Nieuws
image

Gecertificeerde versleutelde USB-sticks gekraakt

dinsdag 5 januari 2010, 10:52 door Redactie, 11 reacties

Eind vorig jaar riep geheugenfabrikant Kingston verschillende versleutelde USB-sticks terug omdat aanvallers eenvoudig toegang tot de gegevens konden krijgen, nu blijkt ook dat de datadragers van SanDisk en Verbatim kwetsbaar zijn. En dat is opmerkelijk, want de USB-sticks van alle drie de fabrikanten zijn FIPS 140-2 Level 2 gecertificeerd. Het Duitse beveiligingsbedrijf SySS ontdekte dat het vrij eenvoudig is om zonder het juiste wachtwoord toch toegang tot de gegevens te krijgen.

De USB-sticks in kwestie gebruiken AES 256-bit encryptie voor het hardware-matig versleutelen van de gegevens. Aangezien AES nog niet te kraken is, keken de onderzoekers naar het wachtwoord-mechanisme. Het gebruikte Windows programma zal tijdens een succesvolle autorisatie procedure, ongeacht het ingevoerde wachtwoord, altijd dezelfde string met karakters naar de schijf sturen. Het kraken van de wachtwoordbeveiliging is dan ook vrij eenvoudig. De onderzoekers schreven een klein programma dat ervoor zorgt dat de schijf altijd de juiste string met karakters ontvangt, ook al voert men een verkeerd wachtwoord in. Dit geeft toegang tot de aanwezige data. Het gaat onder andere om de Kingston DataTraveler BlackBox, SanDisk Cruzer Enterprise FIPS Edition en Verbatim Corporate Secure FIPS Edition.

Certificering
De fabrikanten reageerden elk anders op het probleem. Kingston riep de getroffen USB-sticks terug, terwijl SanDisk en Verbatim een waarschuwing over een "potentieel beveiligingslek in de access control applicatie" online plaatsten. Gebruikers konden een software update downloaden om het probleem op te lossen. Volgens Verbatim zijn de kwetsbare USB-sticks niet in Europa verkocht. De echte vraag blijft hoe een gecertificeerde USB-stick zo eenvoudig te kraken is. "En nog belangrijker, wat is de waarde van een certificering die zulke lekken mist?", aldus het Duitse Heise.

Reacties (11)
05-01-2010, 12:34 door Anoniem
Wat een kansloze ontwerpfout zeg!
05-01-2010, 13:59 door eXpL0iT.be
@Anoniem
idd, "nogal" :x

Lang leve Ironkey met hun FIPS 140-2 Level 3 zeker :)
05-01-2010, 14:03 door Skizmo
Door eXpL0iT.be: @Anoniem
idd, "nogal" :x

Lang leve Ironkey met hun FIPS 140-2 Level 3 zeker :)
Lang leve de mensen die er voor zorgen dat ze hun USB sticks niet verliezen.
05-01-2010, 14:09 door eXpL0iT.be
Door Skizmo: Lang leve de mensen die er voor zorgen dat ze hun USB sticks niet verliezen.

Amen! Inderdaad, nogal shockerend om hier af en toe te lezen dat alweer x-aantal duizenden patiëntendossiers, en andere confidentiële zaken "zomaar verloren gaan".
05-01-2010, 14:28 door spatieman
De hardware is dus ok.
Er is dus een grote fail in de software.
05-01-2010, 15:38 door Anoniem
Wij gebruiken allemaal Ironkey en hebben nog nooit gehoord dat die gekraakt is. Maar daar gaat dit artikel ook niet over. Het zal bij de genoemde fabrikanten idd aan de software liggen....or...Whatever!

Sectrust & Setji.ams.osd/Crew.
05-01-2010, 17:11 door rob
Geen woorden voor zo'n prutsimplementatie.....
05-01-2010, 20:21 door Anoniem
Truecrypt is nog steeds gratis en wel ietsje lastiger te kraken ;-)
06-01-2010, 11:01 door Anoniem
Als er een code review was geweest door de certificerings organisatie of als deze applicatie (F/L) open source gepubliceerd was, dan zou dit nooit gebeurt zijn. En zou het ook geen nieuws zijn als de "fout" gemaakt zou worden. Gewoon een nieuw versie nummer.

Ik kan er echt niet bij dat mensen nog steeds gesloten ongereviewde software voor security doeleinden durven te gebruiken.
06-01-2010, 23:58 door Anoniem
https://www.ironkey.com/usb-flash-drive-flaw-exposed voor meer uitleg hierover.
11-01-2010, 15:32 door Anoniem
ja idd, wat is de waarde nu van certificering? Wil dit zeggen dat de fabrikant voldoende heeft afgedragen? Of heeft het ook inhoud?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search