Versleutelde harde schijf nog steeds eenvoudig te kraken
Ondanks eerder onderzoek blijven fabrikanten versleutelde externe harde schijven uitbrengen die eenvoudig te kraken zijn. De nieuwste harde schijf waar consumenten voor op moeten passen is die van het Duitse Digittrade Security. De fabrikant beweert dat de datadrager, die 128-bit AES encryptie en RFID gebruikt, gegevens veilig kan opslaan, maar de encryptie is eenvoudig te kraken. De 320GB grote schijf is gebaseerd op de onveilige IM7206 controller, gemaakt door het Chinese Innmax.
De Duitsers blijven achter hun advies staan om de "sterke" 128-bit AES versleuteling te gebruiken. In de praktijk blijkt dat de data op de hard disk alleen versleuteld wordt met de primitieve XOR methode, met een identieke 512-byte block voor elke sector. Deze manier van versleuteling is eenvoudig te kraken, zelfs zonder diepgaande kennis van cryptografie. In de test van Heise-Security duurde het openmaken van de behuizing langer dan het kraken van de versleuteling.
Eerder dit jaar toonde Heise al aan dat de Innmax controller geen gebruik maakt van AES dataversleuteling, maar dat het slechts het AES algoritme gebruikt om het ID van de Rfid chip te versleutelen. Ondanks dit alles, gaat Innmax toch door met het adverteren van de "veilige", zonder verdere details te verschaffen over wat en hoe het precies versleutelt.
allemaal dank zij de verplichte NSA achterdeur.
en de master sleutel die bij de fabrikant bekend is.
immers, als de overheid op de HD wil kijken, kunnen ze bij de fabrikant de mastersleutel op vragen.
allemaal dank zij de verplichte NSA achterdeur.
en de master sleutel die bij de fabrikant bekend is.
immers, als de overheid op de HD wil kijken, kunnen ze bij de fabrikant de mastersleutel op vragen.
Moet ik mijn aluminiumfolie hoedje weer opzoeken?
bijna alle security produceten zijn fake
Dus jij weet meer dan ik? Mooi, kun je svp aangeven welke producten dan wel veilig zijn.
Alvast bedankt
Om enkele reacties voor te zijn, ik weet dat er mensen zijn die bovenstaande stelling niet willen aannemen. Maar het is gewoon een feit, dat alles te kraken is. En als dat dus te lang dreigt te duren, want het is feitelijk een kwestie van tijd voordat iets gekraakt wordt, dan krijgt men de informatie die men wil op een andere manier (denk aan omkoping, chantage, etc.). Kant tekening hier is wel, dat ik doel op criminele activiteiten en niet de script kiddies / wannabe hackers.
Wellicht dat Anonymous het credo "Security is a process, not a product" bedoelt....
Enfin, ik zou die lijst ook best willen zien.
In dit geval is het natuurlijk pure misleiding.
Wel zeggen dat je AES encryptie gebruikt en het vervolgens niet doen.
Moet ik mijn aluminiumfolie hoedje weer opzoeken?
;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
