Mooltipass Hackaday Projekt crowdfunding

[mclien]

Für alle die nicht so regelmässig Hackaday lesen:
https://www.indiegogo.com/projects/mool ... r#activity

Kurz zusammen gefasst: alle logins sicher und verschlüsselt auf einem gerät mit smarcard und passphrase sicherung.
offene Hardware, offene Software, lauter sichere logins

und ein Weihnachstgeschenk sucht ihr doch bestimmt eh noch..

[mclien]

FYI: ist verlängert bis 16.12.

[hikaru]

Drei Fragen dazu:
1. Hast du Kontakt zur dahinterstehenden Community (so wie bei der Pyra)?
2. Kann man da auch ohne Indiegogo-Accout (oder Facebook, bzw. irgendwas anderes als Banküberweisung) bezahlen?
3. Da das Gerät als normale USB-Tastatur funktioniert, gibt es da Überlegungen der Macher bezüglich möglicher kommender Sicherheits- und Zugriffsprobleme im Zusammenhang mit BadUSB?

[mclien]

zu1)
nicht ganz so eng wie bei der Pyra (da kenne ich ja mittlerweile den Chefinitiator und Betreiber des ganzen persönlich). Da das ganze aber über hackaday initiert wurde, die unter anderem auch gerade in München auf der Electronika waren, workshops veranstltet haben und ihren Preis verliehen haben (immerhin etwa eine 1/4 Mio US Dollar, sieht das für mich ganz gut aus. Das Projekt selber ist aus einem Voting auf Hackaday entsatnden, zusammengefasst "Was sollen wir entwickeln".
Offenheit ist bei denen Quasi das Haupt-Dogma/Mantra.
(Danke für die Frage übrigens, so habe ich selbst auch nochmal ein bischen reflektiert)

zu 2)
nicht das ich wüsste, könnte Dir aber anbieten das über meinen Account mit abzuwickeln (sprich ich "bestelle" noch ein Gerät mehr und leite das dann an Dich weiter. Ich aheb das auch nur widerwillig mittels paypal gemacht, wollte das Projekt aber auf alle Fälle unterstützen.

zu3)
da die gesammte Entwicklung offen ist (Hard- und Software) wüsste ich jetzt nicht wie man da etwas wie badUSB "unterbringen" wollte. Eher im Gegenteil, dadurch, dass die gesamte Hard- und Software offen ist, kann man ja nix in der Firmware "verstecken". (Oh, da muss ich nochmal was nachfragen. wir mit card/passwd "nur" der cryptocontainer freigeschaltet oder auch erst die Funktin ermöglicht?, mache ich gleich im Anschluss).

[hikaru]

zu 2)
nicht das ich wüsste, könnte Dir aber anbieten das über meinen Account mit abzuwickeln (sprich ich "bestelle" noch ein Gerät mehr und leite das dann an Dich weiter. Ich aheb das auch nur widerwillig mittels paypal gemacht, wollte das Projekt aber auf alle Fälle unterstützen.

Danke für das Angebot! Ich muss mir das nochmal in Ruhe überlegen und melde mich dann Ende der Woche.

zu3)
da die gesammte Entwicklung offen ist (Hard- und Software) wüsste ich jetzt nicht wie man da etwas wie badUSB "unterbringen" wollte. Eher im Gegenteil, dadurch, dass die gesamte Hard- und Software offen ist, kann man ja nix in der Firmware "verstecken". (Oh, da muss ich nochmal was nachfragen. wir mit card/passwd "nur" der cryptocontainer freigeschaltet oder auch erst die Funktin ermöglicht?, mache ich gleich im Anschluss).

Ich meinte das eigentlich genau andersrum:
Da das Teil für den USB-Host aussieht wie eine Tastatur und dank BadUSB vielleicht in Zukunft nicht jede USB-Tastatur akzeptiert wird, stellt sich mir die Frage ob der Ansatz langfristig tragfähig ist. Ich könnte mir z.B. vorstellen, dass solche Selbstbauabwehrstrategien wie die von smutbert [1] in fünf Jahren standardmäßig irgendwo implementiert sind und es dann schwierig wird eine "Tastatur" zu verwenden die sich nicht durch z.B. Nutzereingaben (ganz platt: Captcha) als solche verifizieren lässt.
Mich würde es eben interessieren, ob sich die Devs darüber schon mal Gedanken gemacht haben.


[1] viewtopic.php?f=37&t=151777

[Cae]

zu3)
da die gesammte Entwicklung offen ist (Hard- und Software) wüsste ich jetzt nicht wie man da etwas wie badUSB "unterbringen" wollte. Eher im Gegenteil, dadurch, dass die gesamte Hard- und Software offen ist, kann man ja nix in der Firmware "verstecken". (Oh, da muss ich nochmal was nachfragen. wir mit card/passwd "nur" der cryptocontainer freigeschaltet oder auch erst die Funktin ermöglicht?, mache ich gleich im Anschluss).

Ich meinte das eigentlich genau andersrum:
Da das Teil für den USB-Host aussieht wie eine Tastatur und dank BadUSB vielleicht in Zukunft nicht jede USB-Tastatur akzeptiert wird, stellt sich mir die Frage ob der Ansatz langfristig tragfähig ist. Ich könnte mir z.B. vorstellen, dass solche Selbstbauabwehrstrategien wie die von smutbert [1] in fünf Jahren standardmäßig irgendwo implementiert sind und es dann schwierig wird eine "Tastatur" zu verwenden die sich nicht durch z.B. Nutzereingaben (ganz platt: Captcha) als solche verifizieren lässt.
Mich würde es eben interessieren, ob sich die Devs darüber schon mal Gedanken gemacht haben.

Idee dazu: USB ist einfach nur ein Bus, genau wie stinknormales Ethernet. Entsprechend sollte man sich einschleifen koennen und mit der Kennung ("MAC-Adresse faelschen") der originalen zugelassenen Tastatur Keycodes senden. Setzt natuerlich voraus, dass man die Tastatur unbeschaedigt vom System getrennt bekommt.

Gruss Cae

[hikaru]

Idee dazu: USB ist einfach nur ein Bus, genau wie stinknormales Ethernet. Entsprechend sollte man sich einschleifen koennen und mit der Kennung ("MAC-Adresse faelschen") der originalen zugelassenen Tastatur Keycodes senden. Setzt natuerlich voraus, dass man die Tastatur unbeschaedigt vom System getrennt bekommt.

Vorausgesetzt das funktioniert, könnte das auch jedes "echte" BadUSB-Gerät machen.
Damit wäre die Abwehrmaßnahme ausgehebelt, worüber sich Entwickler von BadUSB-Abwehrmaßnahmen sicher ihrerseits Gedanken machen.

Ich denke es darf für eine tatsächliche Lösung nicht darauf hinauslaufen mögliche BadUSB-Abwehrmaßnahen auszuhebeln, sondern muss darauf hinauslaufen mit ihnen zu kooperieren - z.B. in dem man sich um eine Aufnahme in eine einigermaßen fälschungssichere Liste vertrauenswürdiger USB-Tastaturen bemüht.

...irgendwie riecht es hier gerade streng nach Secure Boot.

[mclien]

.....Ich meinte das eigentlich genau andersrum:
Da das Teil für den USB-Host aussieht wie eine Tastatur und dank BadUSB vielleicht in Zukunft nicht jede USB-Tastatur akzeptiert wird, stellt sich mir die Frage ob der Ansatz langfristig tragfähig ist. Ich könnte mir z.B. vorstellen, dass solche Selbstbauabwehrstrategien wie die von smutbert [1] in fünf Jahren standardmäßig irgendwo implementiert sind und es dann schwierig wird eine "Tastatur" zu verwenden die sich nicht durch z.B. Nutzereingaben (ganz platt: Captcha) als solche verifizieren lässt.
Mich würde es eben interessieren, ob sich die Devs darüber schon mal Gedanken gemacht haben.


[1] viewtopic.php?f=37&t=151777

Aber Sumtberts Lösung oder ähnliche sollen doch so funktionieren, dass sobald sich ei neues USB HID am System meldet der user benachrichtigt wird.
-mooltipass eingestöpselt
-System meldet: USB Tastatur, Typ Mooltipass (ggf. mit kennung auf dem Mooltipass zu vergleichen)
-Anwender "ah alles klar", Enter

oder übersehe ich was?

Jedenfalls dürfte die Implementierung bei einem Hard. und Softwareoffenen Projekt sehr viel einfacher sein als anderswo.

[hikaru]

Aber Sumtberts Lösung oder ähnliche sollen doch so funktionieren, dass sobald sich ei neues USB HID am System meldet der user benachrichtigt wird.

Und 90% der Leute die sowas nicht bewusst selbst implementiert haben würden so eine Meldung einfach wegklicken, wie alles andere auch.

Daher:

-Anwender "ah alles klar", Enter

Genau hier sehe ich den Knackpunkt.
Ich könnte mir z.B. vorstellen, dass dieses "alles klar" über die vermeintliche Tastatur eingegeben werden soll, und zwar in Verbindung mit einem (pseudo)zufälligen Captcha das ebenfalls über die Tastatur einzugeben ist. Nachdem das einmalig passiert ist wird die neue Tastatur als vertrauenswürdig erfasst.
So ließe sich überprüfen, ob da eine echte Tastatur dran hängt die beliebige unvorhersagbare Nutzereingaben zulässt oder irgendein halbautomatisches Ding das zwar so tut als sei es eine Tastatur, aber mangels KI enttarnt werden kann, wenn es nicht auf unbekannte Captchas antwortet.

[mclien]

Also, wenn wir das mal ein bischen in die Zkunft verlängern, wäre ja eine mir der Distri verteilete "whitelist" (oder eine externe Datenbank mit vertrauenwürdigen devices) von tastaturen eine Möglichkeit. (ggf.mit gpg keys gesichert).
Allerdings weiß ich nicht wie fälschungsicher ein USB ID ist...
eine eigene USB ID hat der Mooltipass, wennich es recht verstehe
-anders Halbwissen aus dieser Idee bitte richtigstellen

[hikaru]

Allerdings weiß ich nicht wie fälschungsicher ein USB ID ist...

Ich glaube die wird von der Firmware vergeben. Und da BadUSB ja darauf basiert eine "böse" Firmware zu haben wäre das wohl alleine keine ausreichende Sicherung.
Ob es andere Möglichkeiten gibt einen Stick eindeutig zu identifizieren weiß ich nicht.
Eine globale Whitelist wird daher mMn nicht funktionieren. Man müsste die Erstellung so einer Whitelist schon auf den User auslagern. Die Abfrage müsste allerdings nur greifen wenn sich eine Tastatur (im weiteren Sinne ein Eingabegerät) meldet.

Bezüglich des Kaufs habe ich mich nun doch dagegen entschieden. Ich finde die Idee gut, aber ich hätte zu wenig Verwendung für das Gerät im tatsächlichen Einsatz.

[catdog2]

Allerdings weiß ich nicht wie fälschungsicher ein USB ID ist...

Du kannst jede id sein die du sein willst.

[mclien]

Bezüglich des Kaufs habe ich mich nun doch dagegen entschieden. Ich finde die Idee gut, aber ich hätte zu wenig Verwendung für das Gerät im tatsächlichen Einsatz.

Das Argument habe ich jetzt schon öfter gehört.
Ich habe bestimmt 30+ logins (Foren, mail, crowdfunding, usw.).
Merkt ich euch das alles? oder ists euch sicher genug einen passwd save zu haben und ein masterkey/passphrase? Wobei bei letzterem im Falle eines Diebstahls ja schonmal der container und der key weg sind.

[DeletedUserReAsG]

a) gibt’s genug Methoden mit abgeleiteten Passwörtern (eine Art Masterkey zzgl. vorhandener Informationen), b) ist Pen&Paper so ziemlich sicher, jedenfalls was Remote-Angriffe angeht – wozu also nochmal was Angreifbares dazwischenhängen?

Wie auch immer – interessanter Name, manche mögen auch das Konzept haben wollen, für mich isses nix und genauer anschauen kann ich es mir auch nicht, weil indiegogo ziemlich kaputt ist (aka: über so viele Server verteilt, dass es mir persönlich zu mühsam ist, die lange Liste durchzugehen und zu schauen, was ich denn freigeben muss, damit ich mir überhaupt anschauen kann, worum’s genau geht).

Wobei bei letzterem im Falle eines Diebstahls ja schonmal der container und der key weg sind.

Backups sind ’ne tolle Sache. Wie backupped man dieses Mooltipass?

[mclien]

Naja die Methode mit den abgeleiteten Passwörtern ist eben solange sicher, bis eines mit dem Masterkey geknackt wurde, danach ist es dann noch soviel wert wie die "Abweichungen", die halt per Methode einfach sind.

Pen und Paper ist halt auch vorbai sobald jemand an das Paper gekommen ist.

da der krypto conzainer auf der sd card im Gerät gespeicher wird , ist ein backup auch kein Problem.

wozu also nochmal was Angreifbares dazwischenhängen?

was meinst Du damit? Dass man in diesem Fall 3 Dinge zusammen bekommen muss um irgendetwas angreifen zu können und bei den anderen Methoden halt nur 1?
Deine Frage klingt fälschlicherweise so als ob es dadurch unsicherer wird.

[DeletedUserReAsG]

Ich formuliere meine Frage direkt: wo ist der Link direkt zur (schriftlichen) Projektbeschreibung, die man auch mit ’nem halbwegs vernünftig abgesicherten Browser halbwegs bequem betrachten kann? In meiner Vorstellung ist das bislang nix weiter, als ein externer Passwortsafe.

Was „Masterkey“ und „knacken“ angeht – wenn der knackbar ist, hat man was falsch gemacht.

Und diese drei Dinge, die man zusammenbekommen muss – welche sind das (gut, die Frage wird sich erübrigen, sobald hier mal ’n Link zu dem steht, worums eigentlich geht [oder geht’s nur darum, was zu spenden?])? Und wie kommst du fälschlicherweise auf die Idee, dass man bei den von mir genannten Sachen nur eines haben muss?

[Cae]

Ich formuliere meine Frage direkt: wo ist der Link direkt zur (schriftlichen) Projektbeschreibung, die man auch mit ’nem halbwegs vernünftig abgesicherten Browser halbwegs bequem betrachten kann?

Es gibt Artikel dazu [1] und eine Projektseite [2].

Abgeleitete Passwoerter sind problematisch, sobald aus aus einem einzigen Passwort klar wird, was davon der abgeleitete Teil ist und was der Grundschluessel. Man muss schon ziemlich diszipliniert sein, um das bei allen angelegten Passwoertern ausreichend zu verschleiern. Ich vermute, dass ein Durchschnittsbenutzer nicht diese Disziplin hat.

Gruss Cae

[1] http://hackaday.com/tag/mooltipass/
[2] https://hackaday.io/project/86-mooltipass

[DeletedUserReAsG]

Danke. Unglücklicherweise habe ich da auch keine ausreichend genaue Beschreibung der Funktionsweise gefunden, so dass mir die Vorteile des Devices nicht so ins Auge fallen. Aber immerhin sieht’s hübsch aus.

Disziplin muss man übrigens auch bei so ’nem Offline-Passwort-Safe, oder was immer das nun sein will, mitbringen.