Fox-IT publiceert rapport van 8 "veilige" USB-sticks
Het Nederlandse Fox-IT heeft haar omstreden rapport gepubliceerd waarin het de veiligheid van 8 USB-sticks onderzocht. De beveiliger keek naar de mediadragers van Kingston, Intuix, MXI, Kobil, RiTech en Safeboot. Bij de RiTech BioSlim disks was het mogelijk om de beveiliging te omzeilen en zo alsnog alle informatie op de stick uit te lezen, en deze sticks werden dan ook als onveilig bestempeld.
Toen Fox-IT haar bevindingen vorig jaar bekendmaakte nam RiTech een advocaat in de arm en dreigde met een boete van duizenden euro's per dag als de beveiliger meer mededelingen over Bioslimdisk-producten zou doen. Ook wilde men weten wie het testrapport allemaal had ontvangen.
Na alle onderzoeken blijkt slechts één USB-stick als veilig uit de bus te komen, en dat is de Kobil mIDentity, waarbij het niet mogelijk was om zonder de juiste authenticatie informatie de gegevens te bemachtigen. Bij alle andere sticks zou een aanvaller via een brute force aanval het wachtwoord kunnen raden en zo alsnog toegang kunnen krijgen. Deze sticks zijn volgens Fox-IT alleen veilig als men een sterk wachtwoord kiest of twee-factor authenticatie gebruikt. Het volledige rapport is hier te downloaden.
makkelijk aan de data te komen als je de stick demonteert en de chipjes
op een gewone stick soldeert. Hardwarematige encryptie hebben ze
allemaal niet.
http://core.tweakers.net/reviews/754/de-bioslimdisk-signature-nader-bekeken.html
[url=http://core.tweakers.net/reviews/754/de-bioslimdisk-signature-nader-bekeken.html]dit
artikel[/url] van tweakers.net is de RiTech BioSlimDisk
Signature wel degelijk veilig. Alleen bij het proto-type
bleek het met veel moeite mogelijk data van de stick te
halen. Met de uiteindelijke release is ook dat onmogelijk
geworden.
Nu weet ik alleen niet of ze bij t.net dezelfde stick hebben
gebruikt als bij Fox-IT. Bij Fox-IT hebben ze 2
verschillende BSD's gebruikt, dus het is niet geheel
ondenkbaar dat t.net nog een derde variant in handen
gekregen heeft.
Volgens onderzoek van C'T is ook bij de meeste andere
"beveiligde" sticks makkelijk aan de data te
komen als je de stick demonteert en de chipjes op een gewone
stick soldeert. Hardwarematige encryptie hebben ze allemaal
niet.
[url=http://core.tweakers.net/reviews/754/de-bioslimdisk-signature-nader-bekeken.html]dit
artikel[/url]) heeft de BSD de data wel degelijk geëncrypt
opgeslagen. Het de-solderen en op een normale USB-stick
plakken heeft weinig of zelfs helemaal geen zin.
--As a proof known data has been written to the BioSlimdisks.
The flash chip was desoldered and read out raw. The same
known data could be recovered, proving this attack to be
successful.
En in de andere:
--We sloten de chip aan op een zelf gebouwde nand-reader en
probeerden de inhoud te lezen. Het bleek al snel dat de
claim van Ritech met betrekking tot de versleuteling terecht is.
al dat zij de "nieuwe versie van de stick die door overheden gebruikt wordt"
in handen gehad hebben.
Fox-IT test de Bioslimdisk 2.0 en Tweakers heeft de nieuwere
Bioslimdisk Signature getest.
staat in:
--Daarnaast slaat BioSlimDisk alle gegevens automatisch
versleuteld op d.m.v. Blowfish encryptie algoritme.
Tenslotte kan de in epoxy gegoten geheugenmodule nooit
onbeschadigd verwijderd worden...
In hun huidige folder staat dit er niet meer in.
stick geprogrammeerd, wordt die uit een in te geven wachtwoord gehaald
of wordt die uit eigenschappen van de vingerafdruk berekend? In het 1e en
3e geval is er dan nog steeds wel achter te komen zonder medewerking
van de eigenaar.
http://www.bioslimdisk.com/bioslimdisk.htm
"With Ultimate Encryption"
!
Fox-IT heeft waarschijnlijk de oudere versie getest. Tweakers.net meldt zelf
al dat zij de "nieuwe versie van de stick die door overheden gebruikt
wordt"
in handen gehad hebben.
https://www.aivd.nl/algemene_onderdelen/evaluatie
Laat iedereen maar alle opsagmedia aansluiten die ze
willen, alleen: onversleutelde data mag niet gelezen worden,
en alles wat je wegschrijft moet met bedrijfssleutels
versleuteld worden. Voor "speciale" medewerkers kun je
onversleuteld lezen eventueel toestaan.
Als je zo'n beleid weet uit te vaardigen (en af te dwingen)
ben je ook van het probleem af.
Goh, volgens
[url=http://core.tweakers.net/reviews/754/de-bioslimdisk-signature-nader-bekeken.html]dit
artikel[/url] van tweakers.net is de RiTech BioSlimDisk
Signature wel degelijk veilig. Alleen bij het proto-type
bleek het met veel moeite mogelijk data van de stick te
halen. Met de uiteindelijke release is ook dat onmogelijk
geworden.
hehe, lol. Weet uit betrouwbare bron, dat er zeker drie
methoden zijn om deze disk te kraken, waarvan er één echt
enorm eenvoudig is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.