Přednáška: Jakých bylo posledních 12 měsíců v kybernetické bezpečnosti
Přátelé, stále jsem zavalený hromadou práce. Od běžné operativy, přes řešení kybernetických incidentů, až po implementaci nových technologií u nás ve firmě.
Nedávno jsme upgradovali na nové stanice a Azure AD, jak jsem psal ve článku „Přecházíme do Azure Active Directory„. Nové prostředí je na původním on-prem AD nezávislé a „legacy“ on-prem pomalu vypínáme. Takže zde jde vše hladce, jen to trvá.🤷♂️
S implementací se mi vyjasnily i nějaké otázky, které jsem v článku zmiňoval:
- Windows Hello for Business: nepoužijeme, jelikož FIDO2 je pro nás lepší a dostatečná cesta.
- PIM, nebo více účtů: díky partnerskému programu Microsoftu máme licencí více než dokážeme využít, a tak jsem se rozhodl pro více účtů.
- Local admins: Microsoft vydal novou verzi LAPS, která je přímo součástí Windows a zároveň podporuje ukládání klíčů v Azure AD (včetně GUI).
V září mne nejspíše bude čekat konference Cyber Days a Hacker Fest, kde bych se rád věnoval právě zabezpečení Azure AD a nasdílel nějaké naše zkušenosti. Snad to vše dopadne.🤞
Zatím jsem si pro vás připravil přednášku s našimi postřehy z kybernetické bezpečnosti za poslední rok. Snad se bude líbit.
Mějte krásné a klidné léto!
Martin
12.6.2023 Doplnění:
- PDF s prezentací
- Poslední Feedly export se seznamem stránek co sleduji.
PS: Před pár měsíci jsem byl hostem podcastu TruePositive společnosti ESET, kde jsem si s Vlaďkou povídal o ransomware.
Diskuze k článku
Vojtěch Zavřel
12. 06. 2023 v 12:49
Dobrý den, Martine,
postřehy, které zmiňujete odpovídají i těm mým.
Jen drobná poznámka k FIDO2 klíčům od Kensingtonu (VeriMark Guard USB-C Fingerprint Key) které používáte. Ačkoli jsou inzerované jako FIDO2 Certified, pravděpodobně certifikované nebyly. Kensington sice používá Synaptics 7600, ale není členem FIDO Alliance, klíče nejsou publikované jako certifikované ve FIDO Metadata Service.
Pak by ještě bylo možná dobré doplnit odkaz na feedly-security.opml.
Odpovědět
Martin Haller
12. 06. 2023 v 13:10
Dík za upozornění. Doplnil jsem link na slajdy i Feedly export.
Co se týče certifikace, koukal jsem, že ty klíče jsou dohledatelné na https://fidoalliance.org/certification/fido-certified-products/ s certifikací na úrovni L1 (já vím, základ, ale certifikací L2 s BIO tam moc není).
Odpovědět
Vojtěch Zavřel
12. 06. 2023 v 14:32
Problém je v tom, že je otázkou, zda opravdu certifikované jsou. Totiž výrobce o certifikaci nic neví (kromě marketingového oddělení :-).
Uvedení do https://fidoalliance.org/certification/fido-certified-products/ je deklarativní a (pravděpodobně neprověřovaná?) záležitost a uživatelé i SW produkty se mají řídit pomocí MDS metadat (https://mds.fidoalliance.org/) kde je zařízení listované jako NOT_FIDO_CERTIFIED – je možné si prohlédnout JWT blob pomocí FIDO MDS Explorer https://opotonniee.github.io/fido-mds-explorer/#view.
Odpovědět
Martin Haller
12. 06. 2023 v 14:55
Máte pravdu, že v tom blobu je to vedené jako NOT_FIDO_CERTIFIED. Přičemž MS je opět eviduje jako MS compatible FIDO2 security key vendors (https://learn.microsoft.com/en-us/azure/active-directory/authentication/concept-fido2-hardware-vendor) kde jako požadavek č. 1 je FIDO2 certifikace.
Nevím co si o tom myslet 🤷♂️. Pravděpodobné problémy v případě pokud nemají certifikaci: compatibility issues, teoreticky větší pravděpodobnost security chyb v implementaci.
Máte nějakou zkušenost s jinými FIDO2 BIO tokeny?
Odpovědět
Vojtěch Zavřel
12. 06. 2023 v 17:43
Ještě donedávna jsem vlastně nevěděl, jaký binec ve FIDO certifikacích je. Někteří výrobci zřejmě uvádí, že je jejich produkt postavený na certifikovaném čipu, ale jejich zařízení jako takové certifikované není.
Z pohledu bezpečnostního (tj. možnost narušení bezpečnosti v rámci zařízení) je to potom pravděpodobně bez problémů, potíž je určitě pohled compliance a např. MojeID validuje cerifikovanost zařízení z metadat (což je jednoznačně správně).
U FIDO BIO tokenů jsem navíc pozoroval dost rozdílné chování. Kensington nemá možnost vynutit user validation (UV requiered), což je vlastně ta BIO funkce a tak se běžně používá jen v PV (presence validation) režimu, dokud to nevynutí poskytovatel služby – pro PassKey je to vynuceno v protokolu a tak je to v pohodě, ale na spoustě míst (třeba pro password managery) kde se používá WebAuthn to vynuceno není, což vede k mylnému dojmu, že to „přece mám chráněné otiskem“, ale nemám. Toto je rozdíl třeba proti Yubikey BIO, kde to s UV required přichází již z výroby. Další rozdíly chování jsem pozoroval třeba v situacích, kdy dojde k zablokování BIO přístupu při překročení počtu pokusů biometrické autentizace tokenu, kdy se mi nějakým způsobem podařilo Kensington dostat do stavu, že to přestal počítat a stále funguje.
Zkušenosti mám potom ještě s Yubikey BIO, které doporučuji z pohledu funkčnosti, bohužel není možné mít permanentně strčený v notebooku při přenášení. Ostatní tokeny už jsou bez BIO funkce.
Odpovědět
Martin Haller
13. 06. 2023 v 09:14
Moc děkuji za postřehy.
Věřím, že do budoucna se to s těmi FIDO klíči zlepší – např. i nějaké tooly pro konfiguraci/debug – např. změna pořadí klíčů (což je problém zejména při přihlašování do Windows, kdy se bere poslední MS účet).
Tu PV/UV budu muset prozkoumat. Vůbec sem i nelíbí představa, že by stačila PV.
Odpovědět
Vojtěch Zavřel
24. 07. 2023 v 14:04
Tak mi po pár měsících komunikace s Kensingtonu odpověděli, že HW není certifikovaný a budou postupně odstraňovat všechna loga a texty FIDO certified.
Odpovědět
Martin Haller
24. 07. 2023 v 14:23
Vojto, díky za informaci. To uvedení v omyl od Kensigntonu tedy vůbec nebylo pěkné :(.
My jsme do firmy před pár týdny objednali i tokeny YubiKey BIO FIDO Edition, aby měl každý záložní token.
Do budoucna uvidíme u kterých tokenů zůstaneme.
Odpovědět