Kripto varlıklarınızı güvende tutmanın yollarından biri de YubiKey kullanmaktır ancak bir sorun var. Ömür boyu YubiKey satın alan kullanıcıların birlikte yaşamayı öğrenmek zorunda oldukları bir zafiyet keşfedildi. Şimdi gelin öncelikle YubiKey’in neden kripto varlık güvenliği için önemli olduğundan sonra da ömür boyu kapanmayacak açığından bahsedelim.
YubiKey Nedir?
FIDO Alliance tarafından geliştirilen bu cihaz, USB’ye benzer boyutlarda kimlik doğrulamalarına yardımcı olan bir araçtır. 2 faktörlü ve FIDO2 doğrulama protokollerini destekler. Kripto para cüzdanlarınızın güvende kalmasını sağlar. Offline çalışabilir ve telefona bağımlı olmadan kullanılabilir. Borsa şifrenizi veya özel anahtarlarınızı WhatsApp, mail, kağıt gibi şeylerde tutmanız gerekmiyor.
NFC özelliğiyle telefonunuza dokundurarak da kullanmanız mümkündür. Bilgisayarınıza giriş yapmak istediğinizde de bu YubiKey’i anahtarınız olarak ayarlayabilirsiniz. Lastpass, Google Şifre yöneticisi gibi uygulamalarla da uyumludur. Sadece kripto para hesaplarınız için değil, tüm hesaplarınız için kullanılabilir.
YubiKey Güvenlik Açığı
Her şey mükemmel ve biri kafanıza silah dayayıp YubiKey’inizi almadığı sürece güvendesiniz. Ancak önemli bir güvenlik açığı kısa süre önce keşfedildi. Siber güvenlik uzmanları YubiKey için 2 faktörlü kimlik doğrulama anahtarlarında cihazın klonlanmasına imkan tanıyan bir zafiyet keşfetti. Bu açık neredeyse tüm ürünler tarafından kullanılan Infineon kripto kütüphanesinde keşfedildi.
Yubico, bu güvenlik zafiyetinin orta düzeyde bir açık olduğunu ve istismar edilmesinin zor olduğunu belirtti. Saldırganın YubiKey’e fiziksel olarak sahip olması, hedef hesaplar hakkında bilgi sahibi olması ve gerekli saldırıyı gerçekleştirmek için özel ekipmana ihtiyaç duyacağı vurgulandı.
Alınacak Önlemler ve Çıkarımlar
Saldırganların YubiKey’e erişim sağlamasını önlemek için dikkat edilmesi gereken noktalar şunlardır:
- YubiKey’in fiziksel güvenliğini sağlamak.
- Hesap bilgilerini güvenli bir yerde saklamak.
- Devlet destekli saldırılara karşı dikkatli olmak.
- Büyük miktarda kripto varlık tutan yatırımcıların ekstra tedbirler alması.
Zor gibi görünse de ciddi miktarda varlığa ulaşabileceğine inanan saldırganlar bu zorluğu aşabilir. Devlet destekli saldırılardaysa birçok bilgiye erişim daha kolay olduğundan başarı oranı daha yüksek. Ayrıca Lazarus gibi ekiplerin hedef odaklı ne denli kapsamlı çalışmalar yaptığını bildiğimiz için özellikle büyük miktarda varlık tutan yatırımcıların çok daha temkinli olması gerekiyor.
YubiKey ürün yazılımı güncellenemediğinden 5.7 sürümünden (veya Bio serisi için 5.7.2 ve YubiHSM 2 için 2.4.0) önceki tüm YubiKey 5 cihazları ömür boyu bu zafiyetle yaşayacak. Ancak sonraki modeller Infineon kripto kütüphanesini kullanmadıkları için bu zafiyetten etkilenmiyor.