Biometrische USB-sticks eenvoudig te kraken
Met een vingerafdruk beveiligde USB-sticks zijn eenvoudig te kraken, zo hebben beveiligingsonderzoekers ontdekt. Veel beveiligde USB-sticks bestaan uit drie onderdelen, het flashgeheugen, een vingerafdruklezer en een controller om het USB-verkeer te regelen. De controller biedt ook toegang tot de partities van de stick. Een van de partities is publiekelijk toegankelijk en controleert de vingerafdruk. Is die geldig, dan krijgt de gebruiker toegang tot de beveiligde partitie.
Nu blijkt dat USB-sticks met de USBest UT176 en UT169 controllers ook toegang tot het beveiligde gedeelte zonder authenticatie geven. De enige vereisten zijn toegang tot de stick en het programma PLscsi. De tool stuurt een commando naar de USB-stick waarin staat dat de gebruiker geen toegang tot het publieke, maar tot het beveiligde gedeelte moet krijgen. De onderzoekers ontdekten dat het niet een fout van de controller is, maar een gigantische ontwerpfout. De geïnstalleerde software bepaalt dit namelijk, terwijl de fabrikant zegt dat de volledige controle door de controller van de stick wordt gedaan.
"De vingerafdruklezers in deze producten hebben slechts één doel: het misleiden van consumenten. Ze bieden geen bescherming. We kunnen dan ook adviseren om deze producten niet te kopen," zo luidt de conclusie. Het gaat onder andere om USB-sticks van A-Data en JetFlash.
tijd nemen dit soort dingen te onderzoeken......
Ik vind dat bedrijven die maar wat beweren en in feite
leugens verkopen geboycot moeten worden. Dat er dan
misschien weinig betrouwbare bedrijven overblijven, vind ik
niet zo erg.
Vroeger, stond de klant centraal en met name de behoeftes
van de klant. Dan verkoop je je product vanzelf. Maar nee,
nu verkoopt men liever praatjes en die vullen de behoeftes
niet. Als je er dan doorheen prikt, dan blijft er geen
spaander over van je product.
M.a.w. denk na voor je een product probeert te slijten dat
op lucht is gebaseerd.
- Unomi -
(dus, zonder aanpassingen op de PC, dus ook te benaderen als je geen
Local Admin bent)
zorgen dat de data encrypted op de flashmodule komt. Stond
er hier op deze site niet enige tijd geleden een test
waarbij USB-sticks uit elkaar gehaald werden, de
flashmodules los gesoldeerd werden om vervolgens op
USB-sticks te zetten zonder biometrische toegangscontrole?
Volgens mij moet je niet alleen de toegang tot de data
beveiligen, maar (vooral) de data zelf.
Zijn er Secure USB sticks die WEL afdoende beschermd zijn?
(dus, zonder aanpassingen op de PC, dus ook te benaderen
als je geen
Local Admin bent)
Bekijk het rapport van Fox_IT maar. Daar staat het een en
ander in.
http://www.fox-it.com/content/view/546/48/lang,nl/
http://www.fox-it.com/content/view/438/48/lang,nl
Zijn er Secure USB sticks die WEL afdoende beschermd zijn?
(dus, zonder aanpassingen op de PC, dus ook te benaderen
als je geen
Local Admin bent)
Neen.
Zijn er Secure USB sticks die WEL afdoende beschermd zijn?
(dus, zonder aanpassingen op de PC, dus ook te benaderen
als je geen
Local Admin bent)
de bestanden erop in het PGP/GPG formaat te zetten...
de echte toool'ert krijgt altijd de zaak wel open (given time)
mijn sloten kiezen de middenweg en zijn betaalbaar.
zolang de zakkenroller niet zomaar bij de data kan is ie wat
mij betreft aardig secure.
als je data echt zo kritiek is moet je zowiezo anders gaan
denken en betalen.
wat kosten deze stickies eigenlijk?
blijft als de wachtwoord/vingerafdruk combinatie gebruikt
blijft worden
beschrijft precies deze JetFlash feature:
http://wirespeed.xs4all.nl/b2evolution/security.php?title=fingerprint_devices_i_lost_my_finger_now&more=1&c=1&tb=1&pb=1
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.