dochód przekazujemy na pomoc humanitarną ofiarom inwazji Rosji na Ukrainę.

    Przeczytaj także:


    Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

    Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

    Zobacz pełen opis wykładu klikając tutaj lub kup bilet w naszym internetowym sklepie.

    21 komentarzy

    Dodaj komentarz
    1. Rozumiem że zgodnie z zaleceniami dajecie 2 klucze coby się nie odciąć od konta? Swoją drogą to ciekawe jak te zalecenia magia się do sytuacji wojennej

      • Tak, dwa.

      • Niby YubiKey zaleca dwa klucze. Mam YubiKey i większość serwisów zanim pozwoli ustawić U2F wymaga aby ustawić TOP (nie licząc opcji ściągnięcia kluczy recovery). Także wymóg posiadania 2 kluczy U2F (bo inaczej stracimy dostęp do konta) wydaje się bardzo naciągany.

        Już bardziej bezpieczne wydaje się posiadanie jednego klucza YubiKey i klucze recovery spakować, zaszyfrować i wysłać do jakiegoś znajomego.

      • Większość pozwala wyłączyć TOTP/OTP (czy inne “revocery option”) jeśli podepnie się dwa klucze. Bywa też tak jak w Google, że trzeba ustawić konto w tryb poweruser aby móc wyłączyć zapasowy sposób uwierzytelniania (bo wtedy utrata obydwu kluczy, to brak możliwości odzyskania dostępu do konta).

    2. Orientujecie się, jak wygląda sprawa resetu takiego klucza U2F, ja mam dwa wszędzie pododawane, jeden noszę przy sobie, a drugi trzymam w bezpiecznym miejscu.

      Ale zakładając, że oba mogę stracić w razie W, to czy da się odzyskać dostęp do konta bez klucza U2F. Pewnie to różnie wygląda dla różnych dostawców, wiecie może gdzie szukać
      info o tym?

      • Przy podpięciu klucza generujesz również listę haseł jednorazowych – właśnie na taki wypadek.

      • Przy ustawianiu klucza powinieneś ten mieć taki dłuższy ciąg znaków, chyba 16 czy 20, który posłuży do odzyskania danych w przypadku zgubienia samego Yubikey. Zakładam, że większość z nich działa dokładnie tak samo.

        Tylko kwestia zapisania w wystarczająco bezpiecznym miejscu :) i nie koniecznie na telefonie.

    3. Panie redaktorze, a może tak ogólna petycja do “naszych” banków, gov.pl, szyfrowanie-maili-plików bo do dziś od np. współdzieli mieszkaniowej otrzymuje zaszyfrowany plik PDF a drugim mailem hasło :( a taki klucz rozwiązałby problem z odbiorem plików.

    4. Wszystko pięknie.
      Tylko jak potem odzyskać takie konto, gdy klucz zginie/zepsuje się?

    5. […] Od ponad tygodnia my firmowo i nasi pracownicy prywatnie wspieramy ofiary tej wojny, m.in. przekazując 100 kluczy U2F proukraińskim aktywistom działających w cyberprzestrzeni. Ale razem z Wami, wymiar tej pomocy może być jeszcze większy, […]

    6. Czy da się zapamiętać dane urządzenie jak smartphone lub skorzystać z klucza bezprzewodowo?

      • Zapamiętać – nie, ale bezprzewodowo przez NFC. Tylko musi być klucz z taką funkcją.

    7. Pracuje w IT dla jednej z organizacji NGO. Rozważamy własnie zakup tego typu kluczy, ponieważ pracownicy w Ukrainie mają obecniej wielki problem z MFA (Microsoft) i logowaniem do usług M365. SMSy z kodem przychodzą następnego dnia, a pośba o telefon i podanie kodu nie działa.

    8. Zakupiłem dwa klucze, jeden by wpiąć do lapka, drugi by mieć przy kluczach do chaty.
      Bardzo ciekawe obserwacje co do wsparcia kluczy:
      Bitwarden, Facebook, Google – wszystko cacy, można ustawić klucze, wywalić inne metody
      WP – jak wyżej, o ile wcześniej nie wyrzuciło Cię z appki po aktualizacji (brawo WP za 1login – najgorszy syf do 2FA jaki widziałem)
      Microsoft – niby ustawisz klucz, ale nie usuniesz innych metod, do tego one drive w aplikacji na windzie przy próbie logowania pozwala tylko na różne formy przez appke i SMS
      Github – ustawisz, ale nie wyrzucić appki
      Onet – możesz ustawić tylko jedną metodę na 2FA, w przypadku kluczy nie ustawisz dwóch kluczy xD
      Amazon, Epic, GOG, Steam, mBank, Atlassian, Ubisoft, EA, Allegro, Docker – pomarzyć zawsze można, Amazon o tyle ciekawy przypadek, że AWS to wspiera, a Docker ma napisane że wspiera

      • Mnie od trzech lat doprowadza do szału i rozpaczy kwestia wsparcia…
        Github – tak jak piszesz, niby działa, ale jeśli jest inna metoda. Tę inną metodę włączyłam na tych samych kluczach, przez Yubico Autheticator…
        No i w sumie była to jedyna usługa z używanych przeze mnie, która wspierała U2F. Do wszystkiego innego, zgrzytając zębami, przypięłam kody jednorazowe z Yubico Authenticator. Od niedawna posiadam konto Tutanota, bardziej z ciekawości założyłam, nie używam jeszcze do niczego istotnego… ale to mają. Ostatnio nawet wprowadzili to do aplikacji desktopowej, następnym krokiem ma być mobilna. Tak teraz myślę, że to całkiem solidna firma, jeśli chodzi o dotrzymywanie obietnic i dodawanie funkcji do swoich usług… (Protonmail, patrzę tu na was wymownie…)
        Steam i GOG – mogliby wreszcie dać jakieś uniwersalne 2FA. Tylko pewnie większa szansa, że wdrożą kody jednorazowe niż U2F.
        DigitalOcean – tego nie rozumiem, bo teoretycznie na takim koncie mogą klienci mieć dość istotne rzeczy, firma też jest duża i “znana” to dlaczego mają problem z wdrożeniem?
        LinkedIn – jak wyżej, to wystarczająco “profesjonalna” usługa, żeby można było oczekiwać po nich dostępnego U2F.
        Banki… rozumiem problem z autoryzowaniem transakcji, ale mogliby dać możliwość używania kluczy przy LOGOWANIU na ich stronach…
        I tak dobrze, że Yubico Authenticator istnieje…

    9. Takie portale wymagają TOTP jako właśnie opcji “recovery” gdy używasz tylko jednego klucza. Jeśli masz dwa, to opcję haseł jednorazowych można wyłączyć. Ewentualnie w niektórych systemach, na przykład w Google, trzeba ustawić opcję, że jest się poweruserem i wie się co się robi.

    10. Czy taki klucz chroni przed ukradnięciem sesji?

    11. A czy wiecie czym są pliki cookies sesji? Jak się zalogujesz dajesz napastnikowi dostęp do aktywnej sesji bez dodatkowych kluczy. Jak napastnik ma dostęp do komputera ofiary po co mu klucz. Wystarczy sesja wykradziona z przeglądarki ofiary.

      • Ale wiesz czym jest atak phishing? I że jak ktoś może Ci ukraść cookies to i tak już zainfekował Ci Twój system i jest po wszystkim, bo nic Ci nie pomoże?

    12. Czy jest (albo czy macie) listę aplikacji / portali polskich wspierających to rozwiązanie ? Nie widzę takej opcji ani na allegro, wp, olx… dla mnie zasadniczo bezużyteczne. FB / Insta nie są moim celem życiowym.

    Twój komentarz

    Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

    RSS dla komentarzy: