USB-stick met 256-bit AES gekraakt
Vanwege alle incidenten waarbij overheidsinstanties en bedrijven vertrouwelijke informatie rond laten slingeren is er een groeiende markt voor beveiligde USB-sticks. Toch wil encryptie en biometrische beveiliging nog niet zeggen dat de data ook echt veilig is, zoals onderzoekers van Objectif Sécurité ontdekten. De MXI Security Stealth MXP USB-stick is een van de betere beveiligde mediadragers en voorzien van de FIPS-140-2 certificering.
De stick gebruikt zijn eigen processor en een Field Programmable Gate Array (FPGA) chip voor het implementeren van de AES encryptie en voorkomt dat het geheugen uitgelezen kan worden. De markeringen op de processor en geheugen zijn verwijderd om reverse engineering te voorkomen. Als extra beveiligingslaag is er een vingerafdrukscanner die in combinatie met een wachtwoord de toegang tot de data beschermt.
Een gedeelte van de stick is niet beveiligd en laat gebruikers lezen en schrijven. De partitie wordt elke keer bij nieuw gebruik herschreven, om zo aanvallen via Trojaanse paarden te voorkomen. Verdere analyse wees uit dat de communicatie tussen de software en processor op de stick versleuteld is. Het wachtwoord of de vingerafdruk bevindt zich op de stick in plaats van op de PC waar het kwetsbaar zou zijn.
Korreltje zout
Ondanks alle maatregelen heeft de fabrikant wat steekjes laten vallen. Om klanten tegemoet te komen was er een "geschiedenis" functie toegevoegd om te voorkomen dat gebruikers hetzelfde wachtwoord zouden gebruiken. Met name bedrijven zouden dit willen. Bij de implementatie ging het mis en wisten de onderzoekers het wachtwoord in platte tekst te verkrijgen en zo de versleutelde partitie te benaderen.
De vergelijking tussen het huidige en vorige wachtwoord vindt plaats op de PC en niet op de USB-stick. Het tweede punt is dat de hashes van de wachtwoorden zijn uit te lezen als men nog niet is ingelogd op de stick. En dat is ook een probleem, aangezien de hashes niet "gezouten" zijn. De onderzoekers wisten via rainbow tables een wachtwoord van 8 karakters binnen 15 minuten te kraken. Inmiddels heeft de fabrikant een update uitgebracht om de hashes wel te zouten.
de stelling alles wat men maakt kan gekraakt worden !!!
zijn er USB sticks op de markt die NIET gekraakt kunnen worden....zoja.....welke!!!
Hackers denken blijkbaar toch anders dan de vermoedelijk goed geschoolde mensen van het NIST. Het nut van beveiligingsopleidingen die als hacker leren denken, lijkt mij daarmee aangetoond.
Ook toont dit voorbeeld het belang aan van een goed ontwerp. Een goed ontwerp met veiligheid in het achterhoofd, maakt bijvoorbeeld het verschil tussen Sendmail en Postfix.
is die ook gekraakt *g*
En wat andere al zijden, ALLES valt te kraken (met genoeg geduldt, koffie, en zakken chips)
Bedankt voor alle reacties....
Is de Ironkey OOK de BESTE, VEILIGSTE op DIT moment.
Ben namelijk op zoek naar de beste (betaalbare) veiligste USB STICK!
Klopt, zoals geschreven in het artikel:
Bij de implementatie ging het mis en wisten de onderzoekers het wachtwoord in platte tekst te verkrijgen en zo de versleutelde partitie te benaderen. Oplossing Geschiedenis functie UITSCHAKELEN!!!
Het tweede punt is dat de hashes van de wachtwoorden zijn uit te lezen als men nog niet is ingelogd op de stick.
Ik neem aan dat dit ook beter opgelost kan worden!!!
Inmiddels heeft de fabrikant een update uitgebracht om de hashes wel te zouten. OPGELOST!!!
Onderwerp is interessant vandaar de vele vragen...
Bedankt voor alle reacties....
Is de Ironkey OOK de BESTE, VEILIGSTE op DIT moment.
Ben namelijk op zoek naar de beste (betaalbare) veiligste USB STICK!
Als van veel koffie houd, want validatie duurt een eeuw, plus het ww moet wel sterk zijn en onthouden -kunnen- worden : )
De titel is: USB-stick met 256-bit AES gekraakt
Geheel juist dus. Anders had er gestaan: 256-bit AES gekraakt
Het geeft maar weer aan dat niet alleen de gebruikte software om te crypten belangrijk is, maar ook de hardware en alles daaromheen.
Dus ook gewoon te kraken, zij het wat lastiger. (Is nog niet gebuerd though)
Vanuit mijn functie zijn wij bezig met de invoer van versleuteling van de data op de usb stick. Dat is goedkoper dan een superveilig stick, en ook nog eens bruikbaar op andere 'removable media'
Verder is de mIdentity natuurlijk ook een zeer veilige stick, maar die emuleert een CD drive om via autostart de authenticatie applicatie te starten. En dit geheel vereist locale admin rechten. Wel veilig, maar ook geen fantastische oplossing..
Niets is 'onkraakbaar', absolute veiligheid bestaat niet !!!
Wat de reclame jongens ook claimen.
(The views expressed here are mine, and NOT those of my employers, associates, or others. Besides, if it *were* the opinion of all of those people, I doubt there would be a problem to bitch about in the first place...)
"In tegenstelling tot de conventionele op software gebaseerde coderingsmethodiek die door veel fabrikanten van USB-flash-schijven wordt gebruikt, maakt BioSlimDisk Signature gebruik van een krachtige cryptografische hardware-engine die direct AES 128-bits codering/decodering van uw gegevens uitvoert (transparant voor de gebruiker) zonder software of toepassingen."
Dus wel encryptie...
Dus ook gewoon te kraken, zij het wat lastiger. (Is nog niet gebuerd though)
Vanuit mijn functie zijn wij bezig met de invoer van versleuteling van de data op de usb stick. Dat is goedkoper dan een superveilig stick, en ook nog eens bruikbaar op andere 'removable media'
Verder is de mIdentity natuurlijk ook een zeer veilige stick, maar die emuleert een CD drive om via autostart de authenticatie applicatie te starten. En dit geheel vereist locale admin rechten. Wel veilig, maar ook geen fantastische oplossing..
De laatste versie die ze gemaakt hebben is veilig. Maar over de voorlopers van deze ga ik het maar niet hebben..... Kinderlijk eenvoudig te bypassen.... Enne ...er is meer gekraakt dan alleen op de websites verschijnt.... lol.
Er zijn dus een duidelijk verschillen tussen FIPS 140-2 Level 2 en FIPS 140-2 Level 3.
Hackers denken blijkbaar toch anders dan de vermoedelijk goed geschoolde mensen van het NIST. Het nut van beveiligingsopleidingen die als hacker leren denken, lijkt mij daarmee aangetoond.
Ook toont dit voorbeeld het belang aan van een goed ontwerp. Een goed ontwerp met veiligheid in het achterhoofd, maakt bijvoorbeeld het verschil tussen Sendmail en Postfix.
Ehm het is ook weer zo dat elite hackers vaak hoogbegaafde mensen zijn die zich vervelen. Probeer jij maar eens een interessante puzzel voor hun te vinden. Opleiding weegt daar niet tegenop
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.