Nieuws

Biometrische USB-sticks eenvoudig te kraken

donderdag 13 maart 2008, 12:18 door Redactie, 9 reacties

Met een vingerafdruk beveiligde USB-sticks zijn eenvoudig te kraken, zo hebben beveiligingsonderzoekers ontdekt. Veel beveiligde USB-sticks bestaan uit drie onderdelen, het flashgeheugen, een vingerafdruklezer en een controller om het USB-verkeer te regelen. De controller biedt ook toegang tot de partities van de stick. Een van de partities is publiekelijk toegankelijk en controleert de vingerafdruk. Is die geldig, dan krijgt de gebruiker toegang tot de beveiligde partitie.

Nu blijkt dat USB-sticks met de USBest UT176 en UT169 controllers ook toegang tot het beveiligde gedeelte zonder authenticatie geven. De enige vereisten zijn toegang tot de stick en het programma PLscsi. De tool stuurt een commando naar de USB-stick waarin staat dat de gebruiker geen toegang tot het publieke, maar tot het beveiligde gedeelte moet krijgen. De onderzoekers ontdekten dat het niet een fout van de controller is, maar een gigantische ontwerpfout. De geïnstalleerde software bepaalt dit namelijk, terwijl de fabrikant zegt dat de volledige controle door de controller van de stick wordt gedaan.

"De vingerafdruklezers in deze producten hebben slechts één doel: het misleiden van consumenten. Ze bieden geen bescherming. We kunnen dan ook adviseren om deze producten niet te kopen," zo luidt de conclusie. Het gaat onder andere om USB-sticks van A-Data en JetFlash.

Chinese hacker ontkent CNN rapportage

Pointsec Full Disk Encryptie "gekraakt" in PR-stunt

Reacties (9)

13-03-2008, 13:24 door awesselius

Kijk, het is altijd fijn dat er nog mensen zijn die even de
tijd nemen dit soort dingen te onderzoeken......

Ik vind dat bedrijven die maar wat beweren en in feite
leugens verkopen geboycot moeten worden. Dat er dan
misschien weinig betrouwbare bedrijven overblijven, vind ik
niet zo erg.

Vroeger, stond de klant centraal en met name de behoeftes
van de klant. Dan verkoop je je product vanzelf. Maar nee,
nu verkoopt men liever praatjes en die vullen de behoeftes
niet. Als je er dan doorheen prikt, dan blijft er geen
spaander over van je product.

M.a.w. denk na voor je een product probeert te slijten dat
op lucht is gebaseerd.

- Unomi -

13-03-2008, 13:25 door Anoniem

Zijn er Secure USB sticks die WEL afdoende beschermd zijn?

(dus, zonder aanpassingen op de PC, dus ook te benaderen als je geen
Local Admin bent)

13-03-2008, 14:01 door Arno Nimus

Volgens mij moeten ze er in de eerste instantie ook voor
zorgen dat de data encrypted op de flashmodule komt. Stond
er hier op deze site niet enige tijd geleden een test
waarbij USB-sticks uit elkaar gehaald werden, de
flashmodules los gesoldeerd werden om vervolgens op
USB-sticks te zetten zonder biometrische toegangscontrole?

Volgens mij moet je niet alleen de toegang tot de data
beveiligen, maar (vooral) de data zelf.

13-03-2008, 14:09 door _Peterr

Door Anoniem
Zijn er Secure USB sticks die WEL afdoende beschermd zijn?

(dus, zonder aanpassingen op de PC, dus ook te benaderen
als je geen
Local Admin bent)

Bekijk het rapport van Fox_IT maar. Daar staat het een en
ander in.
http://www.fox-it.com/content/view/546/48/lang,nl/
http://www.fox-it.com/content/view/438/48/lang,nl

14-03-2008, 09:19 door Anoniem

Door Anoniem
Zijn er Secure USB sticks die WEL afdoende beschermd zijn?

(dus, zonder aanpassingen op de PC, dus ook te benaderen
als je geen
Local Admin bent)

Neen.

14-03-2008, 11:33 door Anoniem

Door Anoniem
Zijn er Secure USB sticks die WEL afdoende beschermd zijn?

(dus, zonder aanpassingen op de PC, dus ook te benaderen
als je geen
Local Admin bent)

Er zijn misschien wel USB sticks die veilig zijn. B.v. door
de bestanden erop in het PGP/GPG formaat te zetten...

14-03-2008, 15:19 door Anoniem

mijns inziens is dit beetje alla sloten.

de echte toool'ert krijgt altijd de zaak wel open (given time)

mijn sloten kiezen de middenweg en zijn betaalbaar.
zolang de zakkenroller niet zomaar bij de data kan is ie wat
mij betreft aardig secure.

als je data echt zo kritiek is moet je zowiezo anders gaan
denken en betalen.

wat kosten deze stickies eigenlijk?

17-03-2008, 13:14 door Anoniem

Ik denk dat de Safeboot (nu mcafee) phantom de meest veilig
blijft als de wachtwoord/vingerafdruk combinatie gebruikt
blijft worden

22-03-2008, 16:47 door Anoniem

Een artikeltje van mijn hand anderhalf jaar geleden
beschrijft precies deze JetFlash feature:
http://wirespeed.xs4all.nl/b2evolution/security.php?title=fingerprint_devices_i_lost_my_finger_now&more=1&c=1&tb=1&pb=1

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer