Kripto varlıklarınızı güvende tutmanın yollarından biri de YubiKey kullanmaktır ancak bir sorun var. Ömür boyu YubiKey satın alan kullanıcıların birlikte yaşamayı öğrenmek zorunda oldukları bir zafiyet keşfedildi. Şimdi gelin öncelikle YubiKey’in neden kripto varlık güvenliği için önemli olduğundan sonra da ömür boyu kapanmayacak açığından bahsedelim.
YubiKey Nedir?
FIDO Alliance tarafından geliştirilen bu şey USB’ye benzer boyutlarda kimlik, şifre doğrulamalarına yardımcı olan bir araçtır. 2 faktörlü ve FIDO2 doğrulama protokollerini destekleyen bu kimlik doğrulama aygıtı kripto para cüzdanlarınızın güvende kalmasını sağlar. Kripto paralar için yaygın biçimde kullanılan soğuk cüzdanların şifreleri korumak için tasarlanmış versiyonu gibi düşünebilirsiniz.
Offline çalışabilir, telefona bağımlı olmadan bu cihaz sayesinde şifre girmek yerine sadece anahtara dokunarak giriş yapabiliyorsunuz. Böylece borsa şifrenizi veya farklı özel anahtarlarınızı Whatsapp, mail, kağıt gibi şeylerde tutmanız gerekmiyor.
NFC özelliğiyle telefonunuza dokundurarak da kullanmanız mümkün. Hatta bilgisayarınıza giriş yapmak istediğinizde de bu YubiKey’inizi anahtarınız olarak ayarlayabiliyorsunuz. Böylece aygıt sizin elinizdeyken bilgisayarınıza fiziksel olarak giriş yapılamıyor. Lastpass, Google Şifre yöneticisi gibi uygulamalarla da uyumlu olan bu aygıt sadece kripto para hesaplarınız, cüzdanlarınız için değil tüm hesaplarınız için kullanılabilirdir.
Ekstra güvenlik için kullanıcıların bir kısmı 2 adet YubiKey alarak birini aktif kullanırken diğerini yedek, kurtarma anahtarı olarak da kullanabiliyor.
YubiKey Güvenlik Açığı
Her şey mükemmel ve biri kafanıza silah dayayıp YubiKey’inizi almadığı sürece güvendesiniz. Ancak birlikte yaşamaya alışmanız gereken önemli bir güvenlik açığı kısa süre önce keşfedildi. Siber güvenlik uzmanları YubiKey için 2 faktörlü kimlik doğrulama anahtarlarında cihazın klonlanmasına imkan tanıyan bir zafiyet keşfetti. Üsteli bu açık aşağıdaki seriler dahil neredeyse tüm ürünler tarafından kullanılan Infineon kripto kütüphanesinde keşfedildi.
- YubiKey 5
- Yubikey Bio
- Security Key
- YubiHSM 2
Yubico bu güvenlik zafiyetinin orta düzeyde bir açık olduğunu ve istismar edilmesinin zor olduğunu söyledi. Uzmanların nelere dikkat edileceğini de söyledikleri yorumunda şu detaylar yer alıyor;
“Saldırganın YubiKey, Güvenlik Anahtarı veya YubiHSM’ye fiziksel olarak sahip olması, hedeflemek istediği hesaplar hakkında bilgi sahibi olması ve gerekli saldırıyı gerçekleştirmek için özel ekipmana ihtiyacı olacaktır. Kullanım durumuna bağlı olarak, saldırgan kullanıcı adı, PIN, hesap şifresi veya kimlik doğrulama anahtarı gibi ek bilgilere de ihtiyaç duyabilir.”
Zor gibi görünse de ciddi miktarda varlığa ulaşabileceğin inanan saldırganlar bu zorluğu aşabilir. Devlet destekli saldırılardaysa birçok bilgiye erişim daha kolay olduğundan başarı oranı daha yüksek. Ayrıca Lazarus gibi ekiplerin hedef odaklı ne denli kapsamlı çalışmalar yaptığınız, şirketlere sızdığını bildiğimiz için özellikle büyük miktarda varlık tutan yatırımcıların çok daha temkinli olması gerekiyor.
YubiKey ürün yazılımı güncellenemediğinden 5.7 sürümünden (veya Bio serisi için 5.7.2 ve YubiHSM 2 için 2.4.0) önceki tüm YubiKey 5 cihazları ömür boyu bu zafiyetle yaşayacak. Ancak sonraki modeller Infineon kripto kütüphanesini kullanmadıkları için bu zafiyetten etkilenmiyor.
