Mooltipass Hackaday Projekt crowdfunding
-
- Beiträge: 2427
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Mooltipass Hackaday Projekt crowdfunding
Für alle die nicht so regelmässig Hackaday lesen:
https://www.indiegogo.com/projects/mool ... r#activity
Kurz zusammen gefasst: alle logins sicher und verschlüsselt auf einem gerät mit smarcard und passphrase sicherung.
offene Hardware, offene Software, lauter sichere logins
und ein Weihnachstgeschenk sucht ihr doch bestimmt eh noch..
https://www.indiegogo.com/projects/mool ... r#activity
Kurz zusammen gefasst: alle logins sicher und verschlüsselt auf einem gerät mit smarcard und passphrase sicherung.
offene Hardware, offene Software, lauter sichere logins
und ein Weihnachstgeschenk sucht ihr doch bestimmt eh noch..
-
- Beiträge: 2427
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Re: Mooltipass Hackaday Projekt crowdfunding
FYI: ist verlängert bis 16.12.
Re: Mooltipass Hackaday Projekt crowdfunding
Drei Fragen dazu:
1. Hast du Kontakt zur dahinterstehenden Community (so wie bei der Pyra)?
2. Kann man da auch ohne Indiegogo-Accout (oder Facebook, bzw. irgendwas anderes als Banküberweisung) bezahlen?
3. Da das Gerät als normale USB-Tastatur funktioniert, gibt es da Überlegungen der Macher bezüglich möglicher kommender Sicherheits- und Zugriffsprobleme im Zusammenhang mit BadUSB?
1. Hast du Kontakt zur dahinterstehenden Community (so wie bei der Pyra)?
2. Kann man da auch ohne Indiegogo-Accout (oder Facebook, bzw. irgendwas anderes als Banküberweisung) bezahlen?
3. Da das Gerät als normale USB-Tastatur funktioniert, gibt es da Überlegungen der Macher bezüglich möglicher kommender Sicherheits- und Zugriffsprobleme im Zusammenhang mit BadUSB?
-
- Beiträge: 2427
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Re: Mooltipass Hackaday Projekt crowdfunding
zu1)
nicht ganz so eng wie bei der Pyra (da kenne ich ja mittlerweile den Chefinitiator und Betreiber des ganzen persönlich). Da das ganze aber über hackaday initiert wurde, die unter anderem auch gerade in München auf der Electronika waren, workshops veranstltet haben und ihren Preis verliehen haben (immerhin etwa eine 1/4 Mio US Dollar, sieht das für mich ganz gut aus. Das Projekt selber ist aus einem Voting auf Hackaday entsatnden, zusammengefasst "Was sollen wir entwickeln".
Offenheit ist bei denen Quasi das Haupt-Dogma/Mantra.
(Danke für die Frage übrigens, so habe ich selbst auch nochmal ein bischen reflektiert)
zu 2)
nicht das ich wüsste, könnte Dir aber anbieten das über meinen Account mit abzuwickeln (sprich ich "bestelle" noch ein Gerät mehr und leite das dann an Dich weiter. Ich aheb das auch nur widerwillig mittels paypal gemacht, wollte das Projekt aber auf alle Fälle unterstützen.
zu3)
da die gesammte Entwicklung offen ist (Hard- und Software) wüsste ich jetzt nicht wie man da etwas wie badUSB "unterbringen" wollte. Eher im Gegenteil, dadurch, dass die gesamte Hard- und Software offen ist, kann man ja nix in der Firmware "verstecken". (Oh, da muss ich nochmal was nachfragen. wir mit card/passwd "nur" der cryptocontainer freigeschaltet oder auch erst die Funktin ermöglicht?, mache ich gleich im Anschluss).
nicht ganz so eng wie bei der Pyra (da kenne ich ja mittlerweile den Chefinitiator und Betreiber des ganzen persönlich). Da das ganze aber über hackaday initiert wurde, die unter anderem auch gerade in München auf der Electronika waren, workshops veranstltet haben und ihren Preis verliehen haben (immerhin etwa eine 1/4 Mio US Dollar, sieht das für mich ganz gut aus. Das Projekt selber ist aus einem Voting auf Hackaday entsatnden, zusammengefasst "Was sollen wir entwickeln".
Offenheit ist bei denen Quasi das Haupt-Dogma/Mantra.
(Danke für die Frage übrigens, so habe ich selbst auch nochmal ein bischen reflektiert)
zu 2)
nicht das ich wüsste, könnte Dir aber anbieten das über meinen Account mit abzuwickeln (sprich ich "bestelle" noch ein Gerät mehr und leite das dann an Dich weiter. Ich aheb das auch nur widerwillig mittels paypal gemacht, wollte das Projekt aber auf alle Fälle unterstützen.
zu3)
da die gesammte Entwicklung offen ist (Hard- und Software) wüsste ich jetzt nicht wie man da etwas wie badUSB "unterbringen" wollte. Eher im Gegenteil, dadurch, dass die gesamte Hard- und Software offen ist, kann man ja nix in der Firmware "verstecken". (Oh, da muss ich nochmal was nachfragen. wir mit card/passwd "nur" der cryptocontainer freigeschaltet oder auch erst die Funktin ermöglicht?, mache ich gleich im Anschluss).
Re: Mooltipass Hackaday Projekt crowdfunding
Danke für das Angebot! Ich muss mir das nochmal in Ruhe überlegen und melde mich dann Ende der Woche.mclien hat geschrieben:zu 2)
nicht das ich wüsste, könnte Dir aber anbieten das über meinen Account mit abzuwickeln (sprich ich "bestelle" noch ein Gerät mehr und leite das dann an Dich weiter. Ich aheb das auch nur widerwillig mittels paypal gemacht, wollte das Projekt aber auf alle Fälle unterstützen.
Ich meinte das eigentlich genau andersrum:mclien hat geschrieben:zu3)
da die gesammte Entwicklung offen ist (Hard- und Software) wüsste ich jetzt nicht wie man da etwas wie badUSB "unterbringen" wollte. Eher im Gegenteil, dadurch, dass die gesamte Hard- und Software offen ist, kann man ja nix in der Firmware "verstecken". (Oh, da muss ich nochmal was nachfragen. wir mit card/passwd "nur" der cryptocontainer freigeschaltet oder auch erst die Funktin ermöglicht?, mache ich gleich im Anschluss).
Da das Teil für den USB-Host aussieht wie eine Tastatur und dank BadUSB vielleicht in Zukunft nicht jede USB-Tastatur akzeptiert wird, stellt sich mir die Frage ob der Ansatz langfristig tragfähig ist. Ich könnte mir z.B. vorstellen, dass solche Selbstbauabwehrstrategien wie die von smutbert [1] in fünf Jahren standardmäßig irgendwo implementiert sind und es dann schwierig wird eine "Tastatur" zu verwenden die sich nicht durch z.B. Nutzereingaben (ganz platt: Captcha) als solche verifizieren lässt.
Mich würde es eben interessieren, ob sich die Devs darüber schon mal Gedanken gemacht haben.
[1] viewtopic.php?f=37&t=151777
Re: Mooltipass Hackaday Projekt crowdfunding
Idee dazu: USB ist einfach nur ein Bus, genau wie stinknormales Ethernet. Entsprechend sollte man sich einschleifen koennen und mit der Kennung ("MAC-Adresse faelschen") der originalen zugelassenen Tastatur Keycodes senden. Setzt natuerlich voraus, dass man die Tastatur unbeschaedigt vom System getrennt bekommt.hikaru hat geschrieben:Ich meinte das eigentlich genau andersrum:mclien hat geschrieben:zu3)
da die gesammte Entwicklung offen ist (Hard- und Software) wüsste ich jetzt nicht wie man da etwas wie badUSB "unterbringen" wollte. Eher im Gegenteil, dadurch, dass die gesamte Hard- und Software offen ist, kann man ja nix in der Firmware "verstecken". (Oh, da muss ich nochmal was nachfragen. wir mit card/passwd "nur" der cryptocontainer freigeschaltet oder auch erst die Funktin ermöglicht?, mache ich gleich im Anschluss).
Da das Teil für den USB-Host aussieht wie eine Tastatur und dank BadUSB vielleicht in Zukunft nicht jede USB-Tastatur akzeptiert wird, stellt sich mir die Frage ob der Ansatz langfristig tragfähig ist. Ich könnte mir z.B. vorstellen, dass solche Selbstbauabwehrstrategien wie die von smutbert [1] in fünf Jahren standardmäßig irgendwo implementiert sind und es dann schwierig wird eine "Tastatur" zu verwenden die sich nicht durch z.B. Nutzereingaben (ganz platt: Captcha) als solche verifizieren lässt.
Mich würde es eben interessieren, ob sich die Devs darüber schon mal Gedanken gemacht haben.
Gruss Cae
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Mooltipass Hackaday Projekt crowdfunding
Vorausgesetzt das funktioniert, könnte das auch jedes "echte" BadUSB-Gerät machen.Cae hat geschrieben:Idee dazu: USB ist einfach nur ein Bus, genau wie stinknormales Ethernet. Entsprechend sollte man sich einschleifen koennen und mit der Kennung ("MAC-Adresse faelschen") der originalen zugelassenen Tastatur Keycodes senden. Setzt natuerlich voraus, dass man die Tastatur unbeschaedigt vom System getrennt bekommt.
Damit wäre die Abwehrmaßnahme ausgehebelt, worüber sich Entwickler von BadUSB-Abwehrmaßnahmen sicher ihrerseits Gedanken machen.
Ich denke es darf für eine tatsächliche Lösung nicht darauf hinauslaufen mögliche BadUSB-Abwehrmaßnahen auszuhebeln, sondern muss darauf hinauslaufen mit ihnen zu kooperieren - z.B. in dem man sich um eine Aufnahme in eine einigermaßen fälschungssichere Liste vertrauenswürdiger USB-Tastaturen bemüht.
...irgendwie riecht es hier gerade streng nach Secure Boot.
-
- Beiträge: 2427
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Re: Mooltipass Hackaday Projekt crowdfunding
Aber Sumtberts Lösung oder ähnliche sollen doch so funktionieren, dass sobald sich ei neues USB HID am System meldet der user benachrichtigt wird.hikaru hat geschrieben:.....Ich meinte das eigentlich genau andersrum:
Da das Teil für den USB-Host aussieht wie eine Tastatur und dank BadUSB vielleicht in Zukunft nicht jede USB-Tastatur akzeptiert wird, stellt sich mir die Frage ob der Ansatz langfristig tragfähig ist. Ich könnte mir z.B. vorstellen, dass solche Selbstbauabwehrstrategien wie die von smutbert [1] in fünf Jahren standardmäßig irgendwo implementiert sind und es dann schwierig wird eine "Tastatur" zu verwenden die sich nicht durch z.B. Nutzereingaben (ganz platt: Captcha) als solche verifizieren lässt.
Mich würde es eben interessieren, ob sich die Devs darüber schon mal Gedanken gemacht haben.
[1] viewtopic.php?f=37&t=151777
-mooltipass eingestöpselt
-System meldet: USB Tastatur, Typ Mooltipass (ggf. mit kennung auf dem Mooltipass zu vergleichen)
-Anwender "ah alles klar", Enter
oder übersehe ich was?
Jedenfalls dürfte die Implementierung bei einem Hard. und Softwareoffenen Projekt sehr viel einfacher sein als anderswo.
Re: Mooltipass Hackaday Projekt crowdfunding
Und 90% der Leute die sowas nicht bewusst selbst implementiert haben würden so eine Meldung einfach wegklicken, wie alles andere auch.mclien hat geschrieben:Aber Sumtberts Lösung oder ähnliche sollen doch so funktionieren, dass sobald sich ei neues USB HID am System meldet der user benachrichtigt wird.
Daher:
Genau hier sehe ich den Knackpunkt.mclien hat geschrieben:-Anwender "ah alles klar", Enter
Ich könnte mir z.B. vorstellen, dass dieses "alles klar" über die vermeintliche Tastatur eingegeben werden soll, und zwar in Verbindung mit einem (pseudo)zufälligen Captcha das ebenfalls über die Tastatur einzugeben ist. Nachdem das einmalig passiert ist wird die neue Tastatur als vertrauenswürdig erfasst.
So ließe sich überprüfen, ob da eine echte Tastatur dran hängt die beliebige unvorhersagbare Nutzereingaben zulässt oder irgendein halbautomatisches Ding das zwar so tut als sei es eine Tastatur, aber mangels KI enttarnt werden kann, wenn es nicht auf unbekannte Captchas antwortet.
-
- Beiträge: 2427
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Re: Mooltipass Hackaday Projekt crowdfunding
Also, wenn wir das mal ein bischen in die Zkunft verlängern, wäre ja eine mir der Distri verteilete "whitelist" (oder eine externe Datenbank mit vertrauenwürdigen devices) von tastaturen eine Möglichkeit. (ggf.mit gpg keys gesichert).
Allerdings weiß ich nicht wie fälschungsicher ein USB ID ist...
eine eigene USB ID hat der Mooltipass, wennich es recht verstehe
-anders Halbwissen aus dieser Idee bitte richtigstellen
Allerdings weiß ich nicht wie fälschungsicher ein USB ID ist...
eine eigene USB ID hat der Mooltipass, wennich es recht verstehe
-anders Halbwissen aus dieser Idee bitte richtigstellen
Re: Mooltipass Hackaday Projekt crowdfunding
Ich glaube die wird von der Firmware vergeben. Und da BadUSB ja darauf basiert eine "böse" Firmware zu haben wäre das wohl alleine keine ausreichende Sicherung.mclien hat geschrieben:Allerdings weiß ich nicht wie fälschungsicher ein USB ID ist...
Ob es andere Möglichkeiten gibt einen Stick eindeutig zu identifizieren weiß ich nicht.
Eine globale Whitelist wird daher mMn nicht funktionieren. Man müsste die Erstellung so einer Whitelist schon auf den User auslagern. Die Abfrage müsste allerdings nur greifen wenn sich eine Tastatur (im weiteren Sinne ein Eingabegerät) meldet.
Bezüglich des Kaufs habe ich mich nun doch dagegen entschieden. Ich finde die Idee gut, aber ich hätte zu wenig Verwendung für das Gerät im tatsächlichen Einsatz.
Re: Mooltipass Hackaday Projekt crowdfunding
Du kannst jede id sein die du sein willst.Allerdings weiß ich nicht wie fälschungsicher ein USB ID ist...
Unix is user-friendly; it's just picky about who its friends are.
-
- Beiträge: 2427
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Re: Mooltipass Hackaday Projekt crowdfunding
Das Argument habe ich jetzt schon öfter gehört.hikaru hat geschrieben: Bezüglich des Kaufs habe ich mich nun doch dagegen entschieden. Ich finde die Idee gut, aber ich hätte zu wenig Verwendung für das Gerät im tatsächlichen Einsatz.
Ich habe bestimmt 30+ logins (Foren, mail, crowdfunding, usw.).
Merkt ich euch das alles? oder ists euch sicher genug einen passwd save zu haben und ein masterkey/passphrase? Wobei bei letzterem im Falle eines Diebstahls ja schonmal der container und der key weg sind.
Re: Mooltipass Hackaday Projekt crowdfunding
a) gibt’s genug Methoden mit abgeleiteten Passwörtern (eine Art Masterkey zzgl. vorhandener Informationen), b) ist Pen&Paper so ziemlich sicher, jedenfalls was Remote-Angriffe angeht – wozu also nochmal was Angreifbares dazwischenhängen?
Wie auch immer – interessanter Name, manche mögen auch das Konzept haben wollen, für mich isses nix und genauer anschauen kann ich es mir auch nicht, weil indiegogo ziemlich kaputt ist (aka: über so viele Server verteilt, dass es mir persönlich zu mühsam ist, die lange Liste durchzugehen und zu schauen, was ich denn freigeben muss, damit ich mir überhaupt anschauen kann, worum’s genau geht).
Wie auch immer – interessanter Name, manche mögen auch das Konzept haben wollen, für mich isses nix und genauer anschauen kann ich es mir auch nicht, weil indiegogo ziemlich kaputt ist (aka: über so viele Server verteilt, dass es mir persönlich zu mühsam ist, die lange Liste durchzugehen und zu schauen, was ich denn freigeben muss, damit ich mir überhaupt anschauen kann, worum’s genau geht).
Backups sind ’ne tolle Sache. Wie backupped man dieses Mooltipass?Wobei bei letzterem im Falle eines Diebstahls ja schonmal der container und der key weg sind.
-
- Beiträge: 2427
- Registriert: 06.12.2005 10:38:46
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Baustelle
Re: Mooltipass Hackaday Projekt crowdfunding
Naja die Methode mit den abgeleiteten Passwörtern ist eben solange sicher, bis eines mit dem Masterkey geknackt wurde, danach ist es dann noch soviel wert wie die "Abweichungen", die halt per Methode einfach sind.
Pen und Paper ist halt auch vorbai sobald jemand an das Paper gekommen ist.
da der krypto conzainer auf der sd card im Gerät gespeicher wird , ist ein backup auch kein Problem.
Deine Frage klingt fälschlicherweise so als ob es dadurch unsicherer wird.
Pen und Paper ist halt auch vorbai sobald jemand an das Paper gekommen ist.
da der krypto conzainer auf der sd card im Gerät gespeicher wird , ist ein backup auch kein Problem.
was meinst Du damit? Dass man in diesem Fall 3 Dinge zusammen bekommen muss um irgendetwas angreifen zu können und bei den anderen Methoden halt nur 1?wozu also nochmal was Angreifbares dazwischenhängen?
Deine Frage klingt fälschlicherweise so als ob es dadurch unsicherer wird.
Re: Mooltipass Hackaday Projekt crowdfunding
Ich formuliere meine Frage direkt: wo ist der Link direkt zur (schriftlichen) Projektbeschreibung, die man auch mit ’nem halbwegs vernünftig abgesicherten Browser halbwegs bequem betrachten kann? In meiner Vorstellung ist das bislang nix weiter, als ein externer Passwortsafe.
Was „Masterkey“ und „knacken“ angeht – wenn der knackbar ist, hat man was falsch gemacht.
Und diese drei Dinge, die man zusammenbekommen muss – welche sind das (gut, die Frage wird sich erübrigen, sobald hier mal ’n Link zu dem steht, worums eigentlich geht [oder geht’s nur darum, was zu spenden?])? Und wie kommst du fälschlicherweise auf die Idee, dass man bei den von mir genannten Sachen nur eines haben muss?
Was „Masterkey“ und „knacken“ angeht – wenn der knackbar ist, hat man was falsch gemacht.
Und diese drei Dinge, die man zusammenbekommen muss – welche sind das (gut, die Frage wird sich erübrigen, sobald hier mal ’n Link zu dem steht, worums eigentlich geht [oder geht’s nur darum, was zu spenden?])? Und wie kommst du fälschlicherweise auf die Idee, dass man bei den von mir genannten Sachen nur eines haben muss?
Re: Mooltipass Hackaday Projekt crowdfunding
Es gibt Artikel dazu [1] und eine Projektseite [2].niemand hat geschrieben:Ich formuliere meine Frage direkt: wo ist der Link direkt zur (schriftlichen) Projektbeschreibung, die man auch mit ’nem halbwegs vernünftig abgesicherten Browser halbwegs bequem betrachten kann?
Abgeleitete Passwoerter sind problematisch, sobald aus aus einem einzigen Passwort klar wird, was davon der abgeleitete Teil ist und was der Grundschluessel. Man muss schon ziemlich diszipliniert sein, um das bei allen angelegten Passwoertern ausreichend zu verschleiern. Ich vermute, dass ein Durchschnittsbenutzer nicht diese Disziplin hat.
Gruss Cae
[1] http://hackaday.com/tag/mooltipass/
[2] https://hackaday.io/project/86-mooltipass
If universal surveillance were the answer, lots of us would have moved to the former East Germany. If surveillance cameras were the answer, camera-happy London, with something like 500,000 of them at a cost of $700 million, would be the safest city on the planet.
—Bruce Schneier
Re: Mooltipass Hackaday Projekt crowdfunding
Danke. Unglücklicherweise habe ich da auch keine ausreichend genaue Beschreibung der Funktionsweise gefunden, so dass mir die Vorteile des Devices nicht so ins Auge fallen. Aber immerhin sieht’s hübsch aus.
Disziplin muss man übrigens auch bei so ’nem Offline-Passwort-Safe, oder was immer das nun sein will, mitbringen.
Disziplin muss man übrigens auch bei so ’nem Offline-Passwort-Safe, oder was immer das nun sein will, mitbringen.