Onderzoeker kraakt "niet te hacken" biometrische usb-stick
Een usb-stick die via een irisscan te ontgrendelen is kan volgens de fabrikant "niet worden gehackt", maar het apparaat is zo onveilig dat de distributie moet worden gestopt en klanten gewaarschuwd. Dat stelt beveiligingsonderzoeker David Lodge van securitybedrijf Pen Test Partners.
Het gaat om de eyeDisk, een usb-stick met ingebouwde camera. Met de camera wordt een scan van de iris gemaakt. Vervolgens is het mogelijk om via een irisscan toegang tot de versleutelde data op de eyeDisk te krijgen. "Je oog is je wachtwoord", aldus de fabrikant. Gebruikers hebben daarnaast de optie om ook nog een wachtwoord in te stellen dat naast de scan moet worden opgegeven.
Via Kickstarter wist het project 21.000 dollar op te halen. Meer dan de 10.000 dollar die als doel was gesteld. Lodge besloot de hardware van de usb-stick te onderzoeken, alsmede het verkeer dat de datadrager genereert. Het apparaat blijkt het wachtwoord voor het ontgrendelen van de opgeslagen data onversleuteld te versturen. Tot zijn grote verbazing zag de onderzoeker dat de data ook bij het versturen van een verkeerd wachtwoord wordt ontgrendeld.
"De software verzamelt eerst het wachtwoord, controleert dan het door de gebruiker ingevoerde wachtwoord VOORDAT het ontgrendelwachtwoord wordt verstuurd, Dit is een slechte aanpak gezien de claim dat het apparaat niet te hacken is en ondermijnt de veiligheid van het apparaat", aldus Lodge. De iris/wachtwoord van de gebruiker zijn eenvoudig te verkrijgen door het usb-verkeer te sniffen, merkt hij verder op.
De onderzoeker waarschuwde de fabrikant op 4 april van dit jaar. Op 9 april kreeg Lodge bericht dat het probleem zou worden verholpen. Dezelfde dag vroeg Lodge wanneer de oplossing beschikbaar komt, klanten worden ingelicht en de distributie vanwege het beveiligingsprobleem wordt gestopt. De fabrikant reageerde niet meer, waarop Lodge de details openbaar heeft gemaakt.
Tja, kickstarter... of het is een clubje wat bestaande china-meuk probeer te verkopen als iets wat ze zelf 'ontworpen' hebben, of ze ploffen omdat de creator er met het toch wel vele geld vandoor gaat of soms lukt het...
Ben wel blij met mijn bluetooth speaker en remlicht voor mijn helm.
achteraf sloef dat ook nergens op, want ik had beter dat geld kunnen spenderen aan een goedkoop chinees usb stickje, en de rest kunnen investeren in een krat bier
Maar het belooft niet veel goeds dat het wachtwoord door de usb-stick in plain tekst over usb wordt verstuurd,
en de inherent onveilige md5 hashfunctie lijkt te zijn gebruikt voor de iris-informatie.
achteraf sloef dat ook nergens op, want ik had beter dat geld kunnen spenderen aan een goedkoop chinees usb stickje, en de rest kunnen investeren in een krat bier
Hoezo? Als het de echte IronKey is dan is deze door de AIVD goedgekeurd voor gebruik tot departementaal vertrouwelijk. Best wel prima stickie. Wel daardoor erg duur.
Waar trek je de grens, een onveilig OS, een onveilig knuffeltje, onveilige seks?
Die hebben lol in usb sticks hacken die "veilig" zouden zijn.
Ik wel.
Mijn vrouw en ik hebben in totaal enkele tientallen projecten gesteund. Daarvan hebben 2 projecten niets opgeleverd. Eentje (Duits, niet Chinees) werd tegengewerkt door de grote, gevestigde bedrijven. Een ander project leverde een product dat niet voldeed aan mijn verwachtingen. Dat is nog altijd beter dan bij een gemiddelde, kleine webshop.
Maar net als bij een webshop, moet je natuurlijk wel slim investeren. Ook op Kickstarter geldt "if it's to good to be true, it probably isn't."
Peter
Peter
Je spreekt jezelf tegen. Als je dan leentjebuur bij een andere taal doet, zoek dan minstens de grammaticale constructie op... Nederland verkwanselt niet alleen het Nederlands maar vervangt het te pas en te onpas met fout buitenlands.
"Geupdated" is daar ook zo'n prachtig voorbeeld van... Om te k*****!!
Peter
Je spreekt jezelf tegen. Als je dan leentjebuur bij een andere taal doet, zoek dan minstens de grammaticale constructie op... Nederland verkwanselt niet alleen het Nederlands maar vervangt het te pas en te onpas met fout buitenlands.
"Geupdated" is daar ook zo'n prachtig voorbeeld van... Om te k*****!!
GeupdateT, leenwoorden in voltooide tijd vervoeg je altijd met een t ;)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
