jffulcrum Опубликовано 22 июля, 2017 · Жалоба Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов. Излекать ключ и не надо, надо лишь пин снять кейлоггером и дальше работать как ни в чем не бывало от имени юзверя. С банк-клиентами все настолько плохо, что половина банков научилась придерживать до 11 утра все переводы, сделанные после 21-00. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 июля, 2017 · Жалоба Практическая печаль с токенами в том Ну да. Если совсем по хорошему, то токен(точнее уже карта - так удобнее) должен вставляться в отдельное доверенное устройство с отдельным экраном и зарезанными любыми лишними интерфейсам. Которое показывает тебе, что именно ты там подписываешь и каждый раз при запросе спрашивает "а точно надо?". Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 июля, 2017 · Жалоба Возвращаясь к теме - нужно действительно брать смарт. Только попытаться сделать не классический OTP - их надоедает набирать, а так как сейчас у некоторых сделано (у Гугла и Микрософт точно видел). При попытке логина На смарте (который второй фактор) всплывает окошко и просит подтвердить, что действительно заходишь. Нажатием одной кнопки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 22 июля, 2017 · Жалоба Ну да. Если совсем по хорошему, то токен(точнее уже карта - так удобнее) должен вставляться в отдельное доверенное устройство с отдельным экраномНе спасёт. Во-первых, потому что главная проблема в прокладке между стулом и ПК, а во-вторых, на сей доверенный чудо-девайс придётся передавать реальные данные в транспортном формате ДБО, иначе всё это исключительно профанация. Проблему с ДБО подтверждаю. Лично знаю случаи. Кстати, две ЭЦП на платёжку — уже решают, только понятно дело, не с одного и того же компа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 июля, 2017 · Жалоба Достаточно передать хеш и получить ЭЦП. Со схемой Диффи-Хеллмана аналогично: отдай открытый ключ получателя, получи назад сессионный ключ. И для схемы шифрования Эль-Гамаля всё то же: отдай сессионный ключ и открытый ключ получателя, и получи назад эфемерный открытый ключ отправителя и зашифрованный сессионный ключ. Я именно это и имел ввиду. Кстати, если токен для подписи принимает что то кроме хэша, например рандом, то это фейл. Ровно как и если он этот рандом получает скажем хэшируя хэш. Ибо при известном рандоме закрытый ключ легко извлекается после второй подписи. Соньку так сломали. Я лично проблему перехвата чего-либо через аппаратный интерфейс не рассматриваю как проблему. Т.е. если атакующий подобрался настолько близко, то это наименьшая из проблем. Оно скорее когда терминал не очень доверенный. Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов. Излекать ключ и не надо, надо лишь пин снять кейлоггером и дальше работать как ни в чем не бывало от имени юзверя. С банк-клиентами все настолько плохо, что половина банков научилась придерживать до 11 утра все переводы, сделанные после 21-00. Тут бы проблему решил девайс который показывал что подписывают у себя на экране... Смартфон мне в этом плане не нравится тем, что там слишком избыточный функционал и большая поверхность атаки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 26 июля, 2017 (изменено) · Жалоба Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться. Есть девайсы от питерской фирмы, работающие по принципу промежуточного хаба. У ей унутре таймер, 30 секунд - и порты отключаются, не успел - вставляй токен заново. Название конторы поищу в почте. Также есть опыт написания скрипта для devcon.exe, коий из планировщика также гасит токены каждый час, хоть какая-то защита. Изменено 26 июля, 2017 пользователем jffulcrum Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 26 июля, 2017 · Жалоба Практическая печаль с токенами в том, что они вставляются и уже не вынимаются из компов. А вот, кстати, почему они(USB токены) еще сохранились для банковских клиентов? Вроде бы банки в любом случае карточку с чипом выдают. Поэтому достаточно стандартный карт-ридер к ней приложить - и получится в точности такой же токен. Только стандартнее в обслуживании. Карточки-то банк выпускает десятками тысяч. Ну и сразу - давно мечтаю приспособить кучку старых чипованных банковских карт для целей авторизации. Кто-нибудь знает, возможно ли такое, или совсем никак? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 27 июля, 2017 · Жалоба Ну и сразу - давно мечтаю приспособить кучку старых чипованных банковских карт для целей авторизации. Кто-нибудь знает, возможно ли такое, или совсем никак? в своё время прикручивали магнитные карты(через USB читалку-как-клавиатуру). работало. о всяких безопасностях-рисках-атаках думать самостоятельно) полагаю любая nfc читалка пойдет в качестве. только когда у юзера карточка меняется - нужно не забывать) чипованное наверно не вкатит(не изучал вопрос) - там же чтобы чтото получить нужно пин или нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 июля, 2017 · Жалоба полагаю любая nfc читалка пойдет в качестве. только когда у юзера карточка меняется - нужно не забывать) Я про обычные контактные. У меня даже ридер для таких валяется. чипованное наверно не вкатит(не изучал вопрос) - там же чтобы чтото получить нужно пин или нет? Я больше про то, есть ли возможность обнулить весь чип и зашить в него свое приложение. А то банковское уж очень неудобное для использования с этой целью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 27 июля, 2017 · Жалоба http://www.fsij.org/doc-gnuk/intro.html ? Не пойдет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 июля, 2017 · Жалоба Не пойдет? " and it runs on STM32F103 processor". Я, возможно, тупой, оно оно ну никак на старую чипованную банковскую карту не похоже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 27 июля, 2017 · Жалоба " and it runs on STM32F103 processor". Я, возможно, тупой, оно оно ну никак на старую чипованную банковскую карту не похоже. У меня есть большие сомнения, что смарткарты типа банковских чипов позволят запустить более-менее устойчивое крипто, которое годится для ssh. Если они вообще вас пустят в свои потроха. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 27 июля, 2017 · Жалоба Что-то последние сообщения погрызлить, а ссылки искать снова лень. Я так понял конечный вердикт - карточку использовать не получится? Ну, ОК. А как насчет старых SIM-ок? Они точно какую-то криптографию уметь должны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 июля, 2017 · Жалоба Забудь. Если тебе надо - смотри в сторону всяких iButton, это как раз те что обычно на домофонах. Только на домофонах дешман который только серийник имеет, а есть взрослые вещи даже с джаво машиной внутри и криптоускорителями. Заодно решается проблема что оно постоянно будет в комп воткнуто. Впрочем, полагают и смарт карты есть отдельные. И TPM модули внешние по юзби. Но это деньги, с халявными симками и банковскими картами у тебя вряд ли что то получится, по крайней мере в стиле: "хуяк-хуяк и в продакшин", скорее всего нужно будет убить кучу времени и похакать их, если вообще получится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 29 июля, 2017 · Жалоба Если тебе надо - смотри в сторону всяких iButton, это как раз те что обычно на домофонах.Только не iButton, а Dallas серии DS19XX. Всё упирается в ридеры, точнее их отсутствие и «стандартные» 12V для программирования. А если ты имел в виду DS1963S или DS1961S — на сайте прямо написано: «идете на..й», в смысле, «NDA required». Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 июля, 2017 · Жалоба Это уже не мои проблемы. 12В из 5В получить не проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 29 июля, 2017 · Жалоба 12В из 5В получить не проблема.Может быть и не проблема, проблема получить NDA. Eсли брать DS199{2,3,5,6}, то им и не нужны 12V: извини, не знал. Но чем это *принципиально* отличается от флешки? Всё это приветы из «тёмных» времён, да и относится оно больше к СКУД, нежели к защищённым носителям. Кстати, у нас выпускают К1446ВГ5П — клон DS2502. Идёт в качестве домофонных таблеток. Килобит памяти в нагрузку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 31 июля, 2017 · Жалоба Всё упирается в ридеры, точнее их отсутствие https://www.aladdin-rd.ru/catalog/ibutton/readers https://www.securitycode.ru/products/pak_sobol/models/ Сам по себе usb-ридер - чуть модифицированный USB2COM, то есть две микрухи: USB-UART (pl2303 или ftdi) и UART-RS232(max232) и обвес для 1-wire по COM-порту. Самостоятельно разводится за вечер под пиво радиолюбителем. Но почему-то у этих железок во первых цена негуманная и, во вторых - задолбаешься пользоваться. Тот же pci "соболь", вставленный в сервак, наглухо его вешал стабильно раз в две недели, лечилось это только обесточиванием кнопкой на блоке питания, обычный ресет не помогал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 31 июля, 2017 · Жалоба Самостоятельно разводится за вечер под пиво радиолюбителем.Даже комментировать не буду. Термодатчик, может быть, таким макаром считать и получится. Через раз. Для всего остального — нужен аппаратный интерфейс. Радиолюбителю намного проще использовать STM32 через USB. Не знаю как там с криптографией — тоже наверное NDA — но это прекрасно реализуется и программно.https://www.security...k_sobol/models/За такие деньги не то что настоящий смартфон можно купить, можно и отдельный компьютер.https://www.aladdin-rd.ru/catalog/ibutton/readersСпасибо, поблевал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 31 июля, 2017 · Жалоба Ну, я из <$10 могу сделать HOTP, но вот с TOTP засада - RTC на дешевых платках нет. Если я введу плату в режим HID - непонятно как получить тогда время с компа. Вобщем надо думать :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 31 июля, 2017 · Жалоба Вобщем надо думать :)Ну, открываешь «блокнот», нажимаешь кнопочку на девайсе, оно ваяет тебе бинарничек в base64 и JS-программу для раскодирования, сохраняешь, запускаешь. Ночной кошмар безопасника. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 31 июля, 2017 · Жалоба Если я введу плату в режим HID - непонятно как получить тогда время с компа. Капслоком мигать :) Ну всякие же есть мышки и клавы с дисплеями, вебкамеры - туда как то конфиг вливается. Ну, открываешь «блокнот», нажимаешь кнопочку на девайсе, оно ваяет тебе бинарничек в base64 и JS-программу для раскодирования, сохраняешь, запускаешь. Ночной кошмар безопасника. :) Вот ты поржать написал, а я задумался: а что если ибуттон вместо серийника начнёт выдавать что то по длиннее. Полюбому в какихнить замках или скуд может и буфер переполнится и стёк сорвать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macil Опубликовано 31 июля, 2017 · Жалоба Вот ты поржать написалНе то чтобы поржать... Реальный вектор атаки... А если винда 32-битная, т.е. есть ntvdm, всё ещё страшнее. Насчёт СКУД — не ты один догадался. Понятно дело — уязвимо. На страже стоят только security by obscurity и Неуловимый Джо: два супергероя, до сих пор не позволившие нашей цивилизации слиться в унитаз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 1 августа, 2017 · Жалоба Если я введу плату в режим HID - непонятно как получить тогда время с компа. Капслоком мигать :) Ну всякие же есть мышки и клавы с дисплеями, вебкамеры - туда как то конфиг вливается. Практически у всей компьютерной техники есть звуковые вход-выход. Можно ими пользоваться. И даже без полноценной реализации модема c AT командами - просто реализацией кодирования/модуляции обойтись. Или, если уж совсем дешево и сердито - DTMF. Для передачи полусотни бит timestamp или другого параметра пойдет. Заодно необходимость в USB отпадает. Или - линейным баркодом на экране рисуем и просто фотодиодом просим провести. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 1 августа, 2017 · Жалоба Можно проще - serial, но завязывать с браузером сложнее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...