Onderzoeker kraakt "niet te hacken" biometrische usb-stick
Een usb-stick die via een irisscan te ontgrendelen is kan volgens de fabrikant "niet worden gehackt", maar het apparaat is zo onveilig dat de distributie moet worden gestopt en klanten gewaarschuwd. Dat stelt beveiligingsonderzoeker David Lodge van securitybedrijf Pen Test Partners.
Het gaat om de eyeDisk, een usb-stick met ingebouwde camera. Met de camera wordt een scan van de iris gemaakt. Vervolgens is het mogelijk om via een irisscan toegang tot de versleutelde data op de eyeDisk te krijgen. "Je oog is je wachtwoord", aldus de fabrikant. Gebruikers hebben daarnaast de optie om ook nog een wachtwoord in te stellen dat naast de scan moet worden opgegeven.
Via Kickstarter wist het project 21.000 dollar op te halen. Meer dan de 10.000 dollar die als doel was gesteld. Lodge besloot de hardware van de usb-stick te onderzoeken, alsmede het verkeer dat de datadrager genereert. Het apparaat blijkt het wachtwoord voor het ontgrendelen van de opgeslagen data onversleuteld te versturen. Tot zijn grote verbazing zag de onderzoeker dat de data ook bij het versturen van een verkeerd wachtwoord wordt ontgrendeld.
"De software verzamelt eerst het wachtwoord, controleert dan het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelwachtwoord wordt verstuurd, Dit is een slechte aanpak gezien de claim dat het apparaat niet te hacken is en ondermijnt de veiligheid van het apparaat", aldus Lodge. De iris/wachtwoord van de gebruiker zijn eenvoudig te verkrijgen door het usb-verkeer te sniffen, merkt hij verder op.
De onderzoeker waarschuwde de fabrikant op 4 april van dit jaar. Op 9 april kreeg Lodge bericht dat het probleem zou worden verholpen. Dezelfde dag vroeg Lodge wanneer de oplossing beschikbaar komt, klanten worden ingelicht en de distributie vanwege het beveiligingsprobleem wordt gestopt. De fabrikant reageerde niet meer, waarop Lodge de details openbaar heeft gemaakt.
Tja, kickstarter... of het is een clubje wat bestaande china-meuk probeer te verkopen als iets wat ze zelf 'ontworpen' hebben, of ze ploffen omdat de creator er met het toch wel vele geld vandoor gaat of soms lukt het...
Ben wel blij met mijn bluetooth speaker en remlicht voor mijn helm.
achteraf sloef dat ook nergens op, want ik had beter dat geld kunnen spenderen aan een goedkoop chinees usb stickje, en de rest kunnen investeren in een krat bier
Maar het belooft niet veel goeds dat het wachtwoord door de usb-stick in plain tekst over usb wordt verstuurd,
en de inherent onveilige md5 hashfunctie lijkt te zijn gebruikt voor de iris-informatie.
achteraf sloef dat ook nergens op, want ik had beter dat geld kunnen spenderen aan een goedkoop chinees usb stickje, en de rest kunnen investeren in een krat bier
Hoezo? Als het de echte IronKey is dan is deze door de AIVD goedgekeurd voor gebruik tot departementaal vertrouwelijk. Best wel prima stickie. Wel daardoor erg duur.
Waar trek je de grens, een onveilig OS, een onveilig knuffeltje, onveilige seks?
Die hebben lol in usb sticks hacken die "veilig" zouden zijn.
Ik wel.
Mijn vrouw en ik hebben in totaal enkele tientallen projecten gesteund. Daarvan hebben 2 projecten niets opgeleverd. Eentje (Duits, niet Chinees) werd tegengewerkt door de grote, gevestigde bedrijven. Een ander project leverde een product dat niet voldeed aan mijn verwachtingen. Dat is nog altijd beter dan bij een gemiddelde, kleine webshop.
Maar net als bij een webshop, moet je natuurlijk wel slim investeren. Ook op Kickstarter geldt "if it's to good to be true, it probably isn't."
Peter
Peter
Je spreekt jezelf tegen. Als je dan leentjebuur bij een andere taal doet, zoek dan minstens de grammaticale constructie op... Nederland verkwanselt niet alleen het Nederlands maar vervangt het te pas en te onpas met fout buitenlands.
"Geupdated" is daar ook zo'n prachtig voorbeeld van... Om te k*****!!
Peter
Je spreekt jezelf tegen. Als je dan leentjebuur bij een andere taal doet, zoek dan minstens de grammaticale constructie op... Nederland verkwanselt niet alleen het Nederlands maar vervangt het te pas en te onpas met fout buitenlands.
"Geupdated" is daar ook zo'n prachtig voorbeeld van... Om te k*****!!
GeupdateT, leenwoorden in voltooide tijd vervoeg je altijd met een t ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.