YubiKey 5Ci ze złączem USB-C i Lightning – premiera!

Opublikowano Dodaj komentarz
YubiKey 5Ci Launch edition
YubiKey 5Ci Launch edition

Po wielu miesiącach prac nad nowym kluczem nareszcie doczekaliśmy się premiery YubiKey 5Ci. Złożyliśmy już zamówienie u polskiego dystrybutora i z niecierpliwością czekamy na dostawę! Mamy nadzieję, że klucz będzie dostępny w naszym sklepie w ciągu kilku dni, także bądźcie czujni 🙂

YubiKey 5Ci jest pierwszym kluczem przyjaznym użytkownikom iPhonów i iPadów, a wszystko dzięki wyposażeniu klucza w złącze Lightning. To także pierwszy klucz który wyposażony w dwa złącza – wspomniany już Lightning oraz USB-C, dzięki czemu mamy niespotykaną dotąd kompatybilność z komputerami, laptopami, telefonami czy tabletami. Oczywiście jak w przypadku wszystkich kluczy Yubikey serii 5 mamy do dyspozycji pełen zakres technologii: FIDO2, WebAuthn, FIDO U2F, OTP (one-time password), PIV (Smart Card) oraz OpenPGP.

YubiKey 5Ci w opakowaniu

Jak wspominaliśmy niedawno, premierę YubiKey 5Ci poprzedziła intensywna kooperacja z producentami oprogramowania, aby zapewnić maksymalne wsparcie od strony software’owej. Obsługę nowego klucza znajdziemy m.in. w oprogramowaniu 1PasswordBitwardenDashlaneIdaptiveLastPass, i Okta. Co dla mnie osobiście jest bardzo pozytywną wiadomością to obsługa Yubikey 5Ci w przeglądarce Brave dla iOS , z której korzystam na codzień. Brave jest na ten moment jedyną przeglądarką dla iOS, która wspiera WebAuthn przez złącze Lightning .

Klucz występuje w dwóch wersjach kolorystycznych: białej – Launch edition, która będzie dostępna tylko jescze jakiś czas (zapewne do wyczerpania zapasów) oraz czarnej, która będzie w regularnej sprzedaży. Klucz na razie dostępny w oficjalnym sklepie Yubico, ale można zamawiać maksymalnie 10 sztuk, a także należy się uzbroić w cierpliwość, bo czas dostawy może wynieść nawet 6 tygodni. Mamy nadzieję, że w naszym sklepie klucz będzie dostępny znacznie szybciej.

YubiKey 5Ci oprogramowanie ze wsparciem dla klucza

Płatności w kryptowalutach

Opublikowano Dodaj komentarz
BitBay Pay Płatności kryptowalutami

Od dzisiaj za zakupy w sklepie ITCentris można płacić kryptowalutami! Płatność jest możliwa przy pomocy Bitcoin (BTC), Bitcoin Cash (BCC), Bitcoin Gold (BTG), Lisk (LSK), Litecoin (LTC), Etherum (ETH), zCash (ZEC), Ripple (XRP), Tron (TRX) oraz Dash. Mamy nadzieję, że ta dodatkowa forma płatności będzie atrakcyjna dla naszych Klientów.

Płatności są obsługiwane przez BitBayPay – usługę dostarczaną przez giełdę kryptowalut BitBay. Gwarantuje to sprawny, bezpieczny i pewny przebieg transakcji.

Płatności można dokonać m.in. przy pomocy środków zgromadzonych na Ledger Nano X – po wyświetleniu się kodu QR wystarczy postępować zgodnie z instrukcją znajdującą się na stronie producenta.

Wyciek danych z Capital One

Opublikowano Dodaj komentarz

19 lipca został ujawniony jeden z największych w historii instytucji finansowych wyciek danych. Ofiarą kradzieży danych padł amerykański bank Capital One, który prowadzi działalność także w Kanadzie i Wielkiej Brytanii. Ujawnione zostały dane 106 milionów osób (100 mln Amerykanów i 6 mln Kanadyjczyków). Dane pochodziły głównie z wniosków o produkty kredytowe, więc były to wrażliwe dane osobowe, ale nie było tam danych kart kredytowych ani danych służących do logowania się do usług bankowych. Jak zawsze przy okazji tego typu zdarzeń warto przeanalizować jak doszło do wycieku.

Szczegóły ustaleń śledztwa znajdują się w rozdziale III punkt 11 zawiadomienia o naruszeniu danych, który jest dostępny tutaj. Dane, do których uzyskano nieuprawniony dostęp znajdowały się w usłudze Amazon Web Services (AWS). Pierwotną przyczyną wycieku danych okazało się błędnie skonfigurowane oprogramowanie klasy Web Application Firewall (WAF) – według źródła 2 było to ModSecurity. W skutek błędu w konfiguracji WAF dopuścił do wykonania komend, które umożliwiły dostęp do folderów i kontenerów danych w usłudze AWS. Firewall umożliwił atakującemu interakcję z tzw. usługą „metadata” środowiska chmurowego, która oczywiście nie powinna być nigdy dostępna z zewnątrz. W skutek tego fatalnego błędu, uzyskanie dostępu do danych wymagało jedynie wykonania trzech komend:

  1. Pierwsza umożliwiła uzyskanie danych dostępowych do konta *****-WAF-Role, które w konsekwencji umożliwiło dostęp do folderów i kontenerów danych Capital One.
  2. Druga komenda posłużyła, przy pomocy konta *****-WAF-Role, do uzyskania listy folderów i kontenerów danych.
  3. Trzecia komenda, jak się można domyśleć, posłużyła do pobrania danych.

Pomimo pozornie prostego wektora ataku, w rzeczywistości sprawa jest dużo bardziej skomplikowana. Nie jest do końca jasne jak włamywacz ustalił pierwszą komendę, która dostarczyła mu kluczowych uprawnień. Wiele wskazuje na to, że została w tym przypadku wykorzystana podatność Server-Side Request Forgery (SSRF).

Domniemany sprawca tego ataku Paige A. Thompson został zatrzymany przez FBI 29 lipca. Co zaskakujące – nie było to specjalnie trudne zadanie. Capital One otrzymał informację, że w serwisie GitHub są dostępne publicznie dane należące do Capital One. Konto „Netcrave” w serwisie Github, do którego prowadził link, zawierało m.in. CV Paige A. Thompsona. Dalsze śledztwo doprowadziło do dalszych powiązań domniemanego sprawcy z użytkownikiem „erratic”, aktywnym na Twitterze oraz kanale “Netcrave Communications” na Slacku. Zachęcam do zapoznania się z częścią B zawiadomienia o naruszeniu danych (źródło 1), które zawiera szczegóły ustalonych powiązań domniemanego sprawcy z wyciekiem danych Capital One.

Źródła

  1. Zawiadomienia o naruszeniu danych
  2. What We Can Learn from the Capital One Hack
  3. Early Lessons from the Capital One Data Breach
  4. Capital One Data Theft Impacts 106M People
  5. Information on the Capital One Cyber Incident

Ledger Nano X w naszej ofercie!

Opublikowano Dodaj komentarz
Ledger Nano X
Ledger Nano X

Z przyjemnością informuję, że w wyniku nawiązanej współpracy z firmą Ledger, w ofercie sklepu pojawił się jeden z najbardziej zaawansowanych sprzętowych portfeli krypto walut – Ledger Nano X! Już w połowie przyszłego tygodnia rozpoczniemy realizację pierwszych zamówień oraz zasilimy nasze stany magazynowe, aby Ledger Nano X był dostępny dla naszych klientów od ręki.

Ledger Nano X oferuje przede wszystkim bardzo wysoki poziom bezpieczeństwa. Twoje klucze publiczne są przechowywane w specjalistycznym układzie scalonym klasy CC EAL5+, dzięki czemu są w pełni odizolowane od świata zewnętrznego i nigdy nie opuszczają urządzenia. Portfel umożliwia komunikację ze smartfonem przy pomocy Bluetooth, a aplikacja mobilna Ledger Live pozwala na wygodne zarządzanie Twoimi aktywami. Aplikacja Ledger Live jest dostępna także dla komputerów z systemami Windows i OSX. Obsługa samego urządzenia jest również bardzo prosta i odbywa się z wykorzystaniem jedynie dwóch przycisków i wyświetlacza.

Ledger Live

Zawartość portfela jest także chroniona przy pomocy frazy odzyskiwania składającej się z 24-słów. Dzięki temu w wypadku zgubienia lub kradzieży portfela będziesz w stanie, używając frazy, odtworzyć jego zawartość na innym urządzeniu firmy Ledger.

Lista kryptowalut, które można przechowywać w portfelu jest tak długa, że ograniczę się tylko do najpopularniejszych:
Bitcoin (BTC), Ripple (XRP), Ethereum (ETH), Bitcoin Cash (BCH), EOS (EOS), Stellar (XLM), Litecoin (LTC), Tether (USDT), Tron (TRX), Cardano (ADA), IOTA (MIOTA), Binance Coin (BNB), Monero (XMR), Dash (DASH), Neo (NEO), Ethereum Classic (ETC), USD Coin (USDC), Zcash (ZEC).
Pełna lista zawiera ponad 1100 pozycji i jest dostępna tutaj. Warto zaznaczyć, że portfel Ledger Nano X obsługuje do 100 aplikacji jednocześnie.

Zawartość opakowania

YubiKey 5Ci – zapowiedź

Opublikowano Dodaj komentarz
Yubikey 5Ci – urządzenie prototypowe

Firma Yubico intensywnie pracuje nad nowym kluczem Yubikey 5Ci. Nowy klucz będzie posiadał dwa złącza: USB-C oraz Lightning – dzięki czemu rozszerzą się możliwości współpracy klucza z oprogramowaniem dla systemu iOS.

Producent, co warte podkreślenia, stawia duży nacisk na współpracę z producentami oprogramowania, żeby zapewnić maksymalne wsparcie dla klucza w momencie premiery. Program „YubiKey for Lightning Preview Program” wystartował już w styczniu. Wybrani partnerzy oraz producenci oprogramowania otrzymali w ramach programu prototypowe klucze YubiKey 5Ci (wcześniej funkcjonujące pod nazwą YubiKey for Lightning) oraz dostęp do bibliotek SDK zarówno dla iOS jak i Androida. Pozwala to sądzić, że klucz w momencie premiery będzie szeroko wspierany na dwóch największych systemach mobilnych iOS i Android.

YubiKey 5Ci
Yubikey 5Ci – urządzenie prototypowe

Wśród firm, które przystąpiły do programu „YubiKey for Lightning Preview Program” są m.in. 1Password, Brave browser, Dashlane, DoD PKI Purebred, Keeper Security, Monkton, LastPass, Secmaker, XTN i inni.

“Wraz z rozwojem programu „YubiKey for Lightning Partner Preview”, z niecierpliwością czekamy na wsparcie jak największej ilości organizacji oraz dostawców usług, którzy chcą podkreślać swoje zaangażowanie w silne uwierzytelnianie na urządzeniach mobilnych”

“Wspólnymi siłami zapewnimy YubiKey’om bezproblemową pracę na urządzeniach iPhone, iPad, Android i wszystkich innych systemach komputerowych.”  

Jerrod Chong, Chief Solutions Officer, Yubico

Dokładna data premiery klucza YubiKey 5Ci nie jest jednak znana. Yubico infromuje, że będzie to „w tym roku”.

Dalsze informacje

Web Authentication (WebAuthn)

Opublikowano Dodaj komentarz

4 marca 2019 World Wide Web Consortium (W3C) i FIDO Alliance ogłosiły, że Web Authentication (WebAuthn) stał się oficjalnym standardem W3C. Jest to bardzo ważna informacja oznaczająca, że korzystanie z zaawansowanych metod uwierzytelniania będzie od tej pory łatwiejsze. Od tej pory twórcy aplikacji webowych oraz dostawcy usług on-line będą ułatwione zadanie implementacji metod uwierzytelniania opartych na kryptografii z użyciem klucza publicznego czy rozwiązań bezhasłowych.

Na ten moment standard Webauthn jest wspierany przez wszystkie najpopularniejsze przeglądarki takie jak: Google Chrome, Mozilla Firefox, Microsoft Edge, Opera i Apple Safari (preview).

Linki