Shmoocon 2017: las entradas de fabricación y venta de hardware

Todos los días vemos gente construyendo cosas. A veces, cosas útiles. Muy raramente, esto se convierte en un producto, pero incluso entonces no escuchamos mucho sobre los insumos de fabricación de un conjunto de estas cosas o la economía de venderlas realmente. Este pasado fin de semana en Shmoocon, [Conor Patrick] le dio a la multitud el impulso interno para vender algunos cientos de tokens auténticos de dos factores. Lo que comenzó como un pasatiempo ahora es un negocio legítimo, gracias a la buena ingeniería y al mal uso del programa de distribución de Amazon.

El producto en cuestión es el U2F Zero, un token U2F de código abierto para la autenticación de doble factor. Está construido alrededor del chip de cifrado Atmel / Microchip ATECC508A y en todos los aspectos es bastante seguro. También cuesta alrededor de $ 0,70 por pieza, y la construcción completa cuesta alrededor de $ 3 USD. Todo esto es hardware y debería resultarle muy familiar al lector medio de La-Tecnologia. Este no es el foco de [Conor]aún habla. El verdadero desafío es cómo producir y vender estos dongles U2F, un tema que consideramos en septiembre.

El circuito para esta clave U2F es básicamente un chip criptográfico y un microcontrolador USB, cada uno de los cuales debe programarse por separado y de forma idealmente segura. La clave privada no es algo [Conor] quiere regalar a una sala de reuniones, lo que significa que él mismo programa todos estos dispositivos.

Para una tirada de 1100 unidades, [Conor] gastó $ 350 en PCB, $ 3600 en componentes y ensamblaje, $ 190 en envío y tarifas desde China, y $ 500 adicionales en empaque en Amazon. Este último aumentó ligeramente el precio final de la clave U2F en casi un 30%, y el empaque es algo que debe tener en cuenta si alguna vez desea vender sus propias cosas.

Para distribución, [Conor] eligió Fulfillment From Amazon. Esto es sorprendentemente barato si vende un producto existente, pero, por supuesto, [Conor]U2F Zero ya no estaba en Amazon. Un nuevo producto necesita la aprobación de la marca y Amazon inicialmente no reconocería la marca U2F Zero. La solución a esto fue para [Conor] enviarse una carta a sí mismo permitiéndole usar la marca U2F Zero y reenviar esa carta al bot automatizado de la marca Amazon. ¿Eso es estúpido? Si. ¿Funcionó? Si tambien.

Las ventas se mantuvieron tranquilas hasta [Conor] envió un consejo a Hacker News y vendió alrededor de 70 U2F Zeros en un día. Después de eso, las ventas se mantuvieron relativamente estables. El U2F Zero es ahora un producto legítimo. Aunque [Conor] no se hará rico vendiendo una docena de llaves U2F al día; no obstante, es una experiencia de aprendizaje maravillosa y nos alegra habernos contado su historia sobre el lanzamiento de un producto, incluso solo por el gran consejo sobre cómo moverse. Políticas ejecutivas de Amazon.

  • Ryg dice:

    No quiero restar importancia al maravilloso trabajo de Connor, ni causar la ira de Benchoff ... ¡Pero DIOS DIGNIFICÓ que es una especie de lucha terrible!

    Realmente espero que no hayan salido de esa manera

    • notarealemail dice:

      El resto se ve mucho mejor que la imagen del título.
      https://conorpp.com/designing-and-producing-2fa-tokens-to-sell-on-amazon

    • Dave Davidson dice:

      Parece que la soldadura de algunos accesorios de porcelana de $ 3 dólares que pedí, la mitad de ellos se ensamblaron incorrectamente y los demás estaban desordenados. Tenía el HS flotando alrededor.

  • Peter Sherd dice:

    Esto es asombroso, el juego manual es un poco incompleto, pero creo que si estuviera disponible como herramienta, estaría orgulloso de armarlo yo mismo.

    ¿Sería de mucha utilidad meter todo el lote?

    al menos el CC508?

    Creo que se beneficiaría de la diversificación y la creación de un producto similar con más funciones con un precio inflado.

  • Peter Sherd dice:

    En el Amazonas, dice que se mantenga alejado de las copias de seguridad basadas en SMS. ¿Está eso justificado?

    Me preocuparían más las copias de seguridad de llamadas debido a la última vez que el desvío de llamadas redirige sus copias de seguridad de voz.

    • ianfarquhar550343836 dice:

      Si.

      El principal riesgo es que alguien ingrese a una tienda de franquicia desde cualquier televisor que use y lo convenza (dinero, ingeniería social) de que "usted" (es decir, ellos) ha perdido la SIM. Vuelven a emitir una nueva SIM y, pronto, les llega el SMS.

      En Australia, los operadores recordaron a los bancos hace unos años que no serían responsables de ninguna pérdida financiera debido a esto. En su opinión, con razón en mi opinión, los bancos en realidad les han impuesto los costos comerciales. Realizaron la autenticación para el reemplazo de SIM contra un modelo amenazante que no incluía la posibilidad de una gran pérdida financiera. Si los bancos asumían lo contrario, se arriesgaban.

      Sí, este ataque prácticamente se lanzó.

  • bistec dice:

    Tuvo que escribirse una carta a sí mismo para venderlo porque el propietario de la marca del producto necesitaba la marca impresa en él. Escribir la carta significaba que podía venderla en su propio nombre.

    • bistec dice:

      Lo sentimos, era necesario imprimir el embalaje en ...

  • Triste dice:

    Si puede acceder a la línea de datos de E / S del chip criptográfico, ¿todavía está garantizada la seguridad? Oo

    • Kevin Harrelson dice:

      Si. Revelación: trabajo para el grupo que creó este chip.

    • Franco dice:

      Yo diría que no es mucho más seguro que un papel con una contraseña complicada escrita en él.

      La seguridad no es que no pueda invertir el chip y extraer la contraseña, sino que debe tenerlo en sus manos para hacerlo.

      • Bobby Housley dice:

        Jugué con algunos de estos chips y leí la hoja de datos. Es más como si el chip confirmara / rechazara cuando se le presenta una clave pública. Todas las claves privadas están ocultas detrás de una mecha.

      • Peter Sherd dice:

        Olvidas que, debido a que no se puede copiar, si eres el propietario de la clave, sabes que nadie más lo es.

        Keylogger no puede robarlo ni perder su base de datos de contraseñas.

        Y si falta, lo cancelará de inmediato.

      • Nick B dice:

        Es más seguro que el papel porque U2F comprueba la URL antes de que se produzca la autenticación. Luego, opcionalmente, puede firmar la sesión TLS, por lo que incluso si el DNS se ha visto comprometido, el extremo remoto lo verá como una firma incorrecta si hay alguien en el medio.

  • Capitán McAllister dice:

    Miré a Amazon para vender uno de mis productos y los precios que me cotizaba la herramienta eran terribles. ¿Quieres vender algo por $ 14? Te pagarán $ 5.42 por unidad. "Está bien", pienso, "está bien, lo haré yo mismo para ahorrar más dinero". Ahora Amazon está cotizando $ 5.65 por él.

    Sin embargo, ciertamente hice algo mal, porque en el caso anterior de Conor, el costo por unidad alcanza los $ 4.22 y se venden por $ 8. O tendrá que perder dinero o obtendrá un precio mucho mejor que el que me cotizaron.

    • Capitán McAllister dice:

      Ahora veo la referencia a "Small and Light" en su publicación. Tendré que comprobarlo.

  • Nitpicker Sabelotodo dice:

    Sin olvidar los costos astronómicos que se deben calcular al intentar vender hardware (o incluso bienes importados directamente, es decir, "directamente": desde fuera de la UE), por ejemplo. Para residuos (y productos electrónicos y de embalaje). Esto puede calcular fácilmente el precio de venta cuatro veces más que las cifras mencionadas en esta publicación si uno tuviera que contar con el número de ventas citadas. Si no más alto.
    Es decir, si juegas según las reglas (ley). Si no lo hace, como hacen la mayoría de los importadores de productos chinos, esencialmente destruyendo el mercado para aquellos que quieren jugar limpio, entonces las cifras pueden ser apropiadas.

    • Nitpicker Sabelotodo dice:

      ... obviamente estoy hablando de "importar a la UE" y "vender hardware en la UE", donde "hardware" se refiere a cosas caseras.

  • Dar dice:

    Las almohadillas de hojalata nunca deben usarse para contactos USB. El estaño es más duro que el oro y causará preocupación por la capa dorada de los conectores USB de su computadora. Un problema con esto es la generación de objetos extraños (FOD) dentro del conector que pueden acortar los pines. Otra cosa es que puede exponer la capa de níquel que se encuentra debajo del oro. La unión de estaño-níquel será sensible a la corrosión, lo que puede afectar fácilmente al rendimiento de la señal.

    Si es absolutamente necesario, entonces sería una buena idea utilizar un cable USB macho-hembra de sacrificio en el medio.

    La empresa de conexión TE tiene una excelente solicitud sobre el tema:
    http://www.te.com/documentation/whitepapers/pdf/aurulrep.pdf

    Nota al margen: si alguna vez quiere que alguien le dé una mirada desagradable, vaya al escritorio de su ingeniero de RF y conecte algo a su osciloscopio de $ 50,000 insertando un cable de resistencia en el conector BNC.

    • Dar dice:

      También olvidé mencionar que ENIG tampoco es la mejor idea para los contactos. La capa de oro solo es lo suficientemente gruesa como para extender el mantenimiento de la computadora antes de montarla. El primer emparejamiento de conectores rayará la fina capa de oro y expondrá los materiales que se encuentran debajo.

      (No intente sonar negativo, es solo que hay muchas más opciones de conectores de lo que mucha gente cree).

      • Mike C. dice:

        Comenzando con una afirmación absoluta, empezó a ser negativo, pero luego respaldó su afirmación y la explicó bien. Esta es realmente una buena información para compartir con esta comunidad y les agradezco por ello.

      • Dr.Tune dice:

        Gracias, bueno saber

        • Dr.Tune dice:

          Me encanta la-tecnologia, genial SNR en los comentarios 🙂

      • Alex Rossie dice:

        Tiendo a estañar los contactos cuando hago enchufes USB de PCB. ¿Eso resuelve el problema?

        • Don Freese dice:

          Me temo que no- Los contactos dentro de la carcasa USB de su computadora todavía tendrán contactos dorados, por lo que aún estará emparejado con estaño con oro. Debería cambiar el conector USB de su computadora a uno pequeño (no estoy seguro de si existen para los conectores USB), cambiar los contactos USB de la placa a oro duro o usar un conector USB en la placa en su lugar. .

          Sin embargo, usar un cable de extensión USB incluido probablemente sería la solución más fácil.

  • David dice:

    Lástima que no puedas llegar a estas amazonas europeas.

  • Robert Foss dice:

    ¿Hay una grabación de esto? hablar en alguna parte?

    • Brian Benchoff dice:

      Será después de unos 6 meses.

      • Robert Foss dice:

        Esto realmente enfatiza lo mejores que son las conferencias CCC en términos de proporcionar buenas grabaciones.

        Tal vez la gente de Shmoo podría usar parte del dinero de su patrocinador principal del proveedor de explotación de 0 días Zerodium para eso.

Joel Carrasco
Joel Carrasco

Deja una respuesta

Tu dirección de correo electrónico no será publicada.