image

Kingston: TrueCrypt niet goed genoeg voor USB-stick

vrijdag 28 mei 2010, 15:50 door Redactie, 18 reacties

Vorig jaar werden versleutelde USB-sticks van Kingston gekraakt, Security.nl vroeg de geheugenfabrikant wat de waarde van gecertificeerde USB-sticks is en waarom het bijvoorbeeld geen TrueCrypt meelevert. Ook vroegen wij Erik Vink, business development manager voor Nederland bij Kingston, wat de wildgroei van USB-sticks voor gevolgen bij bedrijven heeft, wat we van USB 3.0 kunnen verwachten en of uiteindelijk de USB-stick niet hetzelfde lot ondergaat als de floppy en diskette.

Eind vorig jaar werden gecertificeerde versleutelde USB-sticks van Kingston teruggeroepen omdat ze te kraken waren. Toont dit niet aan dat het certificeren van USB-sticks een wassen neus is?
Vink: Het encryptie certificaat hangt samen met de FIPS-norm en is nog steeds een uiterst betrouwbare vorm van certificering. Wat eind vorig jaar ontdekt is, is een fout in het verwerken van de wachtwoorden op een diep niveau binnen de beveiligde firmware van de USB. Dit heeft invloed gehad op een aantal fabrikanten.

Hoe reageerden jullie op dit incident?
Vink: We reageerden erg snel door samen te werken met de leverancier van de geïnfecteerde software en hardware en met het bedrijf dat de fout heeft gevonden. Toen we op de hoogte waren van de fout en erachter was welke USB’s geïnfecteerd waren, zijn we begonnen met het gratis omwisselen van de geïnfecteerde USB’s voor schone USB’s met een verbeterde technologie.

Waarom leveren jullie niet standaard een programma als TrueCrypt met de USB-sticks mee?
Vink: We werken met een aantal partijen samen om zo veilig mogelijke USB-oplossingen te leveren. Onlangs zijn we een samenwerking aangegaan met SPYRUS. We zijn ervan overtuigd dat zij op dit moment de beste beveiligingsoplossing bieden. Deze oplossing hebben wij ook toegepast op onze nieuwste beveiligde USB, de Kingston DataTraveler 5000.

Wat is de meerwaarde van de oplossingen die jullie op USB-sticks aanbrengen in verhouding tot bijvoorbeeld TrueCrypt?
Vink: Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn. We bieden een USB die volledig hardware encrypted is en processors en controllers bevat die dit ondersteunen. Hierdoor liggen de overdrachtssnelheden erg hoog. Ook zorgen zij ervoor dat de encryptie van de gegevens en de authentificatie processen op de USB zelf worden uitgevoerd. Hierdoor hoeft er niet met software of applicaties op de computer gecommuniceerd te worden.

Is het de verantwoordelijkheid van een fabrikant om "veilige" USB-sticks te leveren, of luisteren jullie alleen wat de markt wil?
Vink: We bieden een reeks aan USB’s die ontworpen zijn voor verschillende behoeften van de consument. Dit gaat van standaard, onbeschermde USB-sticks voor dagelijks gebruik tot zwaar beveiligde USB’s die voor de zakelijke gebruiker zijn ontworpen.

Inmiddels vindt er bij bedrijven een wildgroei aan USB-sticks en wachtwoorden plaats. Hoe is dit in goede banen te leiden?
Vink: Gebruiksvoorschriften schrijven voor dat een bedrijf zou moeten investeren in port management software om zo controle te houden op de stroom van gegevens op de computers van de gebruikers. Daarnaast moeten zij investeren in beveiligde USB’s.

Aan de andere kant zien we bedrijven die het gebruik van USB-sticks verbieden. Iets waar jullie het vast niet mee eens zijn, maar welke goede reden kun je bedrijven geven om ze toch te blijven gebruiken?
Vink: Zoals ook bij het vorige antwoord aangegeven moeten bedrijven ervoor zorgen dat wanneer zij belangrijke data willen overbrengen dit op een veilige manier gebeurt. Het verbieden van USB’s is geen oplossing, bedrijven moeten een meer gestructureerde en gecontroleerde aanpak kiezen.

Naast het rondslingeren van USB-sticks, hebben deze datadragers ook een slechte naam gekregen door de AutoRun feature van Windows. Hoe kijken jullie tegen AutoRun aan en hebben jullie Microsoft nooit gevraagd dit uit te schakelen?
Vink: Ook dit komt neer op gebruiksvoorschriften. Gebruikers moeten ervoor zorgen dat zij een anti-virus programma of vergelijkbare software gebruiken dat apparaten scant die op de computer worden aangesloten. Wanneer je geen bescherming op je computer hebt en een USB de schuld geeft, is dat hetzelfde als wanneer je surft zonder firewall of spyware-bescherming en het internet de schuld geeft van een virus. Het is een feit dat virussen en schadelijke software bestaan, maar het zijn niet alleen USB’s die dit met zich meedragen.

Wat staat ons in de toekomst nog op het gebied van USB-sticks te wachten? We hebben inmiddels al sticks met biometrische beveiliging en allerlei andere toeters en bellen op de markt. Is er nog wel vernieuwing mogelijk?
Vink: Ja dat is er zeker. Zelfs de meest uitgebreide beveiligingsstandaarden zullen in de toekomst verouderd zijn. Sterkere en meer geavanceerde toepassingen worden continue getest en ontwikkeld.

Welk effect zal de USB 3.0 standaard op USB-sticks hebben en zal de USB-stick niet hetzelfde lot als de floppy en diskette ondergaan?
Vink: Deze nieuwe standaard zal een grotere bandbreedte bieden en daarmee hogere snelheden voor USB’s. De interface van USB 3.0 kan een maximale bandbreedte van 4,8Gb/s aan waar dit bij USB 2.0 maar 480MB/s is. Deze hogere snelheid voor het overzetten van data is met name belangrijk voor USB’s met een grotere capaciteit, zoals de 128GB en 256GB. Naar alle waarschijnlijkheid zal USB 3.0 de vraag naar USB’s met deze hoge capaciteiten ook vergroten.

Regelmatig verschijnen er berichten in de media over besmette apparatuur die bij de fabrikant vandaan komt. Hoe zorgen jullie dat USB-sticks "schoon" blijven?
Vink: We houden de processen continue en zeer stringent in de gaten om ervoor te zorgen dat zijn producten van de hoogste kwaliteit zijn. Het leveren van ‘schone’ (niet geïnfecteerde) producten is één van de onderdelen van ons kwaliteitsprogramma. Ook zijn al onze wereldwijde productie centra ISO 9001 gecertificeerd.

Welke USB-sticks gebruik je zelf?
Vink: Op dit moment gebruik ik twee verschillende USB-sticks. Een standaard DataTraveler C10 zonder beveiliging die ik gebruik voor mijn dagelijkse, persoonlijke bestanden en gegevens, en een DataTraveler 5000 om bestanden en gegevens op te slaan voor mijn werk.

Reacties (18)
28-05-2010, 16:15 door Anoniem
Wat is de meerwaarde van de oplossingen die jullie op USB-sticks aanbrengen in verhouding tot bijvoorbeeld TrueCrypt?
Vink:Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn.

Lees: ja,ja.....
28-05-2010, 16:21 door Anoniem
Wat is de meerwaarde van de oplossingen die jullie op USB-sticks aanbrengen in verhouding tot bijvoorbeeld TrueCrypt?
Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn

"Security by obscurity"...
Het is in het verleden helaas maar al te vaak aangetoond dat "gesloten" encryptie (waarbij de "protocollen, methodes en algoritmen" niet bekend worden gemaakt) niet deugen en juist kwetsbaar zijn. Alleen wanneer de algoritmen door beveiligingsexperts over de hele wereld kunnen worden gecontroleerd kan de veiligheid hiervan beoordeeld worden.

Van "open" encryptie-methodes kan iedereen controleren of het goed in elkaar zit en of er geen kwetsbaarheden in zitten. Zo lang er goed met de sleutels of wachtwoorden wordt omgegaan, kan de veiligheid dan worden gewaarborgd.

Welke USB-sticks gebruik je zelf?
Een standaard DataTraveler C10 zonder beveiliging die ik gebruik voor mijn dagelijkse, persoonlijke bestanden en gegevens

<zucht>

Dit is schoolvoorbeeld van hoe het dus NIET moet. Meneer Vink heeft persoonlijk niets te verbergen zeker. Dit interview is een grote FAIL voor Kingston.

D.B.
28-05-2010, 16:36 door Bitwiper
Door Anoniem:
Wat is de meerwaarde van de oplossingen die jullie op USB-sticks aanbrengen in verhouding tot bijvoorbeeld TrueCrypt?
Vink:Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn.

Lees: ja,ja.....
Inderdaad. Zoals Whitfield Diffie (mede-uitvinder van public key crypto) in 2003 schreef in http://www.zdnet.com/news/risky-business-keeping-security-a-secret/127072 onder meer:
It's simply unrealistic to depend on secrecy for security in computer software. You may be able to keep the exact workings of the program out of general circulation, but can you prevent the code from being reverse-engineered by serious opponents? Probably not.

The secret to strong security: less reliance on secrets.
28-05-2010, 16:37 door Anoniem
FIPS is zeker een goede graadmeter als het gaat om certificering. Echter Kingston vergeet erbij te vertellen dat niet de gehele USB key gecertificeerd is maar slechts een (klein) gedeelte.

Persoonlijk noem ik dat misleiding, Kingstong pretendeerd gecertificeerd te zijn maar vergeet erbij te melden dat dit alleen om de sleutels en versleuteling gaat. Alles wat er verder bijkomt kijken zoals de behuizing en de software die toegang geeft tot de versleutelde data is niet gecertificeerd.

Ook vind ik het kinderachtig om te vertellen dat de fout op een diep niveau in de firmware zat.
Lees het rapport en concludeer zelf dat het kinderlijk eenvoudig was om deze te hacken:
http://www.syss.de/fileadmin/ressources/040_veroeffentlichungen/dokumente/SySS_Cracks_Kingston_USB_Flash_Drive.pdf

Kortom, laat security over aan de echte specialisten. Als je voor certificeringen gaat ga dan voor het gehele pakket en niet een subset. het allerergste vind ik de schijnveiligheid die Kingston levert aan vele klanten.
28-05-2010, 16:58 door spatieman
FAIL.
Truecrypt FTW.
28-05-2010, 22:07 door Anoniem
De heer Vink lijkt wel een politicus. Een hoop bla bla maar eigenlijk zijn het gewoon onwaarheden wat er verteld wordt.

* De fout zat niet DIEP in de firmware maar was snel te hacken.
* Het probleem van de autorun bij een andere partij leggen... ?? hoezo bizar
* HW matige Encrypty van USB sticks met hogere capaciteiten is op dit moment technisch ONMOGELIJK. Ik zal het technische verhaal besparen.

Ik heb mijn IronKey. Niet te hacken HW encryptie. Autorun beveiliging.. en geen praatjes over technisch onmogelijke hoge gigabytes op een stick.....
28-05-2010, 23:17 door Preddie
Wat is de meerwaarde van de oplossingen die jullie op USB-sticks aanbrengen in verhouding tot bijvoorbeeld TrueCrypt?
Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn

Dit is nu precies de reden waarom je als beveiligingsexpert deze apparaat niet wil gebruiken.

en wat betreft de FIPS wil ik de state of capatibility wel eens zien. zoals n mijn voorganger al schrijft zal het wel een kleine gedeelte zijn wat gecertificeerd is en ben ik het er mee eens dat er schijnveiligheid wordt verkocht.....
28-05-2010, 23:32 door [Account Verwijderd]
[Verwijderd]
29-05-2010, 11:51 door Anoniem
Vink: Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn.

Weer een bedrijf dat ik nooit meer kan vertrouwen :(

@ Mr. Vink, ooit gehoord van kerckhoffs principe?
29-05-2010, 14:22 door Anoniem
Wat is de meerwaarde van de oplossingen die jullie op USB-sticks aanbrengen in verhouding tot bijvoorbeeld TrueCrypt?
Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn.
Laat ik er maar vanuit gaan dat Vink zulke onzin uitkraamt omdat hij simpelweg niet weet waar hij het over heeft. De andere mogelijkheid is dat hij bewust mensen misleidt, maar daar ga ik maar niet vanuit.
29-05-2010, 15:41 door KwukDuck
De heer Vink heeft wel moeite met gewoon antwoorden van een paar simpele vragen, het lijkt wel een politicus.
29-05-2010, 22:31 door Preddie
Door KwukDuck: De heer Vink heeft wel moeite met gewoon antwoorden van een paar simpele vragen, het lijkt wel een politicus.



Heheh + 1 ;)
30-05-2010, 12:09 door bernd
Wat is de meerwaarde van de oplossingen die jullie op USB-sticks aanbrengen in verhouding tot bijvoorbeeld TrueCrypt?
Vink:Dat is een combinatie van unieke beveiligingsprotocollen, authentieke methodes en encryptie algoritmen die niet voor het algemene publiek beschikbaar zijn.
Het is een retorische vraag: Kingston zal nooit melden dat het produkt gelijkwaardig is aan een 5 euro stikje met gratis truecrypt...

De meerwaarde van deze stokjes is dat het makkelijker is voor de normale gebruiker om encryptie toe te passen op een stickje. Maar versleuteling is op meer manieren af te dwingen (bitlocker + policy: http://www.windowsnetworking.com/articles_tutorials/Using-BitLocker-Encrypt-Removable-Media-Part1.html, deze policy kan ook via zenworks uitgedeeld worden) Bitlocker is niet 100%, maar wel véél beter dan geen encryptie.

Verder bestaan er endpoint security tools waaronder "zenworks endpoint security management" die dit ook kunnen afdwingen
http://www.novell.com/documentation/zesm41/zesm_admin/?page=/documentation/zesm41/zesm_admin/data/bnj4sa4.html en Symantec endpoint encryption: http://www.symantec.com/business/products/multimedia.jsp?pcid=2241&pvid=endpt_encryption_1. Ik weet niet welke encryptie met deze pakketten afgedwongen wordt.

de opmerking over autorun is grappig... als je dat uitschakelt snapt 90% van de users niet meer hoe ze hun kingston stikje moeten openen.... de opmerking over iso9001 is nog leuker, dit zegt alleen dat hun productiecentra hun processen hebben beschreven, maar niets (helemaal niets) over het voorkomen van virussen op het eindprodukt.

moraal van mijn betoog: er zijn meer wegen die naar Rome leiden. Kingston zegt er één van te zijn, maar ik vraag me af of je in Rome uitkomt.
30-05-2010, 18:49 door Bitwiper
Door Peter V: Wie vindt een methode uit om reverse enginering te torpoderen?
Niemand. Gelukkig is dat, in elk geval voor software, onmogelijk, om twee redenen:
(1) het is zeer ongewenst dat je producten, die iets met jouw data doen, niet zou kunnen controleren op hun werking en bijwerkingen. Met name voor producten die beloven jouw data te beschremen is dat essentieel.
(2) de anti-malware industrie zou dan nog veel slechter presenteren dan ze nu al doen.

Een nadeel van het feit dat reverse engineering van software altijd mogelijk is, is dat intelectual property daarmee dus nauwelijks (in elk geval heel slecht) kan worden beschermd. Daar zul je dus andere methoden voor moeten bedenken (juridisch bijvoorbeeld, maar da's helemaal off topic).
30-05-2010, 23:36 door cryptomannetje
Door Anoniem: FIPS is zeker een goede graadmeter als het gaat om certificering. Echter Kingston vergeet erbij te vertellen dat niet de gehele USB key gecertificeerd is maar slechts een (klein) gedeelte.

Inderdaad, er wordt door meerdere fabrikanten geadverteerd met een FIPS 140-2 approval, maar "vergeten" er bij te vertellen dat de NIST alleen de cryptografie test en beoordeelt. Vaak zijn dit standaard AES-implementaties en dat zit over het algemeen wel goed. Veel belangrijker, en dat blijkt telkenmale, is dat het gehele product geëvalueerd dient te worden. Daarom vind ik ook een Common Criteria evaluatie vaak veel meer zeggen dan de FIPS. Bij een CC evaluatie zijn echter wel het Protection Profile (PP) en de Security Target (ST) interessant om te lezen. In het PP staat aan welke eisen en criteria het beveiligingsproduct dient te voldoen en in het ST staat hoe de fabrikant denk dat zijn product hier aan voldoet. In een adequaat PP (vaak opgesteld door een testlab) staat uiteraard veel meer dan de encryptie, namelijk ook de software, hoe de fabrikant zijn product test, een kwetsbaarheidsonderzoek (vulnerability analysis), kwaliteit en diepgang van de ontwerpdocumentatie etc.

Voor de huis-tuin-en-keuken gebruiker voldoet, zoals Bernd al stelt, een standaard USB-stick met een encryptie programma als TrueCrypt en is vele malen goedkoper dan een product met hardwarematige encryptie aan boord. Maar dat zal je al die fabrikanten en resellers nooit horen zeggen.
Voor degene die een luxe uitvoering van Microsoft Vista of Windos 7 hebben is BitLocker en BitLocker-to-go natuurlijk ook een uitstekende optie. Dat hoor je alleen Microsoft natuurlijk maar roepen!!!

Have fun ;-)
31-05-2010, 20:28 door Anoniem
Ach alles valt te hacken als je je er maar stevig in verdiept,maar ja dat is niet voor iedereen weggelegd.
Zelfs voor mij niet,ik weet wel heel veel over computers,maar hacken gaat mij tever.
Truecrypt is dus ook te hacken,al is het een stuk moeilijker dat te doen dan andere coderingstechnieken.
06-06-2010, 15:10 door Hertebeast
Door Anoniem: Ach alles valt te hacken als je je er maar stevig in verdiept,maar ja dat is niet voor iedereen weggelegd.
Zelfs voor mij niet,ik weet wel heel veel over computers,maar hacken gaat mij tever.
Truecrypt is dus ook te hacken,al is het een stuk moeilijker dat te doen dan andere coderingstechnieken.


Dit moet toch wel de sterkste reactie zijn die ik vandaag heb gelezen. *rolt ogen*
15-01-2011, 14:44 door Anoniem
Door Anoniem: Ach alles valt te hacken als je je er maar stevig in verdiept,maar ja dat is niet voor iedereen weggelegd.
Zelfs voor mij niet,ik weet wel heel veel over computers,maar hacken gaat mij tever.
Truecrypt is dus ook te hacken,al is het een stuk moeilijker dat te doen dan andere coderingstechnieken.


Dus... "Ja, natuurlijk kan dat. Nee, ik weet niet hoe het werkt, en ik kan het niet bewijzen, want ik heb er geen verstand van, en ook geen zin in."
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.