Google presentó las claves de hardware Titan Key que no permitirán que los piratas informáticos roben datos

Google ha presentado las claves de seguridad de hardware Titan Key para la autenticación de dos factores (2FA), que garantizarán la seguridad de los usuarios.

Google introdujo llaves de hardware Titan Key que no permitirán que los piratas informáticos roben datos. Una fotografía.

En 2017, la empresa comenzó a probar dispositivos con sus empleados. Más de 80 mil personas se convirtieron en participantes de la prueba, luego de la expiración del período, ninguno de ellos anunció que la cuenta había sido pirateada.

Después de una prueba exitosa, Google está listo para presentar el proyecto al público. La empresa presentó dos opciones. La primera opción se conecta a través de USB (excelente opción para PC y portátiles), la segunda a través de Bluetooth (opción para teléfonos inteligentes). Las claves funcionarán con los principales navegadores y todos los servicios de Google. Por ejemplo, si un usuario desea iniciar sesión en su cuenta, después de ingresar la contraseña, en lugar de un SMS con un código, deberá usar Titan Key, que es mucho más conveniente y seguro.

Google introdujo llaves de hardware Titan Key que no permitirán que los piratas informáticos roben datos. Una fotografía.

Anteriormente, muchos expertos en seguridad han declarado que la autenticación de dos factores a través de mensajes SMS no es segura. Google probablemente estuvo de acuerdo con esta opinión. Las llaves son compatibles con el protocolo U2F de FIDO Alliance y están equipadas con firmware del propio Google.

La compañía aún planea proporcionar claves a los administradores de sistemas y otros usuarios “importantes”. Sin embargo, en el futuro, las claves estarán disponibles para todos. Se espera que su costo no supere los $20.

Comparta su opinión en el chat de Telegram o más abajo en los comentarios.

Noticias, artículos y anuncios de publicaciones

Libre comunicación y discusión de materiales.

Cuando sale un nuevo reloj, los usuarios inmediatamente comienzan a hacer preguntas sobre las características. Alguien está interesado en el tamaño de la pantalla, alguien está interesado en la cantidad de correas intercambiables y para otros es importante comprender si pueden medir la presión, el pulso y los niveles de oxígeno en la sangre. Recientemente, es la medición de los niveles de oxígeno lo que es muy importante para muchos, y este problema ocurre, si no siempre, al menos con mucha frecuencia. Seguimos revisando el nuevo reloj inteligente de Google y estamos listos para responder esta pregunta y, al mismo tiempo, contarte algo más interesante.

READ
Qué esperar del MWC-2014? Parte 2

Este año definitivamente será recordado por todos los usuarios de teléfonos inteligentes sin excepción. Si la situación resultó ser crítica para los propietarios de iPhone en Rusia, y ahora se ha vuelto menos útil en la vida cotidiana, entonces no todo es tan malo en los teléfonos inteligentes con Android: puede usar métodos de pago alternativos sin contacto, pero debe descargar aplicaciones de otras fuentes, que pueden ser bastante peligrosas y problemáticas para usuarios inexpertos. No esperamos a que la situación mejorara y se nos ocurrió una forma original de usar aplicaciones remotas de Google Play, recopiladas en un directorio. Te contamos qué tiene y cómo usarlo.

Samsung ha confirmado que la versión estable de One UI 5 llegará a los dispositivos Galaxy S22 a finales de octubre, por lo que solo nos quedan unos días de espera. El compromiso de actualización continua de la compañía significa que una gran cantidad de dispositivos obtendrán One UI 5 en algún momento, por lo que no es necesario comprar un teléfono de la serie Galaxy S22 si desea obtener la actualización basada en Android 13. ¿Quiere saber más sobre el principal de Samsung? ¿actualizar? A continuación, te presentaremos las características más destacadas del nuevo sistema operativo. Estamos más interesados ​​en verlos en la vida real.

La vulnerabilidad (CVE-2021-3011) permite recuperar la clave de cifrado principal y omitir la autenticación de dos factores. Los expertos en seguridad de NinjaLab explicaron cómo funciona un posible truco para los tokens Google Titan basados ​​en el chip NXP A700X, pero en teoría el mismo truco funciona para Yubico (de YubiKey) y los tokens criptográficos Feitian que usan un chip similar.

Hablamos sobre cómo funciona el ataque y si puede continuar confiando en las claves de cifrado físicas.

Acerca de Google Titán

Esta llave de seguridad está en el mercado desde 2018. Es un dispositivo MFA de hardware utilizado para verificar físicamente la identidad del usuario. Las claves generalmente se usan en lugar de métodos de autenticación de múltiples factores menos seguros, como códigos de confirmación enviados por SMS o correo electrónico.

READ
OnePlus ha desarrollado un reloj inteligente, pero decidió no lanzarlo

La particularidad de Google Titan es que, aun habiendo recibido una contraseña electrónica, los atacantes no podrán acceder a tus datos sin una clave física. Los investigadores de NinjaLab también notaron esto: su clave solo estará en peligro si es robada o perdida.

Google Titan se presenta en el mercado de dos formas. Uno es algo similar a una unidad flash USB: el microchip está “desnudo”, la clave funciona a través de USB y NFC. La segunda opción es similar a las llaves del automóvil en forma de llavero y funciona a través de Bluetooth.

Calcular a partir de la radiación electromagnética

Desde la llegada de Google Titan, los expertos de NinjaLab han sospechado que las claves podrían ser vulnerables a los ataques de canal lateral. Estos incluyen, entre otras cosas, ataques basados ​​en los resultados del monitoreo de la radiación electromagnética que emana de los dispositivos durante su funcionamiento. Su análisis ayuda a identificar patrones en el trabajo y recopilar información útil para la piratería.

Al observar la radiación electromagnética durante la formación de firmas digitales (ECDSA), los especialistas en seguridad atacaron con éxito el elemento protegido de la clave, el chip NXP A700X, y lo clonaron. El hecho de que el chipset utilizado en Google Titan se haya convertido en la base de otras llaves de seguridad también hace temer a otros productos en el mercado.

Los productos afectados por el ataque incluyen:

  • clave de seguridad titán de google,
  • yubico yubikey neo,
  • Feitian FIDO NFC USB-A / K9,
  • Feitian MultiPass FIDO / K13,
  • Feitian ePass FIDO USB-C / K21,
  • Feitian FIDO NFC USB-C / K40,
  • NXP J3D081_M59_DF,
  • NXP J3A081,
  • NXP J2E081_M64,
  • NXP J3D145_M59,
  • NXP J3D081_M59,
  • NXP J3E145_M64,
  • NXP J3E081_M64_DF.

Cómo se hace el ataque

Cabe señalar de inmediato que la clave se puede piratear, pero nadie dice que sea fácil hacerlo. Así, el proceso de hackeo descrito en las 60 páginas del informe NinjaLab puede convertirse en la base de una operación al estilo de las películas sobre el Agente 007.

READ
Primer vistazo a Lenovo Vibe Z2 Pro: las diagonales siguen creciendo.

Todo comienza con un simple ataque, como un correo electrónico de phishing. El objetivo del atacante es obtener el nombre de usuario y la contraseña de la cuenta de destino. Esta es la parte más fácil de la operación.

Las credenciales son inútiles sin poseer la clave de seguridad, como ya hemos escrito anteriormente. Esto quiere decir que luego el hacker tendrá que cuidarse de robar la llave de seguridad del dueño, y por un cierto período de tiempo y para que no se dé cuenta de la pérdida. Después de todo, si el propietario nota la ausencia de la clave, podrá revocarla o registrar una nueva, lo que anulará todos los esfuerzos de los estafadores.

El robo exitoso del token de Misión Imposible no termina ahí. Además, el atacante se enfrenta a una serie de restricciones.

Para usar la clave de seguridad Google Titan, primero debe abrir la carcasa del dispositivo. Dado que el atacante todavía necesita devolver la llave a la víctima desprevenida (preferiblemente en su forma original), es necesario realizar una autopsia con mucho cuidado.

Especialistas de NinjaLab ablandaron el plástico con una pistola de aire caliente y separaron la llave con un bisturí. Esto debe hacerse con cuidado para no dañar la placa de circuito impreso. Como puede ver en la imagen a continuación, el estuche clave aún pierde su apariencia comercial, por lo que es probable que la situación solo se salve imprimiendo un nuevo estuche en una impresora 3D. Los expertos de NinjaLab tardaron unas 4 horas en desmontar y montar el token.

Se necesitaron otras 6 horas para recuperar la clave de una cuenta FIDO U2F. Los investigadores demostraron que la radiación electromagnética se correlaciona con la información sobre la clave ECDSA efímera, y esto es suficiente para revelar la clave secreta utilizando métodos de aprendizaje automático. Para recuperar la clave secreta en el token Google Titan, basta con analizar unas 6000 operaciones con firmas digitales basadas en la clave ECDSA utilizada para la autenticación de dos factores FIDO U2F al conectarse a una cuenta de Google.

READ
Número de noticias de Android n. º 34

Pero, de nuevo, todo esto es posible solo si la víctima desprevenida continúa usando la llave abierta por el atacante.

Parecería que todo lo anterior ahuyentará a cualquier hacker que no quiera jugar a espiar. Pero eso no es todo. El ataque también requiere un equipo bastante costoso, que cuesta alrededor de $ 13, habilidades en chips de ingeniería inversa y software especial que no se encuentra en el dominio público.

Entre el equipo necesario:

  • complejo de medición Langer ICR HH 500-6, utilizado para probar microcircuitos para compatibilidad electromagnética,
  • amplificador langer bt 706,
  • micromanipulador Thorlabs PT3/M con una resolución de 10 micras,
  • osciloscopio de cuatro canales PicoScope 6404D.

¿Qué sigue

A pesar de la vulnerabilidad identificada, los expertos de NinjaLab señalan que las claves físicas MFA siguen siendo más efectivas que las alternativas. Al menos porque para descifrarlos necesitas esforzarte mucho. Y no se trata de piratería masiva de personas “al azar”, sino de ataques dirigidos a la víctima elegida. es decir, si su correo no contiene datos clasificados del Pentágono, es poco probable que sufra esta vulnerabilidad.

Ninja Labs agrega que las medidas de seguridad adecuadas pueden ayudar a limitar el daño potencial causado por una clave de seguridad clonada. Las medidas sugeridas incluyen la implementación de un sistema MFA que pueda detectar la clave clonada y bloquear la cuenta afectada. Por ejemplo, el mecanismo contador descrito en la especificación FIDO U2F.

Su esencia es que el token realiza un seguimiento de las operaciones realizadas y transfiere los valores al servidor, que compara la información transmitida con los valores guardados durante la operación anterior con el mismo token. Si el valor pasado es menor que el valor almacenado, el mecanismo concluye que hay varios dispositivos con un par de claves idéntico. El mecanismo de contador ya se usa para la autenticación en los servicios de Google y le permite bloquear cuentas cuando se detecta actividad de tokens clonados.

READ
Qué sistema operativo de Smart TV es mejor?

Y, por supuesto, vale la pena recordar que toda la operación comienza con simples ataques de ingeniería social. Por lo tanto, la atención en esta etapa ya reducirá significativamente las posibilidades de éxito de los atacantes.

Rating
( No ratings yet )
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: