The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие ключи на чипах Infineon"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие ключи на чипах Infineon"  +/
Сообщение от opennews (??), 06-Сен-24, 11:12 
Исследователи безопасности из компании NinjaLab разработали  технику атаки по сторонним каналам, позволяющую клонировать ECDSA-ключи, хранимые в криптографических токенах YubiKey 5 и других устройствах, в которых используется криптографическая библиотека от компании Infineon. Атака получила кодовое имя EUCLEAK  и помимо токенов с чипами Infineon SLE78, таких как YubiKey 5, может применяться  ко многим другим системам с микроконтроллерами компании Infineon, включая чипы Infineon Optiga Trust M и Infineon Optiga TPM...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61817

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +4 +/
Сообщение от Аноним (1), 06-Сен-24, 11:12 
В общем это не возможно
Ответить | Правка | Наверх | Cообщить модератору

3. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –9 +/
Сообщение от нах. (?), 06-Сен-24, 11:15 
"в общем" - возможно. Т.е. в теории-то, сынок, мы с тобой миллионеры...

но и очередное подтверждение что убики - дерьмо на палочке, сделанное людьми не умеющими ни в какую безопасность и инженерию - тоже. На сей раз им повезло, ускреблись.

Ответить | Правка | Наверх | Cообщить модератору

11. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +4 +/
Сообщение от Жироватт (ok), 06-Сен-24, 11:34 
"В теории, сынок, мы два миллионера. А на практике - у нас дома сидят две продажные шкуры".

Вполне себе нормальный уровень, стоимость всей процедуры клонирования от разборки до сокрытия следов несопостовимо по стоимости возможному ущербу.

Ответить | Правка | Наверх | Cообщить модератору

19. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –1 +/
Сообщение от нах. (?), 06-Сен-24, 12:13 
ну блин, я прям не знаю.. у меня точно сп-ить на такую сумму нечего.

Но я этой поделкой и не пользуюсь ведь...

А у тех кто пользуется - могут ведь быть деньжата... (ну, если они такие глупые, чтобы убику доверить их хранение пусть даже в качестве второго фактора)

Ответить | Правка | Наверх | Cообщить модератору

134. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Товарищ майор (??), 12-Сен-24, 17:57 
Денег у меня на ней нет, а вот доступ к сотне другой серверов вполне себе есть. И если на эти сервера попадут посторонние, то компания влетит на конкретные такие бабки. Благо компания не моя ))
Ответить | Правка | Наверх | Cообщить модератору

76. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от СЕО YUBIKEY (?), 06-Сен-24, 15:55 
а где предудщие подтверждения?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

39. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от бух. (?), 06-Сен-24, 13:12 
возможно-невозможно, лучше бы написали какой митигейшен
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

69. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от бух. (?), 06-Сен-24, 15:30 
в общем митигейшен - купить новый ключ: https://support.yubico.com/hc/en-us/articles/360013708760-Yu...

It is currently not possible to upgrade YubiKey firmware after manufacturing and deployment. To prevent attacks on the YubiKey which might compromise its security, the YubiKey does not permit its firmware to be accessed or altered.

Ответить | Правка | Наверх | Cообщить модератору

117. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +2 +/
Сообщение от Аноним (117), 07-Сен-24, 00:15 
нормальная бизнес-модель
Ответить | Правка | Наверх | Cообщить модератору

124. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Аноним (124), 08-Сен-24, 16:48 
Нормальное управление рисками. Через DFU или аналог все это сломали бы горадо раньше и задёшево.
Ответить | Правка | Наверх | Cообщить модератору

137. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Kuromi (ok), 21-Сен-24, 22:43 
Да у них целая корпоративная программа есть, когда ты по подписке ключики получаешь, устаревшие меняют на новые, но обычным юзерам - покупай новый.
Старые чсх потом оказываются у реселлеров (там за исключением пары нюансов все сбрасывается на заводские настройки) по трети цены.
Ответить | Правка | К родителю #117 | Наверх | Cообщить модератору

123. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Ivan_83 (ok), 07-Сен-24, 23:50 
Не использовать ECDSA и закрывать в сейфе, сейф под охраной держать.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

128. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 09-Сен-24, 11:23 
блин, ну поприкалывались и хватит, откройте уже сейф, тут дышать нечем!

Ответить | Правка | Наверх | Cообщить модератору

104. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Омоним (?), 06-Сен-24, 20:45 
Терморектальный криптоанализатор- лучший инструмент экстремального социального инжиниринга... Один фиг паять придется.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

135. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (135), 14-Сен-24, 16:52 
Люди не спят дольше часа! И они сразу заметят пропажу чего угодно в метро! А спустя 2 дня они приходят специально, чтобы не травмировать чувства грабителей.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от нах. (?), 06-Сен-24, 11:14 
расходимся, тут денег нет. опять теоретическая увизгвимость.
Хотя конечно убикам пламенный привет за неумение банально залить жестким компаундом плату вместе с фольгой, что даже оладьин, прости Г-ди, в 94м году умел.

Ответить | Правка | Наверх | Cообщить модератору

8. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (8), 06-Сен-24, 11:28 
> за неумение банально залить жестким компаундом плату вместе с фольгой

Так-то в новости юбик вполне себе разобранный.

Ответить | Правка | Наверх | Cообщить модератору

21. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от нах. (?), 06-Сен-24, 12:15 
так об этом и речь. Оладьинов при разборке требовалось парочка запасных, потому что не повредить при отковыривании крошек эпоксидки не всегда получалось. Ну и разумеется обратно уже никак не собрать чтоб беспалева, корпус тоже только ломали кусачками.

А это наколенные подвальные технологи начала девяностых ведь придумывали. Сейчас можно было б и постараться.

Ответить | Правка | Наверх | Cообщить модератору

24. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Аноним (24), 06-Сен-24, 12:22 
Ты новость читал ваще? Чтоб считать ключ, надо разобрать юбик, сняв корпус. Ну будет у тебя там фольга и компаунд, все это удаляется при разборе. А дальше все восстанавливается и корпус печатается на 3D принтере, о чем в статье и написано
Ответить | Правка | Наверх | Cообщить модератору

28. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от нах. (?), 06-Сен-24, 12:38 
ты пробовал разбирать полностью залитые в эпоксидку ключи? Или так, п-дишь?

Ты даже сам корпус разобрать сможешь только по кусочкам и смотри не оторви линии к usb-разъему. Удовольствие отковыривать эпоксу от микросхем так чтобы не зацепить ничего лишнего - бесценно. С хорошим шансом об...ся.

А ведь существуют составы _специально_ предназначенные для того чтоб их было крайне сложно удалять, а не самая дешевая эпокса с шука.

Ответить | Правка | Наверх | Cообщить модератору

33. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –1 +/
Сообщение от Аноним (33), 06-Сен-24, 12:50 
Хорошим феном и паяльником всё удаляется.
Ответить | Правка | Наверх | Cообщить модератору

120. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Омоним (?), 07-Сен-24, 12:37 
Эпоксидка? Ню-ню... Удачи)))
Ответить | Правка | Наверх | Cообщить модератору

130. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 09-Сен-24, 21:04 
ну как человек в свое время по уши в эпоксе - да, она (обычная) термонестабильна. Правда, что ты там раньше оторвешь - компаунд от микросхем или микросхемы от платы - тот еще вопрос, температура требуется достаточно высокая.

Я-то механические соединения разбирал, там меньше шансов все испортить (но люди с очень-прямыми-руками не из плеч - умудряются таки).

Но эпоксидки бывают ну ооочень специальные, а помимо них есть еще акрилаты, к примеру. И еще дохрена всего что я в виду непрофессионализма в вопросе не знаю. Остались ли еще профессионалы? А вот хрен его знает... Но на убиквитю работают "дизайнеры", а не инженеры.


Ответить | Правка | Наверх | Cообщить модератору

74. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (74), 06-Сен-24, 15:45 
В данном случае электрического контакта к внутренностям не требуется. Достаточно сточить слой над самой микросхемой, в том месте куда датчик подводится. Хоть ручной фрезой, точности не требуется, главное саму микросхему не просверлить.
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

86. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 17:24 
ну если заранее знать где она, то да. Корпус керамический, повредить сложно. Опять же задачка для васяна снова усложняется.

Но эти ж даже и не попытались.

Ответить | Правка | Наверх | Cообщить модератору

108. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –2 +/
Сообщение от Дон Педроemail (?), 06-Сен-24, 21:09 
Поищи инфу, как Стингеры ломали (во времена Афгана). Там тоже все залито было. Попросили косторезов из Якутии, которые аккуратно всю эпоксидку срезали (Ибо больше некому было). И все прояснили. И даже ректального крипто никакого и никому.
Ответить | Правка | Наверх | Cообщить модератору

126. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 08-Сен-24, 18:15 
это _государство_ "попросило" - типа хошь в колхоз, а не хошь - в вечную мерзоту живьем положим.

А у отдельных васянов шансов ноль.

Ответить | Правка | Наверх | Cообщить модератору

132. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Абориген из Чиланзара (?), 10-Сен-24, 15:14 
>это _государство_ "попросило" - типа хошь в колхоз, а не хошь - в вечную мерзоту живьем положим.

Откуда такое представление о том как это было на самом деле? Из фильмов а-ля "Сволочи" или "Гуга"?

Немножко для представления уровня патриотизма в СССР во времена Афгана.
Я лично был свидетелем следующей истории.
В ташкентской учебке проводилась дополнительная медкомиссия на пригодность для прохождения дальнейшей службы "за речкой". Специально возили в окружной госпиталь. У парня из соседнего взвода зрение было около -4. К тому моменту, когда ему нужно было пройти окулиста, уже было известно, что с таким зрением "бракуют". И он договорился с курсантом из другого взвода, что тот пройдет проверку зрения вместо него. Разумно рассудив, что врач скорее всего не запомнит его лицо среди полутора сотен солдат. И у него всё получилось. И, да, он улетел в ДРА. Что было дальше с ним рассказать не могу, не знаю.

И никто ему ничем не угрожал :)

Ответить | Правка | Наверх | Cообщить модератору

31. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 12:42 
дык и говорю - никакой защиты от любознательных не предусмотрено.
Модные современные дизайнеры устройств безопасности - ненеслышали.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

40. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 13:16 
> дык и говорю - никакой защиты от любознательных не предусмотрено.

ну а теперь прикинь устройство с тампер протекшеном (микровзрычаткой) и эмсек сертификацией, прям натавские военные стандарты, поди продай каждому васяну.

Ответить | Правка | Наверх | Cообщить модератору

62. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 15:02 
ну зачем же так-то? оптодатчик и одноразово пережигаемая схемка тогда уж. Включил без корпуса и эпоксидки - в тыкву.
И без доступа к документации - попробуй догадайся, почему и как.

Но от типового васяна - и одной эпоксидки достаточно. Это тебе не оладьин, который просто меняли если "сгорел". У васяна единственный-уникальный шанс ненадолго подержать чужой ключ без палева, и время ограничено.

Ответить | Правка | Наверх | Cообщить модератору

125. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (124), 08-Сен-24, 16:50 
Т.е. у акатующих есть:
> измерительный комплекс Langer ICR HH 500-6 ($2300), применяемый для испытаний микросхем на электромагнитную совместимость, усилитель Langer BT 706, микроманипулятор Thorlabs PT3/M ($1000) с разрешением 10 мкм, цифровой микроскоп Dino-Lite AM4113TL ($450) и четырёхканальный осциллограф PicoScope 6424E ($7500) с 8-битным разрешением АЦП.

но бида, бида, нев вообще никакой документащии. Верю, что ужа там.

Ответить | Правка | Наверх | Cообщить модератору

127. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 08-Сен-24, 18:17 
> но бида, бида, нев вообще никакой документащии

на langer- есть. Купили же ж (в стране где нет @н@льных кар за "покупку профессионального оборудования" в личных целях). А если у них есть документация на внутренности убика - то тут вопрос к службе безопасности самого убика - например, есть ли она вообще. И если нету - какой дурак этим пользоваться намерен?

Ответить | Правка | Наверх | Cообщить модератору

10. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Жироватт (ok), 06-Сен-24, 11:32 
Все равно тест/рекаверипоинты выводить за соплю. Или ты говоришь про полное покрытие всего, КРОМЕ usb?
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

22. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 12:17 
конечно. рекавери маст дай. Единственная рекавери которая должна быть у таких поделок - кто-то с равным или более высоким чем твой уровнем доступа блокирует твою продолбаную игрушку нафиг.

Нельзя при этом тестировать ? Значит нельзя. Тестируй одну из ста и выбрасывай, и готовь юзерам быструю замену брака.

Ответить | Правка | Наверх | Cообщить модератору

46. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Аноним (40), 06-Сен-24, 13:34 
я просто не пойму зачем пытаться извлекать ключ?

Схема атаки проста, при покупке одного ключа вам настоятельно будут рекомендовать купить вторую, чтобы при потере или неработоспособности одной, не потерять доступ к "сервису", а лучше сразу приобрести 5 штук. Так вот все эти 5 по факту резервные ключи. И вуаля раз мы можем своровать ключ, тогда также мы можем его подменить на вид же они все одинаковые. А владелец просекет подмену лишь тогда когда ему будет необходим этот ключ с потерей n-1 ключей (в крайнем случае).

Ответить | Правка | Наверх | Cообщить модератору

59. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (59), 06-Сен-24, 14:56 
Можно и с одни ключом при помощи гаечного ключа по кумполу извлечь ключ. Тут уже от задачи зависит.
Ответить | Правка | Наверх | Cообщить модератору

63. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от нах. (?), 06-Сен-24, 15:05 
> я просто не пойму зачем пытаться извлекать ключ?
> Схема атаки проста, при покупке одного ключа вам настоятельно будут рекомендовать купить
> вторую, чтобы при потере или неработоспособности одной, не потерять доступ к

так и делаем. Мы ж не хотим как полные лошары вообще без доступа остаться. Но они в сейфе лежат, и ключи (причем - два) даже не у твоего начальства, а у другого отдела с нехорошим названием и у ИБ.
И чтоб сейф открыть и что-то оттуда под роспись взять - будешь неделю писать объяснительные, как так, казеную ценность проэтосамил.

Я вот как-то раз сам ключ этот самый забыл в сортире - месяц потом чуть ли не до генерального директора вонь стояла, даром что постороннему пользы от него никакой.

Ответить | Правка | К родителю #46 | Наверх | Cообщить модератору

68. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 15:29 
> Но они в сейфе лежат

Только не надо путать схему разделения секрета и надежного хранения резерва. В случае когда ваши резервные ключи хранятся у "у другого отдела с нехорошим названием и у ИБ", тогда вам сложнее будет обнаруживать место "утечки". И как мне доказать, что меня не подставили, слив тем самым "мой ключ". В конторах, описанная вами схема, это не схема резервирования, а схема разделения секрета. Ответственность за резервный ключ, как и за сам ключ и его использование (однозначная идентификация владельца), несет владелец ключа, а не какой-то васян из другого отдела. А если этот васян и хранит в резерве мой ключ, то обязательно не в "открытом" виде, то есть исключить возможность его использования. По существу, для надежного хранения "резерва" третьими лицами, необходимо также применить схему разделения секрета. А теперь подумаем как разделить физический юсб ключ :)

Ответить | Правка | Наверх | Cообщить модератору

78. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 16:32 
>> Но они в сейфе лежат
> Только не надо путать схему разделения секрета и надежного хранения резерва. В
> случае когда ваши резервные ключи хранятся у "у другого отдела с
> нехорошим названием и у ИБ", тогда вам сложнее будет обнаруживать место
> "утечки". И как мне доказать, что меня не подставили, слив тем

А, так они ж неактивированы. Если ты просохатил свой - его блокируют, и подключают новый. Откатить эту операцию нельзя, даже если ты тут же нашел его в заднем кармане за подкладкой, ты уже попал. Так что незаметно для тебя даже если сговорятся начальники двух не особо доброжелательных к тебе и друг другу отделов - не получится.

Поэтому вонь от оставленного мной без присмотра бесполезного ключа (того, железного, от сейфа, в смысле) и была совершенно неадекватна реальной угрозе.
Даже нacp...ть в сейф не получилось бы, нужен же второй.

> надежного хранения "резерва" третьими лицами, необходимо также применить схему разделения
> секрета. А теперь подумаем как разделить физический юсб ключ :)

Вот того что выше описано - вполне достаточно. В реальной, не высосанной из пальца жизни.

Еще бы сами токены были хотя бы чуть меньшим дерьмом...

Ответить | Правка | Наверх | Cообщить модератору

87. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 17:30 
> А, так они ж неактивированы.

Я вижу, что мы описываем разные ситуации, и воизбежания непонимания, опишу что я имел ввиду:

Рассмотрим некоторый сервис, к которому есть доступ по аппаратному ключу, и собственно потеря данного ключа, ЛИШАЕТ нас доступа к данному сервису.

К примеру - доступ к какому-нибудь ссх серверу только по ключу, через сеть, без возможности всяких там ipmi и физ. взаимодействия т.д. Очевидно, что потеряв ключ, теряем доступ. Отсюда, надо иметь резерв.

Но резерв чего? Не рассматриваем резервный (альтернативный способ) доступ. Резерв ключа - как копия этого ключа? Копия ключа нарушает принцип НЕИЗВЛЕКАЕМОСТИ аппаратного ключа. Согласно этому принципу, каждый аппаратный ключ - новый уникальный ключ. И как тогда может быть зарезервирован ключ?

Никак - и как вы правильно заметили, нужно выпустить новый ключ, и это факт занести в протокол, поднять вой и т.д. В такой трактовке, не существуют неактивированных ключей, значить нечего в сейфе хранить, а потеренный доступ вседа можно восстановить, подняв вой.

Но вернемся к моему случаю, с потерей ключа, вы теряете доступ. Чтобы этого не произошло, вам надо в этой системе зарегистрировать (добавить в authorized_keys) резервный ключ, который уже вы сможете хранить в сейфе. И этот ключ такой же АКТИВНЫЙ, который можно украсть и сделать все то, что описал в предыдущем коменте.

Такая же ситуация со всякими гугл-аутентификаторами, когда накрывался мобильник и терялся доступ к аккаунту. Введя понятие второго фактора, многие не понимают, что этот фактор не должен быть зависим от третих лиц (вещей - мобильное устройство) (номер ваш принадлежит сотовому оператору), и надежнее второго пароля записанного на бумажке и хранящегося в сейфе как второго фактора ничего не придумано.

> Еще бы сами токены были хотя бы чуть меньшим дерьмом...

да, в первую очередь должно быть надежным устройством хранения.

Ответить | Правка | Наверх | Cообщить модератору

107. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 21:08 
У тебя какой-то крайне ограниченный подвальный опыт с какими-то наколенными серверами с наколенной аутентификацией и "authorized_keys".

Обычно у сервера (на самом деле - не у сервера, а у централизованной системы AAA совершенно отдельно) чего-то крупного - не один админ. Поэтому никакая копия ключа ему не нужна.

Просто кто-то другой активирует тебе, неудачнику, новый ключик взамен прогаженного.

Та же ситуация и с гуглоаутентификаторами - приходишь (пешком!) ко мне, в большой компании еще и пропуск предъявишь вооон в ридер, я тебе сбрасываю привязку и можешь заново привязать новый телефон. (два привязать - нельзя, скопировать ключи из гуглоаутентификатора... ну якобы вроде тоже нельзя, хотя, конечно, кто ж тому гуглу верить-то...)

Но может быть (должна бы но где ж вы видели чтоб делали - хорошо? Я такое видел только в конце нулевых в некоторых банковских авторизациях) и другая система, когда к тебе заранее привязано сразу несколько ключей. Но работает только один. Активировал (или самоактивируется при первом использовании) другой - приехали, старый можешь выбросить. Поэтому ты заметишь, что его активировали,и наверное обидишся и поднимешь шум.

Ответить | Правка | Наверх | Cообщить модератору

113. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –1 +/
Сообщение от Аноним (40), 06-Сен-24, 21:28 
> У тебя какой-то крайне ограниченный подвальный опыт

почему ограниченный, я описал частный случай использования в личных целях, а не конторский, с какимито бредовыми системами централизованного ААА. Ересь это все, и зиротраст тому доказательство. Замените тот же ссх сервер на гмейл аккаунт, потеряйте мобилку с аутентификатором или профукайте аппаратный ключ, я посмотрю как вы намылитесь к самому гуглу, чтоб он вам новый ключ дал? или доступ к аккаунту, который вы по паспорту не верифицировали?

> Та же ситуация и с гуглоаутентификаторами - приходишь (пешком!) ко мне

Идете пешком в гугл или в пень?

> Поэтому ты заметишь, что его активировали,и наверное обидишся и поднимешь шум.

ага видел я такие двухфакторки, когда оставался без вотсапа :)

Ответить | Правка | Наверх | Cообщить модератору

9. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +4 +/
Сообщение от Жироватт (ok), 06-Сен-24, 11:30 
И снова у нас "уязвимость", для работы которой нужны физический доступ, гора высокочувствительной электроники (то бишь полноформатный стенд в лабораторных условиях) и очень прямые руки даже для версии без сокрытия факта клонирования...ясно.

Ответить | Правка | Наверх | Cообщить модератору

12. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +5 +/
Сообщение от Аноним (12), 06-Сен-24, 11:34 
>библиотека от компании Infineon

Ну раз вошли в топ-10 надо раскошеливаться на безопасность:
https://www.counterpointresearch.com/wp-content/uploads/2024...

Ответить | Правка | Наверх | Cообщить модератору

13. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +2 +/
Сообщение от vitalif (ok), 06-Сен-24, 11:36 
Тьфу, а я уж обрадовался. А тут какой-то очередной "албанский вирус"...
Ответить | Правка | Наверх | Cообщить модератору

14. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (14), 06-Сен-24, 11:56 
Вот все эти ключи всего лишь удорожают доступ. Хотя конечно за такие деньги проще человека подкупить. Тут главное чтобы все эти девайся были у правильных людей из ФБР и АНБ.
Ответить | Правка | Наверх | Cообщить модератору

16. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (16), 06-Сен-24, 11:59 
>(например, отпечаток пальца)

Воспроизвести этот уникальный биометрический фактор гораздо проще, чем каким-то образом узнать логин и пароль от сервиса. Достаточно получить в доступ предметы, к которым недавно прикасался пользователь.

Ответить | Правка | Наверх | Cообщить модератору

18. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Аноним (18), 06-Сен-24, 12:11 
Вольфганг Шойбле и Урсула фон дер Ляйен ("Яровая Евросоюза") узнали это на личном опыте.
Ответить | Правка | Наверх | Cообщить модератору

29. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –1 +/
Сообщение от нах. (?), 06-Сен-24, 12:39 
> Вольфганг Шойбле и Урсула фон дер Ляйен ("Яровая Евросоюза") узнали это на
> личном опыте.

у них разьве не пароль 123 был от всего?

Ответить | Правка | Наверх | Cообщить модератору

55. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (16), 06-Сен-24, 14:38 
Они просто пальцами в свои иФоны тыкали.
Ответить | Правка | Наверх | Cообщить модератору

58. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (59), 06-Сен-24, 14:54 
Разве можно в живые ифоны пальцами тыкать.
Ответить | Правка | Наверх | Cообщить модератору

43. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Аноним (40), 06-Сен-24, 13:25 
> Достаточно получить в доступ предметы, к которым недавно прикасался пользователь.

ну это разве не хуже стикера с паролем на мониторе? Стикер хоть в одном месте, а тут ваш пароль (отпечаток) повсюду. Биометрия епта :))) Лучшая биометрия - "мысль".

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

65. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 06-Сен-24, 15:07 
Твой пост огорчает фолловеров модных техноблогов.
Ответить | Правка | Наверх | Cообщить модератору

75. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Аноним (40), 06-Сен-24, 15:46 
Таков путь! :)
Ответить | Правка | Наверх | Cообщить модератору

20. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (16), 06-Сен-24, 12:14 
>четырёхканальный осциллограф PicoScope 6424E ($7500) с 8-битным разрешением АЦП

С 8-битным и даже 4-канальный можно купить на Али за намного мешьшее количество президентов.

Ответить | Правка | Наверх | Cообщить модератору

23. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 12:19 
товарищмаёр таможни - тут професси@н@льное оборудование ввозят без лицензий!

Ответить | Правка | Наверх | Cообщить модератору

116. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 23:37 
не проф, а спец оборудование или спец техника, хотя можно и квалифицировать как двойное назначение.
Ответить | Правка | Наверх | Cообщить модератору

26. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +4 +/
Сообщение от Аноним (33), 06-Сен-24, 12:28 
А можно взять советский С1-33 царь-осциллограф по цене металлолома.
Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

30. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 12:40 
> А можно взять советский С1-33 царь-осциллограф по цене металлолома.

И сдать на жельтий, так и озолотишься, и законы нарушать не надо, и разбираться в электронике незачем.

Отличный бизнес-план, я участвую! (все равно ты один его не упрешь)

Ответить | Правка | Наверх | Cообщить модератору

32. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (33), 06-Сен-24, 12:46 
Сейчас такой пятиканальный осциллограф (новый)  стоит дороже драгметаллов что в этом 160 килограммовом чуде.
Ответить | Правка | Наверх | Cообщить модератору

35. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 12:53 
"на добавить хватит!"

Ответить | Правка | Наверх | Cообщить модератору

54. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (16), 06-Сен-24, 14:36 
По цене металлолома его уже взяли аффинажисты. А вам если и продадут, то уже по цене соответсвующего количества драгметаллов и с накруткой.
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

56. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (59), 06-Сен-24, 14:52 
Дал бы ссылку на восстановление сабжа но лень. Короче его купили по цене металла и запустили. И он даже работает.
Ответить | Правка | Наверх | Cообщить модератору

61. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 14:58 
> Дал бы ссылку на восстановление сабжа но лень. Короче его купили по
> цене металла и запустили. И он даже работает.

лошье какое-то продало, не понимали ценности.

Ответить | Правка | Наверх | Cообщить модератору

67. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (67), 06-Сен-24, 15:28 
Ценность — понятие относительное. Стояла бы у меня такая дура дома, ещё доплатил бы, чтобы вывезли.
Ответить | Правка | Наверх | Cообщить модератору

79. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от нах. (?), 06-Сен-24, 16:34 
> Ценность — понятие относительное. Стояла бы у меня такая дура дома, ещё доплатил
> бы, чтобы вывезли.

вот поэтому ты и неудачник. А я бы может и доплатил, если там не так много, но кто ж мне продаст...
Так и живу без миллионов :-(

Ответить | Правка | Наверх | Cообщить модератору

83. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (33), 06-Сен-24, 16:52 
Один московский институт продал. Когда старую лабораторию на металлолом сдавали.  
Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

70. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от penetrator (?), 06-Сен-24, 15:33 
это лучше или хуже C-65, C-67?
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

81. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 16:48 
> это лучше или хуже C-65, C-67?

да это вообще бесполезные новоделы. Я не сумел с полтыка даже фотографию нормальную найти (то что тебе найдет гугль - фейк, в смысле - неправильно подписанное, это не он), поэтому наслаждайся рисунком:
https://zapadpribor.com/static/images/catalog/32830/1600x120...

т.е. я совершенно не преувеличивал, что в одиночку сп-ть ЭТО нереально. Даже на тележке не уволочь - больше сотни кило весил.

Можешь себе представить, СКОЛЬКО можно заработать, сдав его на переплавку.

Ответить | Правка | Наверх | Cообщить модератору

89. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +4 +/
Сообщение от Аноним (33), 06-Сен-24, 17:35 
Нормальная фотка
https://sovietpribor.ru/images/0/0d/DSC03058.jpg
Пять лучей https://sovietpribor.ru/images/thumb/9/98/DSC03044.jpg/1920p...
Да ладно и саму ссылку с историей лови.
https://sovietpribor.ru/index.php?title=%D0%9E...
Ответить | Правка | Наверх | Cообщить модератору

85. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (33), 06-Сен-24, 16:57 
То что у тебя это однолучевой, а там пятилучевой ослик.  
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

94. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (16), 06-Сен-24, 18:22 
Осциллоскоп! А ослик это, типа, C1-94.
Ответить | Правка | Наверх | Cообщить модератору

45. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (45), 06-Сен-24, 13:29 
Уже была такая атака: https://www.opennet.dev/opennews/art.shtml?num=54385
Ответить | Правка | Наверх | Cообщить модератору

51. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Аноним (33), 06-Сен-24, 14:06 
Реклама NinjaLab.
Ответить | Правка | Наверх | Cообщить модератору

49. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Хакинтошник (?), 06-Сен-24, 13:51 
А ведь есть убики по FIPS сертифицированные..
Ответить | Правка | Наверх | Cообщить модератору

52. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (33), 06-Сен-24, 14:08 
Мораль новости что если надо все можно взломать склонировать, подобрать.
Ответить | Правка | Наверх | Cообщить модератору

122. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Ivan_83 (ok), 07-Сен-24, 23:46 
И что?
FIPS это ГОСТ, он для своих, чтобы гарантировать что оно везде соместимо и достаточно надёжно.
За пределами госов FIPS мало кому интересен.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

53. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –1 +/
Сообщение от Аноним (40), 06-Сен-24, 14:23 
> А почему я не должен знать вора

Любую пропажу можно считать кражей, как и любую кражу - пропажей, равновероятностно!

У вас либо своровали, либо вы "растяпа", одно из двух. Кто вы - зависит от психотипа человека. Не самодур, признает и допустит, что он "растяпа". И степень растяпости прямопропорционально "сумме в кошельке". Принять пропажу за кражу, можно косвенно, допустим вас в этом убеждает факт "криминальности" района где вы живете. А тут, как говорится, не пойман - не Вор.

Отсюда, кража допустима только тогда, когда вы "растяпа", то есть потеряли бдительность.

А вот с мошенником совсем иначе, вы сами собственно-ручно глядя в глаза отдаете ему "сумму". В данном случае вы вовсе не "растяпа", вы, "ну не знаю как тут называть". И вам не нужен никакой косвенный факт, чтобы доказать факт мошейничества, вы признаете, что вас "на...ли". Все однозначно ясно.

И после этого, вы говорите, что деяния вора и мошенника соизмеримы?

Ответить | Правка | Наверх | Cообщить модератору

64. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (67), 06-Сен-24, 15:06 
> Любую пропажу можно считать кражей, как и любую кражу - пропажей, равновероятностно!

«В армии нет слова украли», ага.
Судье это потом объясните только.

Ответить | Правка | Наверх | Cообщить модератору

71. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 15:41 
> Судье это потом объясните только.

Вы вывод не поняли: Кража и пропажа - равновероятностны, то есть в суде вы одинаково должны либо доказать факт пропажи и тем самым опровергните факт кражи, и наоборот.

Следствие: Отсюда, кража допустима только тогда, когда вы "растяпа", то есть потеряли бдительность. И при пропаже вы "растяпа", что делает кражу и пропажу "неотличимыми".

Ответить | Правка | Наверх | Cообщить модератору

77. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (-), 06-Сен-24, 16:21 
> У вас либо своровали, либо вы "растяпа", одно из двух.

О, чувствуется народное обвинение жертвы)
"Сам виноват", "смотреть надо было", "что ж ты в миниюбке ходишь".. а не это из другой темы,
"зачем ты в таком районе припарковался" и тд.

> Отсюда, кража допустима только тогда, когда вы "растяпа", то есть потеряли бдительность.

А если была кража со взломом?
При этом дверь была с замком C или D?
Тоже "растяпа" или все-таки сделал все что мог?

> А вот с мошенником совсем иначе, вы сами собственно-ручно глядя в глаза отдаете ему "сумму".

Не обязательно. Ты можешь просто кликнуть на фишинговое письмо.
Или к тебе могут подсадить кейлогер через дыру в браузере.

> Все однозначно ясно.

Только в твоих больных фантазиях)

> И после этого, вы говорите, что деяния вора и мошенника соизмеримы?

Да, говорю.
И суд тоже может их соизмерить и выдать соответствующие сроки.


Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

82. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 16:51 
> О, чувствуется народное обвинение жертвы)

В потертых коментах я писал, что если вы не психотип самодура, то вы сами себя будете обвинять в "растяпстве".

> А если была кража со взломом?

Взлом и кража разные понятия. В данном случае под кражой я рассматривал "карманные кражи", то есть взять то, что не принадлежит тебе.

> При этом дверь была с замком C или D?

Факты взлома замка разве доказывает кражу? Человек убит но кашелек на месте, разве убийство с целью кражи?

> Тоже "растяпа" или все-таки сделал все что мог?

В любом случае "растяпа", раз вы замок ставили с целью защититься от краж. И ключи вешаете на колечко, цепочку, а чепочку к петельке у штанов, чтобы что? Чтобы не потерять, а не - украли :)


> Не обязательно. Ты можешь просто кликнуть на фишинговое письмо.
> Или к тебе могут подсадить кейлогер через дыру в браузере.

Так это и есть кража, и никакое мошейничество. Цель кражи и профессионального вора, чтобы жертва не узнала (в идеале), что у нее что-либо украли, и в лучших традициях сочла за потерю. (Опять таки на примере карманных краж, если своровать у пьяного, то он с большей вероятностью будет винить себя, мол напился и потерял бдительность, вот и "потерял").

> Только в твоих больных фантазиях)

а нуда, вы доказали "здоровость" собственных.

> И суд тоже может их соизмерить и выдать соответствующие сроки.

У вас всегда будет сомнение (если вы не самодур) обвиняя кого-то в воровстве, а вот обвинять мошенника вы будете без сомнений, почему - я обяснил в потертых коментах.

Ответить | Правка | Наверх | Cообщить модератору

93. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (-), 06-Сен-24, 17:47 
>> О, чувствуется народное обвинение жертвы)
> В потертых коментах я писал, что если вы не психотип самодура, то вы сами себя будете обвинять в "растяпстве".

А зачем себя вообще обвинять?
Ты приложил усилия - поставил дверь закрыл ее.

> Взлом и кража разные понятия. В данном случае под кражой я рассматривал "карманные кражи", то есть взять то, что не принадлежит тебе.

О, так ты еще и юрист? А какое ПТУ заканчивал?
ст. 158 УК РФ гласит что "Кража, то есть тайное хищение чужого имущества" может быть
"б) с незаконным проникновением в помещение либо иное хранилище; "
То что ты фантазируешь про карманные деньги - это твои проблемы.

> Факты взлома замка разве доказывает кражу? Человек убит но кашелек на месте, разве убийство с целью кражи?

Факт взлома замка и пропажи вещей дает следователю основание предполагать кражу.

> В любом случае "растяпа",

Максимально тупая логика /_-

> Так это и есть кража, и никакое мошейничество.

Фишинг это как раз мошенничество - попытка выдать себя за кого-то другого.
Звонок из "службы сбербанка" с просьбой назвать пин-код из той же оперы.

> Цель кражи и профессионального вора, чтобы жертва не узнала (в идеале), что у нее что-либо
> украли, и в лучших традициях сочла за потерю. (Опять таки на примере карманных краж, если своровать у пьяного, то он с большей вероятностью будет винить себя, мол напился и потерял бдительность, вот и "потерял").

Странно, но в УК нет ничего о целях кражи.
Есть только ее формальное определение.

>> Только в твоих больных фантазиях)
> а нуда, вы доказали "здоровость" собственных.

Да, тк я аппелирую к законам и документам.
Если ты живешь в каком-то своем выдуманном мирке, то это твои проблемы

> У вас всегда будет сомнение (если вы не самодур) обвиняя кого-то в воровстве, а вот обвинять мошенника вы будете без сомнений, почему - я обяснил в потертых коментах.

Снова какие-то тупые фантзии.
Если у тебя кошелек из кармана вытащат в автобусе.
А потом на камерах все вино будет?
Твои комменты не просто так потерли, наверное админ ужаснулся их глупости.


Ответить | Правка | Наверх | Cообщить модератору

101. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 20:26 
Ответ на 4.93, Аноним (-), 17:47, 06/09/2024

> О, так ты еще и юрист? А какое ПТУ заканчивал?
> ст. 158 УК РФ гласит что "Кража, то есть тайное хищение чужого имущества" может быть
> "б) с незаконным проникновением в помещение либо иное хранилище; "
> То что ты фантазируешь про карманные деньги - это твои проблемы.

г) из одежды, сумки или другой ручной клади, находившихся при потерпевшем, -

вы хоть понимаете как трактуются пункты в статьях? Один из пунктов применяется. И взлом и проникновение никакого отношение к самому определению кражи не имеет. Это отягчающие обстоятельства, при котором совершается кража.

"Кража, то есть тайное хищение чужого имущества" - где определение хищения? что есть хищение? Кража это тайная кража имущества?

> Факт взлома замка и пропажи вещей дает следователю основание предполагать кражу

Убитый с кошельком в кармане разве убит ради кражи этого кошелька?

> Максимально тупая логика /_-

Где доказательство?

> Фишинг это как раз мошенничество - попытка выдать себя за кого-то другого.
> Звонок из "службы сбербанка" с просьбой назвать пин-код из той же оперы.

158 статью прочли, а дальше лень было 159 прочесть?

"""
УК РФ Статья 159. Мошенничество
Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием,

Примечания. 1. Под хищением в статьях настоящего Кодекса понимаются совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившие ущерб собственнику или иному владельцу этого имущества.
"""

И как видим, мошенничество это хищение (кража) путем обмана или злоупотребления доверием. Фишинг это мошенничество, а предмет кражи - пин код. Кража пин кода и кража денег из кармана как видите квалифицируются разными статьями вашего УК. Кража пин кода не может влечь за собой обвинения в краже денег.

Карманные кражи по сути сложно доказывать, следуя определению хищения "совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества", необходимо доказать корыстную цель, во-первых, и во-вторых, доказать права на то имущество, что у вас было украдено.

Вы записываете (серийники) и нотариально заверяете все имеющиеся у вас билеты центробанка?

> Странно, но в УК нет ничего о целях кражи.
> Есть только ее формальное определение.

Странно думать, что УК логически правильный, промолчу про здравый смысл.

> Да, тк я аппелирую к законам и документам.
> Если ты живешь в каком-то своем выдуманном мирке, то это твои проблемы

да, именно законам, а не законам логики. А живу я в здравом смысле, чего и вам желаю.

> Если у тебя кошелек из кармана вытащат в автобусе.
> А потом на камерах все вино будет?

ну я же говорил, не пойман - не Вор. Ток вам в современном мире надо будет доказать истинность съемки, что собственно в наше время становится куда сложнее со всякими дипфейками.

> Твои комменты не просто так потерли, наверное админ ужаснулся их глупости.

в логах модерирование есть пометка, по какой причине удален тот или иной коментарий, пометка - "удаление вместе с подветкой", в отличии от - "bot TOR".

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

114. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (-), 06-Сен-24, 22:31 
> И взлом и проникновение никакого отношение к самому определению кражи не имеет. Это отягчающие обстоятельства, при котором совершается кража.

Еще как имеет.
Это значит, что "похитил ли ты из кармана" или "взломал дверь" - это все равно будет кража.

> "Кража, то есть тайное хищение чужого имущества" - где определение хищения? что  есть хищение? Кража это тайная кража имущества?

хищение - противоправное безвозмездное изъятие чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или иному владельцу этого имущества.

Оно может быть явным - на тебя наставили пушку - грабеж, прострелили ногу - c̶ ̶u̶n̶d̶e̶f̶i̶n̶e̶d̶ ̶b̶e̶h̶a̶v̶i̶o̶u̶r̶ разбой.
Тайным - кража.
Путем обмана - мошенничество.
И тд.

>> Фишинг это как раз мошенничество - попытка выдать себя за кого-то другого.
>> Звонок из "службы сбербанка" с просьбой назвать пин-код из той же оперы.
> УК РФ Статья 159. Мошенничество
> Мошенничество, то есть хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием,

Да именно так. У тебя путем обмана добыли пин к карте.

> Примечания. 1. Под хищением в статьях настоящего Кодекса понимаются...

Ого, ты даже смог найти определение хищения!
Твой интеллект просто кратно вырос в моих глазах.
А зачем тогда выше задавал тупые вопросы?

> И как видим, мошенничество это хищение (кража) путем обмана или злоупотребления доверием.
> Фишинг это мошенничество, а предмет кражи - пин код. Кража пин кода и кража денег из кармана как видите квалифицируются разными статьями вашего УК. Кража пин кода не может влечь за собой обвинения в краже денег.

Еще как может. Если с этой карты их сняли.
Почитай судебные решения и не неси чушь.

> Карманные кражи по сути сложно доказывать, следуя определению хищения "совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества", необходимо доказать корыстную цель, во-первых, и во-вторых, доказать права на то имущество, что у вас было украдено.

Э? Если это попало на камеру - то ваще не вопрос.
Если в кошельке ваши карточки, права или любые другие доки - тоже.
Телефон может быть привязан к госуслугам или другим сервисам.
Оператор отлично знает какой IMEI к какому номеру относится.

> Вы записываете (серийники) и нотариально заверяете все имеющиеся у вас билеты центробанка?

Нет, это максимум что смогут забрать при краже или даже ограблении.

> Странно думать, что УК логически правильный, промолчу про здравый смысл.

Естественно он не всегда правильный, чего только стоит "Неправомерное завладение автомобилем без цели хищения" по которому куча лоботрясов вскрывали машины "просто покататься".

> да, именно законам, а не законам логики. А живу я в здравом смысле, чего и вам желаю.

Но в суде будут следовать УК, даже если он не логичен.
Поэтому логично знать как оно работает, даже если мне это не нравится.

> ну я же говорил, не пойман - не Вор. Ток вам в современном мире надо будет доказать истинность съемки, что собственно в наше время становится куда сложнее со всякими дипфейками.

Пфффф, ты наверное не общался с отечественной полицией.

Улучшить закон можно только изменением через законодательные органы.
Дума, совфед и тд.
Можешь написать своему депутату)

Ответить | Правка | Наверх | Cообщить модератору

115. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 23:29 
> Еще как имеет.
> Это значит, что "похитил ли ты из кармана" или "взломал дверь" - это все равно будет кража.

Я могу взломать вашу дверь и ничего не взять, и это будет расцениваться как нанесение материального ущерба, а не взлом с кражей. Взлом - нанесение ущерба, проникновение - нарушение границ частной собственности, все это по разному квалифицируется и в том числе может в отдельности, как отдельно квалифицируется кража из дома и кража из кармана. Это хоть вам понятно? Вы пытаетесь икать логику в УК? Ее там нет, УК формально не полон! И вовсе не непротиворечив к слову.

> Оно может быть явным

Цель Вора, остаться в тайне. Цель разбойника - может быть и явна, и квалифицируется как разбой.

УК РФ Статья 162. Разбой

"""
1. Разбой, то есть нападение в целях хищения чужого имущества, совершенное с применением насилия, опасного для жизни или здоровья, либо с угрозой применения такого насилия

2. Разбой, совершенный группой лиц по предварительному сговору, а равно с применением оружия или предметов, используемых в качестве оружия

3. Разбой, совершенный с незаконным проникновением в жилище, помещение либо иное хранилище или в крупном размере
"""

Опять же цель - хищение, и опять новая статья и иная квалификация со своими обстоятельствами.

"""
18. Под незаконным проникновением в жилище, помещение или иное хранилище следует понимать противоправное тайное или открытое в них вторжение с целью совершения кражи, грабежа или разбоя. Проникновение в указанные строения или сооружения может быть осуществлено и тогда, когда виновный извлекает похищаемые предметы без вхождения в соответствующее помещение.
"""

Обратите внимание, "Проникновение в указанные строения или сооружения может быть осуществлено и тогда, когда виновный извлекает похищаемые предметы без вхождения в соответствующее помещение.", а кто будет доказывать, что сей предмет находился в "соответствующее помещение", когда его "извлекали без вхождения". Опять камеры внутри помещения?

> Да именно так. У тебя путем обмана добыли пин к карте.

Этот пин вы продиктовали мне по телефону сами! Достаточно двум позвонить и спросить у вас пинкод и тем самым поставить обвинение в неудобную позу, когда пойман один из мошенников.

> А зачем тогда выше задавал тупые вопросы?

К самому УК у меня еще есть куча вопросов, к вам у меня вопросов нет, и так все ясно.

> Еще как может. Если с этой карты их сняли.
> Почитай судебные решения и не неси чушь.

Если бы да ка бы, вот такое в суде не катит. Хищения пинкода - мошенничество, в том и только том случае если есть "путем обмана или злоупотребления доверием", то есть "я обманут" когда? или "я ДОВЕРИЛ и меня обманули".

Представьте фишинговый звонок и там голос говорит сразу "скажите ваш пинкод" и вы в ответ говорите в трубку "диктуете пинкод", как по вашему, лингвистическая экспертиза разве оценит это как обман или злоупотребление доверием? Где определение обмана? Где определение доверия и его злоупотребление? А может вы провокатор явно диктующий свой пинкод, чтобы потом обвинить меня в мошенничестве?

А почему же работает схема с дрянью подкинутой в карман? Факт того, что она извлечена из вашего кармана, делает, по вашему же УК, вас виновным, и никого не заботит вы полноправный владелец сей дряни или нет.

Э? Если это попало на камеру - то ваще не вопрос.
Если в кошельке ваши карточки, права или любые другие доки - тоже.
Телефон может быть привязан к госуслугам или другим сервисам.
Оператор отлично знает какой IMEI к какому номеру относится.

> Если в кошельке ваши карточки, права или любые другие доки - тоже.

я промолчу, что все эти вещи могут оказаться в ближайшей канаве после совершения преступления.

> Нет, это максимум что смогут забрать при краже или даже ограблении.

Ну вот и никто в суде не выясняет происхождение и право владения денег по факту. Хотя на самих деньгах написано - Билет такого-то банка, то есть не ваш. Отсюда, Вора надо ловить с поличным, за руку в особенности карманника.

> Естественно он не всегда правильный, чего только стоит "Неправомерное завладение автомобилем без цели хищения" по которому куча лоботрясов вскрывали машины "просто покататься".

Ну вот поэтому я и задался вопросом соразмерности и вовсе не по УК, а по психологии, а вы свели все в УК, когда ее составители с логикой не дружат.

> Пфффф, ты наверное не общался с отечественной полицией.

Зачем с ними общаться? Полиция вас ничем не обвиняет, только содействует обвинению.

> Улучшить закон можно только изменением через законодательные органы.
> Дума, совфед и тд.
> Можешь написать своему депутату)

Я могу отменить все законы путем референдума! У вас там из конституции еще не убрали это запрещенное экстремистское слово?

Ответить | Правка | Наверх | Cообщить модератору

109. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 21:10 
Ответ на 4.93, Аноним (-), 17:47, 06/09/2024

Абсурд в том, что и кража и мошенничество по вашему УК определены одним понятием хищения, то есть как вы говорите - соизмеримы, но вот почему-то трактуются в итоге разными статьями - не соизмеримы. Отсюда и дополнительные пункты в каждой из статей, говорит о несоизмеримости кражи и мошенничества.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

84. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (84), 06-Сен-24, 16:56 
> И после этого, вы говорите, что деяния вора и мошенника соизмеримы?

Нет, конечно же! Поэтому первые будут отхожие места мыть по чётным дням, а вторые — по нечётным.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

88. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 17:34 
А жертве придется продать одно "святое" место, чтобы возместить свои "убытки"?
Ответить | Правка | Наверх | Cообщить модератору

66. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Страдивариус (?), 06-Сен-24, 15:10 
> Для библиотеки Infineon разработаны блокирующие уязвимость исправления, но они ещё не задействованы так как не прошли сертификацию.

Погодите, а разве предыдущая сертификация не сертифицировала на отсутствие уязвимостей?

Ответить | Правка | Наверх | Cообщить модератору

73. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 15:43 
Модель угроз, очевидно, что в предыдущей сертификации не рассматривалась данная модель угроз. Отсюда, необходимо изменение механизма сертификации со включением данной модели угроз.
Ответить | Правка | Наверх | Cообщить модератору

91. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (33), 06-Сен-24, 17:39 
Да не это уже новая сертификация на новую угрозу.  
Ответить | Правка | Наверх | Cообщить модератору

102. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 20:40 
а что есть сертификация?

https://ru.wikipedia.org/wiki/%D0%A1%D0%...

"""
С т.з. технического регулирования сертифика́ция — это форма подтверждения соответствия объектов установленным требованиям, осуществляемая органом по сертификации.
"""

Грубо говоря, подтверждение третьей стороной (органом сертификации), что вы не "пи...ол" (ваш объект соответствует заявленным требованиям).

Модели угроз определяет заявитель, и утверждает об соответствии его объекта установленным (опять таки заявителем) требованиям. Орган сертификации проверяет это заявленное утверждение. Если объект соответствует установленным требованиям в данных моделях угроз, тогда объект успешно проходит сертификацию.

Если расширяется (добавляется) новая модель угроз, значить необходимо снова утверждать и подавать заявку на прохождения сертификации, каждая новая версия продукта по факту должна проходить сертификацию, даже если модели угроз не изменены.

Ответить | Правка | Наверх | Cообщить модератору

92. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Qq (?), 06-Сен-24, 17:44 
Тебе в здравом уме никто не гарантирует отсутствие уязвимостей в таких вещах. Сертификация проходит по своеобразному чек-листу, собрали все галочки - получите. Как формируются «тесты» для этого чек-листа это отдельный вопрос
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

103. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 20:45 
> Сертификация проходит по своеобразному чек-листу, собрали все галочки - получите

вы путаете с аудитом, сертификация это совсем другой механизм. Выше описал.

Ответить | Правка | Наверх | Cообщить модератору

90. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Аноним (90), 06-Сен-24, 17:39 
Бессмысленно усложнённая схема. Паяльник в и утюг на ж проще, надёжнее и быстрее.
Ответить | Правка | Наверх | Cообщить модератору

96. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –1 +/
Сообщение от Аноним (16), 06-Сен-24, 18:32 
>Infineon SLE78

Это с ISA RL78 которые? GCC в такие умеет. Лучше бы загрузчик разблокировли, чтоб прошивку со свободным криптософтом можно было залить.

Ответить | Правка | Наверх | Cообщить модератору

97. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Denis Fateyev (ok), 06-Сен-24, 18:34 
По описанию, уязвима только ECDSA-реализация,то бишь, извлечение приватного ECDSA-ключа. Реализации RSA в PIV (функционал smartcard) и PGP, Ed25519-sk для SSH вроде бы норм.
Ответить | Правка | Наверх | Cообщить модератору

100. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 06-Сен-24, 20:01 
Или они просто не искали?

Ответить | Правка | Наверх | Cообщить модератору

99. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  –1 +/
Сообщение от Slop (?), 06-Сен-24, 19:35 
Прошлый опыт с "швейцарскими" шифровальными машинами как бы намекает, что для копирования ключа достаточно будет его на пару секунд к чему-то специальному подключить, а не все эти ваши разборки корпуса и микроскопы с машинленингом и осцилографами.
Ответить | Правка | Наверх | Cообщить модератору

106. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (40), 06-Сен-24, 20:57 
> Прошлый опыт с "швейцарскими" шифровальными машинами как бы намекает

Перефразирую:

Прошлый опыт с "(без разницы)" шифровальными машинами как бы намекает на - "доверь козе капусту". И надо понимать, что в кавычках там должно быть "своё".

Ответить | Правка | Наверх | Cообщить модератору

121. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +1 +/
Сообщение от Ivan_83 (ok), 07-Сен-24, 23:43 
> Проблема вызвана использованием в библиотеке Infineon небезопасного алгоритма вычисления обратного элемента по модулю, вычисления в котором занимают время, зависящее от значений входных данных (для разных векторов наблюдается разное время вычисления обратного элемента по модулю). Подобная особенность позволяет на основе анализа изменения сигнала выделить информацию об отдельных битах во время выполнения операций с вектором инициализации.

Это известная особенность ECDSA, и судя по тому что им пришлось искать особую точку вскрыв корпус чипа производитель тоже про это знал и на уровне чипа этому противодействовал.
Я бы на месте производителя таких чипов просто зашумлял просадки по питанию, и делается это банально: берём ГСЧ (который там аппаратно предусмотрен) и его какой нить примитивный декодер на 8 бит, каждый бит через резистор своего номинала ранзистор выкл/выкл между + и -.


ИМХО нет смысла пытатся делать time constant ECDSA, оно будет тормозным.
Я пока делал свою реализацию и оптимизировал производительность то у меня 100500 мест где математика совсем не constant time, потому что умножать/делить на 2/4 и пр в сетепени двойки смысла нет и мы просто просим соседнюю функцию сдвинуть число на n бит, нет смысла уножать на 0, 1. И вообще все операции с нулём выполняются отдельно, потому что часто делать ничего не надо.

Ответить | Правка | Наверх | Cообщить модератору

129. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 09-Сен-24, 11:30 
> и судя по тому что им пришлось искать особую точку вскрыв корпус чипа

вроде только пластмасску самого стика. Корпус чипа на фотках не тронут.

Производитель (убик, не инфинеон) боролся как мог - обмотал всю платку фольгой.

Ответить | Правка | Наверх | Cообщить модератору

131. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от pavlinux (ok), 10-Сен-24, 11:48 
> Незаметное получение физического доступа к токену.

Дальше не читал.
Вообще первым пунктом нужно было написать:  Вставить паяльник в жëпу или утюг на грудь

Ответить | Правка | Наверх | Cообщить модератору

133. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от Аноним (133), 12-Сен-24, 09:46 
Приключения в стиле: «Вы получите доступ к квартире жертвы, если незаметно вытащите из кармана ключи». Гениально! :)
Ответить | Правка | Наверх | Cообщить модератору

136. "Атака EUCLEAK, позволяющая клонировать YubiKey 5 и другие кл..."  +/
Сообщение от нах. (?), 17-Сен-24, 00:11 
только вот на ключе написано "don't copy", а на инструкции к замку - "мамой клянус что не копируется". А оно таки вот.

(кстати, интересно - mtl 600 уже научились копировать?)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру