YubiKey 5 Klonlamaya Karşı Savunmasız

Dünyanın en yaygın FIDO donanım belirtecine yerleştirilen güvenli öğe, onu klonlamaya karşı hassas hale getiren bir kusur içeriyor. NinjaLab’daki araştırmacılar, Yubico’nun YubiKey 5 Serisi donanım anahtarlarının eski sürümlerinde kullandığı güvenli öğe olan Infineon tarafından üretilen mikrodenetleyicilerde bir kusur keşfetti.

Panik yapacak bir neden yok. Yubico’nun bir güvenlik duyurusunda belirttiği gibi, ciddiyet seviyesi “orta”. Yan kanal saldırısını gerçekleştirmek için, saldırganın en azından kurbanın YubiKey’ine fiziksel olarak sahip olması ve yan kanal saldırısını gerçekleştirmek için gereken elektromanyetik sinyalleri yakalamak için özel ekipmana sahip olması gerekir. Saldırı, mikrodenetleyiciye yerleştirilmiş Eliptik Eğri Dijital İmza Algoritması tarafından üretilen özel anahtarı çıkarmak için elektromanyetik emisyonların ölçülmesini içerir. Bu güvenlik açığı, görünüşe göre 14 yıldır var ve hiç kimse -en azından kamuoyu- bundan haberdar değil.

Araştırmacılar, saldırganların ayrıca potansiyel kurbanların YubiKey’i ikinci faktör kimlik doğrulaması olarak kullandıkları hesap oturum açma bilgilerini çalmaları gerekeceğini söyledi. Yine de, saldırganlar, muhtemelen ulus-devlet korsanları, tüm hareketli parçaları başarıyla bir araya getirirlerse, etraftaki en güvenli ikinci faktör kimlik doğrulama yöntemlerinden biriyle korunan hesaplara giriş yapabilirler.

Saldırı, yaklaşık 11.000 dolara mal olan gelişmiş teknik bilgi ve özel ekipman gerektiriyor. Kusur, 5.7’den önceki aygıt yazılımı sürümlerini çalıştıran tüm YubiKey 5 aygıtlarında mevcut. Yubico, bu aygıtlar için aygıt yazılımı güncellemelerinin mümkün olmadığını ve bu nedenle kalıcı olarak savunmasız kaldıklarını söyledi.

Ohio, Columbus şehri, şehrin başta önemsemediği bir fidye yazılımı saldırısının kapsamını ifşa etmesinin ardından güvenlik araştırmacısı David Leroy Ross’a (Connor Goodwolf olarak da bilinir) dava açtı. Columbus, 18 Temmuz’da Rhysida fidye yazılımı grubu tarafından vuruldu ancak önemli bir hasar meydana gelmeden önce saldırının durdurulduğunu iddia etti.

16 Ağustos’ta şehir, başlangıçta izlemeyi çalışanlarla sınırladıktan sonra, ücretsiz kredi izleme teklifini şehirle kişisel bilgilerini paylaşan tüm bireylere genişletti. Bu dava, Ross’un yerel medyaya saldırının etkisinin şehrin kabul ettiğinden çok daha büyük olduğunu bildirmesinden sonra geldi.

Columbus’u gasp etmeyi başaramayan Rhysida, karanlık web sitesinde 3,1 terabayt veriyi sızdırdı ve bunların şehrin sistemlerinden çalındığını iddia etti. Şehir daha önce çalınan verilerin bozulduğunu iddia etmişti ancak Ross, Sosyal Güvenlik numaraları ve polis raporları gibi hassas bilgiler de dahil olmak üzere verilerin bozulmadığını gösteren kanıtlar sundu.

Şehir, açtığı davada “sadece karanlık ağdaki suç unsurlarıyla etkileşime girmeye istekli olan, ayrıca karanlık ağdan veri indirmek için gerekli bilgisayar uzmanlığına ve araçlara sahip olan kişilerin bunu yapabilmesi gerektiğini” savunuyor.

Geçtiğimiz hafta Franklin County hakimi, Ross’a karşı geçici bir uzaklaştırma kararı verdi ve sızdırılan verileri yaymasını yasakladı, ancak Ross’un olayı medyayla tartışmaya devam edebileceğini söyledi.

İrlanda Veri Koruma Komisyonu Çarşamba günü yaptığı açıklamada, sosyal medya platformu X’in (eski adıyla Twitter), Grok üretken yapay zeka modelini eğitmek için Avrupalı ​​kullanıcıların herkese açık paylaşımlarını kullanması nedeniyle açılan davayla mücadeleyi bıraktığını söyledi.

İrlandalı ajansın zaferi çok önemli olmayabilir. TechCrunch, X’in 7 Mayıs 2024 ile 1 Ağustos 2024 arasında Avrupalılar tarafından yapılan tweetleri Grok eğitim veri setinden kaldırmayı kabul ettiğini bildirdi.

İrlandalı ajans, Ağustos ayında X’e, büyük dil modelini eğitmek için Avrupa müşteri verilerini kullanması nedeniyle dava açtı (bkz: İrlanda DPC, Grok AI Botu İçin Veri Toplama Nedeniyle X’e Dava Açtı).

İrlanda Veri Koruma Komitesi, hala çözülmemiş konuların “bir AI modelinin geliştirilmesi ve eğitilmesi amacıyla işleme bağlamında ortaya çıkan temel sorunlar” olduğunu söyledi. Avrupa Veri Koruma Kurulu’ndan “bir AI modelinin eğitimi ve işletiminin çeşitli aşamalarında, hem birinci taraf hem de üçüncü taraf verileri dahil olmak üzere, kişisel verilerin ne ölçüde işlendiği” gibi konularda bir görüş bildirmesini talep etti. İrlandalı düzenleyiciler, Brüksel merkezli kurulun ayrıca “veri denetleyicisinin bu işleme dayanak olarak dayandığı yasal temelin değerlendirilmesiyle ilgili olarak hangi özel hususların ortaya çıktığına ilişkin ilgili soruyu” da düşünmesi gerektiğini söyledi.

X, sistemin “diğer yapay zeka sistemlerinin çoğunun reddettiği baharatlı soruları yanıtlayacağını” vadetti ve “uyanıklık karşıtı” özelliklerini övdü.

Avusturyalı gizlilik hakları grubu NOYB de şirkete karşı, Genel Veri Koruma Yönetmeliği’nin ihlal edildiğini öne sürerek şikayette bulundu (bkz: X’in Grok AI Planı Daha Fazla Avrupa İncelemesine Davet Ediyor).

Legit Security’nin bir raporuna göre, açık kaynaklı üretken AI araçlarını entegre eden şirketler, hassas verileri istemeden genel web’e ifşa ediyor. Şirkette araştırmacı olan Naphtali Deutsch, Flowise platformu ve vektör veritabanları da dahil olmak üzere açık kaynaklı AI hizmetlerindeki güvenlik açıklarını tespit etti. Y-Combinator destekli, düşük kodlu bir program olan Flowise, kullanıcıların AI uygulamaları oluşturmasına olanak tanır. Araştırmacı, hacker’ların parolalar, yapılandırmalar ve API anahtarları gibi hassas verilere erişmek için istismar edebilecekleri güvenlik açıkları içerdiğini buldu. Raporda, sunuculardaki parola korumasının genellikle yetersiz olduğu belirtiliyor.

Deutsch ayrıca, AI araçları için kritik verileri depolayan birkaç vektör veri tabanının ifşa edildiğini keşfetti – erişim için kimlik doğrulaması gerekmiyordu – bu da özel e-postaların, finansal verilerin ve kişisel bilgilerin sızdırılmasına izin veriyordu. Bu riskleri ele almak için araştırmacı, şirketlere AI hizmetlerine erişimi izlemelerini ve kısıtlamalarını, özel ağlar kullanmalarını, araç etkinliğini kaydetmelerini ve denetlemelerini, hassas verileri maskelemelerini ve yazılımları düzenli olarak güncellemelerini önerdi.

Elon Musk’ın Starlink’i, Brezilya Yüksek Mahkemesi Yargıcı Alexandre de Moraes’in emrine uymaya karşı daha önce gösterilen dirence rağmen, Musk’ın diğer şirketi X’e (eski adıyla Twitter) Brezilya’da erişimi engellemeyi kabul etti. Yüksek Mahkeme yargıçlarından oluşan bir heyet, Pazartesi günü emri onaylamak için oy kullandı.

Uydu bağlantılı internet sağlayıcısı Starlink, telekom düzenleyicisi Anatel’e, emir geri çekilene kadar uymayacağını bildirdi. Ancak de Moraes, Starlink’in varlıklarını dondurduktan sonra, şirket yasal yükümlülükleri gerekçe göstererek uyacağını duyurdu. Varlık dondurmasını “yasadışı” olarak kınadı.

Musk, de Moraes’i eleştirdi. Adalet, X’in ödenmemiş para cezalarını uygulamak için Starlink’in hesaplarını dondurdu ve şirketlerin ekonomik olarak bağlantılı olduğunu savundu. De Moraes, adaletin sosyal medya platformunu yanlış bilgiyle bağlantılı gönderileri kaldırmaya zorlama mücadelesi sırasında yerel bir yasal temsilci atamadığı için X’i Brezilya ağlarından uzaklaştırdı

ABD Federal İletişim Komisyonu, şirketin ulusal güvenlik riskleri Kapsamlı Listesi’ne eklenmesinin ardından Kaspersky yazılımının ABD ağlarında kullanımını yasakladı. Yasak 29 Eylül’de yürürlüğe girecek. Telekom operatörlerinin Kaspersky’nin siber güvenlik araçlarını ve antivirüs yazılımlarını kullanmasını yasaklıyor ve bunları sistemlerinden kaldırmalarını gerektiriyor.

Bu, ABD Ticaret Bakanlığı’nın Haziran ayında Kaspersky’nin ulusal güvenlik için “gereksiz ve kabul edilemez riskler” oluşturduğu yönündeki tespitini takip ediyor. Kaspersky, Temmuz ayında ABD operasyonlarını kapatacağını duyurdu (bkz: Kaspersky ABD İşletmesini Kapatacak, Kalan 50 Çalışanını İşten Çıkaracak).

Intel, güvenlik araştırmacısı Mark Ermolov’un Intel’in Yazılım Koruma Uzantıları teknolojisi için kritik olan kriptografik anahtarları çıkardığını iddia etmesinin ardından endişeleri ele aldı. Ermolov’un ekibinin, mühürlü verilerin şifresinin çözülmesine ve sahte tasdik raporlarının oluşturulmasına izin vererek platformun güvenlik modelini zayıflatabilecek SGX Kök Sağlama Anahtarı ve Kök Mühürleme Anahtarı’na eriştiği bildirildi.

Intel, araştırmanın en son hafifletme önlemlerinden yoksun fiziksel erişime sahip sistemlerde yürütüldüğünü ve Apollo Lake ve Gemini Lake gibi eski, kullanım ömrü dolmuş işlemcileri hedef aldığını söyledi. Çıkarılan anahtar şifrelenir ve Intel, bu şifrelemenin kırılmasının yalnızca bireysel sistemleri etkileyeceğini vurguladı.

Şehir metro sistemini sahibi ve işleten Londra ulaşım otoritesi, Pazartesi günü ilk tespit edilen siber saldırının etkilerini hissetmeye devam ediyor. Transport for London başlangıçta operasyonların olaydan etkilenmediğini söylese de, şimdi saldırının tekerlekli sandalye kullananlar ve engelliler için bir toplu taşıma hizmeti olan Dial-a-Ride’ı sunma yeteneğini kötüleştirdiğini kabul etti. Ulaşım otoritesi Perşembe günü “Şu anda yalnızca sınırlı sayıda temel rezervasyon talebini işleyebiliyoruz” dedi. Otoritenin temassız ödeme hesabı giriş sayfası yayın tarihi itibarıyla çevrimdışı kalmaya devam ediyor.

Güvenlik araştırmacısı Kevin Beaumont daha önce Transport for London’ın “giden internet erişimini kapattığını ve gelen sistemleri kısıtladığını” söyledi. The Register Perşembe günü canlı Metro varış saatlerini görüntülemek için kullanılan API’lerin “Citymapper gibi sitelere göre şu anda çevrimdışı olduğunu” bildirdi.

Geçtiğimiz Haftadan Diğer Kapsamlar

Güney İngiltere’den Information Security Media Group’tan Akshaya Asokan, Hindistan’ın Bengaluru kentinden Rashmi Ramesh ve Washington, DC’den David Perera’nın haberleriyle