Nieuws

Partijen krijgen beveiligde USB-stick met Prinsjesdagstukken

vrijdag 12 september 2014, 17:29 door Redactie, 13 reacties

Medewerkers van politieke partijen mochten vandaag in de Tweede Kamer hun beveiligde USB-stick met de Prinsjesdagstukken ophalen. Het blijkt om een Corsair Padlock 2 te gaan, zo laat NOS-verslaggever Michiel Breedveld op Twitter zien. Deze USB-stick is te beveiligen met een pincode op het apparaat zelf.

Pas als de correcte code is ingevoerd worden de bestanden beschikbaar. Om brute force-aanvallen te voorkomen blokkeert de USB-stick zichzelf voor een periode van twee minuten als er vijf verkeerde pincodes worden opgegeven. De Padlock 2 is de opvolger van de Padlock. Deze versie werd in 2008 nog door een Nederlandse tweaker gekraakt.

Of de Padlock 2 ook kwetsbaar voor deze aanval is, is onbekend. In 2010, het jaar dat de Padlock 2 uitkwam, verscheen er een document online met 10 redenen waarom ook de Padlock 2 gekraakt zou worden, bijvoorbeeld door het geheugen los te solderen en de inhoud op een computer te "dumpen" en daar vervolgens te kraken. De conclusie van het document was dat de USB-stick gekraakt kon worden en dat dit uiteindelijk ook zou gebeuren.

Mozilla patcht Firefox wegens verkeerde icoontje bij SSL-sites

Dropbox: meeste overheidsverzoeken voorzien van zwijgbevel

Reacties (13)

12-09-2014, 19:13 door Eric-Jan H te D

Ik zie niet in hoe schermprints kunnen worden voorkomen, tenzij er impliciet wijzigingen in het OS plaatsvinden zoals bijvoorbeeld Sony een keer heeft toegevoegd aan sommige DVD's. U kunt zich de ophef misschien nog wel herinneren.
En dan nog:
- start een VM
- lees de USB-stick in de VM
- maak schermprint op de host

Slechts één voorbeeld van de ongetwijfeld velen.

12-09-2014, 19:59 door Anoniem

Waarschijnlijk genoeg manieren om het te omzeilen. Ik zie het al helemaal voor me dat opa ivo opstelten hiermee aan de slag moet. Die moeten ze eerst nog uitleggen wat een usb stick is.

12-09-2014, 19:59 door [Account Verwijderd] - Bijgewerkt: 12-09-2014, 20:09

[Verwijderd]

12-09-2014, 21:29 door Eric-Jan H te D

Door Anoniem: Waarschijnlijk genoeg manieren om het te omzeilen. Ik zie het al helemaal voor me dat opa ivo opstelten hiermee aan de slag moet. Die moeten ze eerst nog uitleggen wat een usb stick is.

Ben bang dat je hem dan zult aantreffen met zijn broek op de enkels en een spannend AIVD-rapport in de andere hand.

12-09-2014, 21:29 door Anoniem

Echt weer zon denhaag ict ambtenaar oplossing.
De USB stickt lekt niet.
De ambtenaren zelf lekken.

De kranten en rtl krijgen van ambtenaren de informatie. Niet van colaborerende usb sticks die spontaan van auto wisselen.

Probleem van lekken oplossen?
Ambtenaar ontslaan op staande voet. En een crimineek onderzoek.
Geen wachtgeld regeling en nooit meer een baan bij overheid.

12-09-2014, 22:25 door Eric-Jan H te D - Bijgewerkt: 12-09-2014, 22:45

Een ambtenaar
zonder veel haar
dacht met veel misbaar
van achter zijn houten lessenaar
ga ik lekken in het openbaar

13-09-2014, 09:00 door Anoniem

Ehm, het waren 2e kamerleden of het kabinet zelf die lekten, geen ambtenaren. Geen flauwekul verspreiden a.u.b.

13-09-2014, 14:11 door Anoniem

Door Eric-Jan H te A: Een ambtenaar
zonder veel haar
dacht met veel misbaar
van achter zijn houten lessenaar
ga ik lekken in het openbaar

of ga ik pas later lopen zeiken zonder gevaar...

13-09-2014, 15:20 door Eric-Jan H te D

Door Anoniem: Ehm, het waren 2e kamerleden of het kabinet zelf die lekten, geen ambtenaren. Geen flauwekul verspreiden a.u.b.

Waarom? Heeft Markje zelf de stukken zitten typen? Of zijn alle ambtenaren in tegenstelling tot het parlement wel te vertrouwen.

15-09-2014, 08:55 door johanw

Om brute force-aanvallen te voorkomen blokkeert de USB-stick zichzelf voor een periode van twee minuten als er vijf verkeerde pincodes worden opgegeven

Als je dat pincodes intypen geautomatiseerd laat lopen (heb je simpele tools voor die gewoon muisclicks en toetsenbord invoer emuleren) heb je dus 2 minuten nodig per 5 codes. Ik weet niet uit hoeveel cijfers die pincode bestaat, maar zeg dat het er 5 zijn, dan heb je dus 100000 * 2 / 5 = 40000 minuten nodig om ze allemaal af te gaan. Dat is zo'n 28 dagen, voldoende tijd tot de 3e dinsdag van september dus (tenzij je al eerder beethebt). Als het echter maar 4 cijfers zijn ben je binnen 3 dagen al klaar.

15-09-2014, 19:31 door Anoniem

even te zeggen waar dit op slaat:

monky proof = nothing

ook een beveilligde usb is nooit veilig

malware met printscheen's
ram
...
ect. een virusscanner ben je vaak zelf , kijk maar hoe vaak heb jij een virus en hoevaak je digibeet-kennisen

16-09-2014, 09:09 door Anoniem

Proberen ze een keer wat 'goed' te doen, zit weer iedereen te zeiken.

16-09-2014, 17:10 door Anoniem

Dat heet DLP en dat is dus duidelijk niet aanwezig in het Haagse.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer