Kingston: TrueCrypt niet goed genoeg voor USB-stick
Vorig jaar werden versleutelde USB-sticks van Kingston gekraakt, Security.nl vroeg de geheugenfabrikant wat de waarde van gecertificeerde USB-sticks is en waarom het bijvoorbeeld geen TrueCrypt meelevert. Ook vroegen wij Erik Vink, business development manager voor Nederland bij Kingston, wat de wildgroei van USB-sticks voor gevolgen bij bedrijven heeft, wat we van USB 3.0 kunnen verwachten en of uiteindelijk de USB-stick niet hetzelfde lot ondergaat als de floppy en diskette.
Eind vorig jaar werden gecertificeerde versleutelde USB-sticks van Kingston teruggeroepen omdat ze te kraken waren. Toont dit niet aan dat het certificeren van USB-sticks een wassen neus is?
Vink: Het encryptie certificaat hangt samen met de FIPS-norm en is nog steeds een uiterst betrouwbare vorm van certificering. Wat eind vorig jaar ontdekt is, is een fout in het verwerken van de wachtwoorden op een diep niveau binnen de beveiligde firmware van de USB. Dit heeft invloed gehad op een aantal fabrikanten.
Hoe reageerden jullie op dit incident?
Vink: We reageerden erg snel door samen te werken met de leverancier van de geïnfecteerde software en hardware en met het bedrijf dat de fout heeft gevonden. Toen we op de hoogte waren van de fout en erachter was welke USB’s geïnfecteerd waren, zijn we begonnen met het gratis omwisselen van de geïnfecteerde USB’s voor schone USB’s met een verbeterde technologie.
Waarom leveren jullie niet standaard een programma als TrueCrypt met de USB-sticks mee?
Vink: We werken met een aantal partijen samen om zo veilig mogelijke USB-oplossingen te leveren. Onlangs zijn we een samenwerking aangegaan met SPYRUS. We zijn ervan overtuigd dat zij op dit moment de beste beveiligingsoplossing bieden. Deze oplossing hebben wij ook toegepast op onze nieuwste beveiligde USB, de Kingston DataTraveler 5000.
Wat is de meerwaarde van de oplossingen die jullie op USB-sticks aanbrengen in verhouding tot bijvoorbeeld TrueCrypt?
Vink: Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn. We bieden een USB die volledig hardware encrypted is en processors en controllers bevat die dit ondersteunen. Hierdoor liggen de overdrachtssnelheden erg hoog. Ook zorgen zij ervoor dat de encryptie van de gegevens en de authentificatie processen op de USB zelf worden uitgevoerd. Hierdoor hoeft er niet met software of applicaties op de computer gecommuniceerd te worden.
Is het de verantwoordelijkheid van een fabrikant om "veilige" USB-sticks te leveren, of luisteren jullie alleen wat de markt wil?
Vink: We bieden een reeks aan USB’s die ontworpen zijn voor verschillende behoeften van de consument. Dit gaat van standaard, onbeschermde USB-sticks voor dagelijks gebruik tot zwaar beveiligde USB’s die voor de zakelijke gebruiker zijn ontworpen.
Inmiddels vindt er bij bedrijven een wildgroei aan USB-sticks en wachtwoorden plaats. Hoe is dit in goede banen te leiden?
Vink: Gebruiksvoorschriften schrijven voor dat een bedrijf zou moeten investeren in port management software om zo controle te houden op de stroom van gegevens op de computers van de gebruikers. Daarnaast moeten zij investeren in beveiligde USB’s.
Aan de andere kant zien we bedrijven die het gebruik van USB-sticks verbieden. Iets waar jullie het vast niet mee eens zijn, maar welke goede reden kun je bedrijven geven om ze toch te blijven gebruiken?
Vink: Zoals ook bij het vorige antwoord aangegeven moeten bedrijven ervoor zorgen dat wanneer zij belangrijke data willen overbrengen dit op een veilige manier gebeurt. Het verbieden van USB’s is geen oplossing, bedrijven moeten een meer gestructureerde en gecontroleerde aanpak kiezen.
Naast het rondslingeren van USB-sticks, hebben deze datadragers ook een slechte naam gekregen door de AutoRun feature van Windows. Hoe kijken jullie tegen AutoRun aan en hebben jullie Microsoft nooit gevraagd dit uit te schakelen?
Vink: Ook dit komt neer op gebruiksvoorschriften. Gebruikers moeten ervoor zorgen dat zij een anti-virus programma of vergelijkbare software gebruiken dat apparaten scant die op de computer worden aangesloten. Wanneer je geen bescherming op je computer hebt en een USB de schuld geeft, is dat hetzelfde als wanneer je surft zonder firewall of spyware-bescherming en het internet de schuld geeft van een virus. Het is een feit dat virussen en schadelijke software bestaan, maar het zijn niet alleen USB’s die dit met zich meedragen.
Wat staat ons in de toekomst nog op het gebied van USB-sticks te wachten? We hebben inmiddels al sticks met biometrische beveiliging en allerlei andere toeters en bellen op de markt. Is er nog wel vernieuwing mogelijk?
Vink: Ja dat is er zeker. Zelfs de meest uitgebreide beveiligingsstandaarden zullen in de toekomst verouderd zijn. Sterkere en meer geavanceerde toepassingen worden continue getest en ontwikkeld.
Welk effect zal de USB 3.0 standaard op USB-sticks hebben en zal de USB-stick niet hetzelfde lot als de floppy en diskette ondergaan?
Vink: Deze nieuwe standaard zal een grotere bandbreedte bieden en daarmee hogere snelheden voor USB’s. De interface van USB 3.0 kan een maximale bandbreedte van 4,8Gb/s aan waar dit bij USB 2.0 maar 480MB/s is. Deze hogere snelheid voor het overzetten van data is met name belangrijk voor USB’s met een grotere capaciteit, zoals de 128GB en 256GB. Naar alle waarschijnlijkheid zal USB 3.0 de vraag naar USB’s met deze hoge capaciteiten ook vergroten.
Regelmatig verschijnen er berichten in de media over besmette apparatuur die bij de fabrikant vandaan komt. Hoe zorgen jullie dat USB-sticks "schoon" blijven?
Vink: We houden de processen continue en zeer stringent in de gaten om ervoor te zorgen dat zijn producten van de hoogste kwaliteit zijn. Het leveren van ‘schone’ (niet geïnfecteerde) producten is één van de onderdelen van ons kwaliteitsprogramma. Ook zijn al onze wereldwijde productie centra ISO 9001 gecertificeerd.
Welke USB-sticks gebruik je zelf?
Vink: Op dit moment gebruik ik twee verschillende USB-sticks. Een standaard DataTraveler C10 zonder beveiliging die ik gebruik voor mijn dagelijkse, persoonlijke bestanden en gegevens, en een DataTraveler 5000 om bestanden en gegevens op te slaan voor mijn werk.
Vink:Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn.
Lees: ja,ja.....
Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn
"Security by obscurity"...
Het is in het verleden helaas maar al te vaak aangetoond dat "gesloten" encryptie (waarbij de "protocollen, methodes en algoritmen" niet bekend worden gemaakt) niet deugen en juist kwetsbaar zijn. Alleen wanneer de algoritmen door beveiligingsexperts over de hele wereld kunnen worden gecontroleerd kan de veiligheid hiervan beoordeeld worden.
Van "open" encryptie-methodes kan iedereen controleren of het goed in elkaar zit en of er geen kwetsbaarheden in zitten. Zo lang er goed met de sleutels of wachtwoorden wordt omgegaan, kan de veiligheid dan worden gewaarborgd.
Een standaard DataTraveler C10 zonder beveiliging die ik gebruik voor mijn dagelijkse, persoonlijke bestanden en gegevens
<zucht>
Dit is schoolvoorbeeld van hoe het dus NIET moet. Meneer Vink heeft persoonlijk niets te verbergen zeker. Dit interview is een grote FAIL voor Kingston.
D.B.
Vink:Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn.
Lees: ja,ja.....
The secret to strong security: less reliance on secrets.
Persoonlijk noem ik dat misleiding, Kingstong pretendeerd gecertificeerd te zijn maar vergeet erbij te melden dat dit alleen om de sleutels en versleuteling gaat. Alles wat er verder bijkomt kijken zoals de behuizing en de software die toegang geeft tot de versleutelde data is niet gecertificeerd.
Ook vind ik het kinderachtig om te vertellen dat de fout op een diep niveau in de firmware zat.
Lees het rapport en concludeer zelf dat het kinderlijk eenvoudig was om deze te hacken:
http://www.syss.de/fileadmin/ressources/040_veroeffentlichungen/dokumente/SySS_Cracks_Kingston_USB_Flash_Drive.pdf
Kortom, laat security over aan de echte specialisten. Als je voor certificeringen gaat ga dan voor het gehele pakket en niet een subset. het allerergste vind ik de schijnveiligheid die Kingston levert aan vele klanten.
Truecrypt FTW.
* De fout zat niet DIEP in de firmware maar was snel te hacken.
* Het probleem van de autorun bij een andere partij leggen... ?? hoezo bizar
* HW matige Encrypty van USB sticks met hogere capaciteiten is op dit moment technisch ONMOGELIJK. Ik zal het technische verhaal besparen.
Ik heb mijn IronKey. Niet te hacken HW encryptie. Autorun beveiliging.. en geen praatjes over technisch onmogelijke hoge gigabytes op een stick.....
Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn
Dit is nu precies de reden waarom je als beveiligingsexpert deze apparaat niet wil gebruiken.
en wat betreft de FIPS wil ik de state of capatibility wel eens zien. zoals n mijn voorganger al schrijft zal het wel een kleine gedeelte zijn wat gecertificeerd is en ben ik het er mee eens dat er schijnveiligheid wordt verkocht.....
Weer een bedrijf dat ik nooit meer kan vertrouwen :(
@ Mr. Vink, ooit gehoord van kerckhoffs principe?
Heheh + 1 ;)
Vink:Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn.
De meerwaarde van deze stokjes is dat het makkelijker is voor de normale gebruiker om encryptie toe te passen op een stickje. Maar versleuteling is op meer manieren af te dwingen (bitlocker + policy: http://www.windowsnetworking.com/articles_tutorials/Using-BitLocker-Encrypt-Removable-Media-Part1.html, deze policy kan ook via zenworks uitgedeeld worden) Bitlocker is niet 100%, maar wel véél beter dan geen encryptie.
Verder bestaan er endpoint security tools waaronder "zenworks endpoint security management" die dit ook kunnen afdwingen
http://www.novell.com/documentation/zesm41/zesm_admin/?page=/documentation/zesm41/zesm_admin/data/bnj4sa4.html en Symantec endpoint encryption: http://www.symantec.com/business/products/multimedia.jsp?pcid=2241&pvid=endpt_encryption_1. Ik weet niet welke encryptie met deze pakketten afgedwongen wordt.
de opmerking over autorun is grappig... als je dat uitschakelt snapt 90% van de users niet meer hoe ze hun kingston stikje moeten openen.... de opmerking over iso9001 is nog leuker, dit zegt alleen dat hun productiecentra hun processen hebben beschreven, maar niets (helemaal niets) over het voorkomen van virussen op het eindprodukt.
moraal van mijn betoog: er zijn meer wegen die naar Rome leiden. Kingston zegt er één van te zijn, maar ik vraag me af of je in Rome uitkomt.
(1) het is zeer ongewenst dat je producten, die iets met jouw data doen, niet zou kunnen controleren op hun werking en bijwerkingen. Met name voor producten die beloven jouw data te beschremen is dat essentieel.
(2) de anti-malware industrie zou dan nog veel slechter presenteren dan ze nu al doen.
Een nadeel van het feit dat reverse engineering van software altijd mogelijk is, is dat intelectual property daarmee dus nauwelijks (in elk geval heel slecht) kan worden beschermd. Daar zul je dus andere methoden voor moeten bedenken (juridisch bijvoorbeeld, maar da's helemaal off topic).
Inderdaad, er wordt door meerdere fabrikanten geadverteerd met een FIPS 140-2 approval, maar "vergeten" er bij te vertellen dat de NIST alleen de cryptografie test en beoordeelt. Vaak zijn dit standaard AES-implementaties en dat zit over het algemeen wel goed. Veel belangrijker, en dat blijkt telkenmale, is dat het gehele product geëvalueerd dient te worden. Daarom vind ik ook een Common Criteria evaluatie vaak veel meer zeggen dan de FIPS. Bij een CC evaluatie zijn echter wel het Protection Profile (PP) en de Security Target (ST) interessant om te lezen. In het PP staat aan welke eisen en criteria het beveiligingsproduct dient te voldoen en in het ST staat hoe de fabrikant denk dat zijn product hier aan voldoet. In een adequaat PP (vaak opgesteld door een testlab) staat uiteraard veel meer dan de encryptie, namelijk ook de software, hoe de fabrikant zijn product test, een kwetsbaarheidsonderzoek (vulnerability analysis), kwaliteit en diepgang van de ontwerpdocumentatie etc.
Voor de huis-tuin-en-keuken gebruiker voldoet, zoals Bernd al stelt, een standaard USB-stick met een encryptie programma als TrueCrypt en is vele malen goedkoper dan een product met hardwarematige encryptie aan boord. Maar dat zal je al die fabrikanten en resellers nooit horen zeggen.
Voor degene die een luxe uitvoering van Microsoft Vista of Windos 7 hebben is BitLocker en BitLocker-to-go natuurlijk ook een uitstekende optie. Dat hoor je alleen Microsoft natuurlijk maar roepen!!!
Have fun ;-)
Zelfs voor mij niet,ik weet wel heel veel over computers,maar hacken gaat mij tever.
Truecrypt is dus ook te hacken,al is het een stuk moeilijker dat te doen dan andere coderingstechnieken.
Zelfs voor mij niet,ik weet wel heel veel over computers,maar hacken gaat mij tever.
Truecrypt is dus ook te hacken,al is het een stuk moeilijker dat te doen dan andere coderingstechnieken.
Dit moet toch wel de sterkste reactie zijn die ik vandaag heb gelezen. *rolt ogen*
Zelfs voor mij niet,ik weet wel heel veel over computers,maar hacken gaat mij tever.
Truecrypt is dus ook te hacken,al is het een stuk moeilijker dat te doen dan andere coderingstechnieken.
Dus... "Ja, natuurlijk kan dat. Nee, ik weet niet hoe het werkt, en ik kan het niet bewijzen, want ik heb er geen verstand van, en ook geen zin in."
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
