Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Hardware » Opslag » Kingston roept 'beveiligde' usb-sticks terug

Kingston roept 'beveiligde' usb-sticks terug

Door Dimitri Reijerman, donderdag 31 december 2009 16:26, views: 23.209

Kingston heeft op zijn website een waarschuwing geplaatst met de melding dat de beveiliging van enkele van zijn versleutelde usb-sticks ondeugdelijk zou zijn. De fabrikant roept bezitters van de sticks op om deze terug te sturen.

Volgens de fabrikant kunnen deskundigen met de juiste gereedschappen en directe toegang tot de hardware 'mogelijk' toegang verkrijgen tot de data op een aantal als veilig bestempelde usb-sticks. Details over de kwetsbaarheid geeft Kingston niet, maar het probleem zou zich voordoen bij de Kingston DataTraveler BlackBox, DataTraveler Secure Privacy Edition en DataTraveler Elite Privacy Edition.

Bezitters van de betreffende usb-sticks wordt aangeraden om data van de sticks te halen en ze terug te sturen naar Kingston voor een 'fabrieksupdate'. De fabrikant benadrukt verder dat een zestal andere secure usb-drives niet gevoelig zouden zijn voor het onbevoegd uitlezen van data. Toch kan de terugroepactie als pijnlijk bestempeld worden, want Kingston prijst een aantal sticks juist aan bij bedrijven en overheidsinstanties vanwege de hardwarematige encryptie op de sticks. Zo zou voor de BlackBox-sticks 256bit aes-encryptie toegepast worden.

Volgende 17:31 Rechter VS wijst gehoorschadeclaim iPod af
Vorige 15:46 A-data bouwt ssd met usb 3.0- en sata-300-interface
Advertentie

Categorieën

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 48 reacties zichtbaar480 Off-topic / Irrelevant: 47 reacties zichtbaar47+1 On-topic: 34 reacties zichtbaar34+2 Informatief: 0 reacties zichtbaar0+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door duke_online, donderdag 31 december 2009 16:28

Score: 0
Dat is natuurlijk wel "erg veilig" zodat je zelf niet meer bij je spullen kunt komen. Probleem is altijd de juiste mensen weten te bereiken.

Door wildhagen, donderdag 31 december 2009 16:30

Score: 1
Jijzelf kunt uiteraard wel bij die data die erop staat, maar anderen kunnen dat kennelijk ook, en dát is dus niet de bedoeling.

Wel stom dat ze de kwetsbaarheid niet openbaar maken. Dit is gewoon 'security by obscurity' en we weten allemaal dat dat gewoon niet werkt.

Door OhMyGod, donderdag 31 december 2009 16:44

Score: 1
Wel stom dat ze de kwetsbaarheid niet openbaar maken. Dit is gewoon 'security by obscurity' en we weten allemaal dat dat gewoon niet werkt.
Dit is helemaal geen 'security by obscurity'. Dat was het pas geweest als ze geen terughaal actie hadden uitgevoerd en hun mond hadden dicht gehouden. Kingston erkend het probleem en gaat er wat aan doen.

Door TigerXtrm, donderdag 31 december 2009 16:56

Score: 1
Ja ze gaan ff uitleggen hoe je de beveiliging kraakt :'). Deden ze vroeger ook bij PHPBB, de glitchen en hacks openbaar maken voor ze gefixt waren. Hoe dom ben je dan?

Door thekip, donderdag 31 december 2009 17:11

Score: 1
Toch is dat geen aparte manier van handelen hoor. MS patcht sommige gaten ook pas op het moment dat er exploits in het wild zijn verschenen.

Handig is anders natuurlijk en zeker bij dit soort producten kun je dat niet hebben want dit soort dingen zijn 99% marketing en dan kun je dit net ff niet hebben :).

Door Audio-Lover, donderdag 31 december 2009 17:34

Score: 1
om het te vergelijken met deze usb-sticks,

MS-product met lek,
third party publiceert lek
MS update...

Kingston-product met lek,
Kingston vind ZELF een lek,
en update dus hun product...

Verder vind k t netjes hoe t opgelost word.

Door Toff, donderdag 31 december 2009 21:16

Score: 1
Als je de link in het artikel volgt, is ongeveer de eerste zin van Kingston: "It has recently been brought to our attention", wat ik zou vertalen als: "Het is onlangs onder onze aandacht gebracht". Dat impliceert ook bij Kingston een "derde" die het lek heeft gevonden.
Jouw vergelijkingsballonnetje is dus lek. ;)

Ik vind het overigens belangrijker dat een lek wordt gedicht dan wie het ontdekt.
Aan de andere kant (die van MS) blijft het steeds een afweging wat wel en niet gepatched moet worden en hoe snel. Iedere patch moet tijdrovend getest worden en introduceert desondanks mogelijk weer nieuwe lekken of foutjes.

Door JollyRoger, zaterdag 2 januari 2010 10:35

Score: 0
Dat hoeft niet te betekenen dat ze er door een buitenstaander van op de hoogte zijn gebracht. Het kan ook zijn dat een van hun eigen medewerkers hen ervan op de hoogte heeft gebracht (dus dat de woordvoerder het niet zelf ontdekt heeft), en volgens mij eventueel zelfs als "we zijn er onlangs op gaan letten" alhoewel dat wel enigszins een vrije vertaling is... maar engelse zinnen met een passive zijn vaak een beetje dubbelzinnig als je ze wil vertalen.

Door tonkie67, vrijdag 1 januari 2010 04:49

Score: 1
MS patch heel regelmatig lekken die nog niet in het wild verschenen zijn - maar als de lek nog niet is gepubliceerd hoe die werkt doet MS het ook niet, ook al brengen ze de patch uit.
Niet iedereen patch altijd -en al helemaal niet direct- door het lek NIET te publiceren geven ze de late patchers wat meer tijd en een kleinere kans dat het lek misbruikt wordt voordat late patchers de patch doorvoeren. (Zeker bij grote organisaties moeten alle updates, dus ook de maandelijkse tuesday patches van MS) eerst intern getest worden.
En wat win je ermee om te publiceren? Fout zou pas zijn wel weten dat er een lek is maar niets doen!
Als je de video-boodschappen nav de Tuesday Patchday van MS volgt zie je voldoende voorbeelden hiervan.

(en voor MS kan je elke softwareboer lezen, maar MS heeft nu eenmaal een redelijk grote installed base. En ik bedoel met deze post ook niet specifiek MS te verdedigen, al werk ik wel op de support-afdeling van dat bedrijf: ook als Apple of andere OS en apps-boeren security patches op die manier uitbrengen zonder het lek uitgebreid te gaan beschrijven steun ik dat: wat is het nut van nog onbekende lekken te publiceren?) MSsupport-Dublin-IE

http://www.microsoft.com/...ty/bulletin/MS09-dec.mspx : als je je registreert kan je de webcast maandelijks live volgen op de dag na Patch Tuesday: erg interessant voor wat achtergrond, al geeft het weinig meer info dan de security bulletins zelf, maar het verteert wat makkelijker dan de droge tekst alleen

[Reactie gewijzigd door tonkie67 op vrijdag 1 januari 2010 04:59]

Door RedLizard, zondag 3 januari 2010 01:28

Score: 0
MS patch heel regelmatig lekken die nog niet in het wild verschenen zijn
Ongetwijfeld - maar Microsoft heeft bovendien een reputatie (of die terecht is weet ik niet) om veel lekken die onder hun aandacht gebracht worden volkomen te negeren totdat er een publieke exploit voor is, wat de door jou beschreven goede acties volledig teniet doet. Zoals je zelf al zegt, "Fout zou pas zijn wel weten dat er een lek is maar niets doen!".

Door VVVJeroen, donderdag 31 december 2009 21:20

Score: 1
Bij MS is het overigens ook niet helemaal eerlijk (goed is het wel, maar je moet je daarbij wel iets bedenken..) om te zeggen dat ze pas patchen als de exploits in het wild zijn verschenen. Dit hoeft namelijk niet te betekenen dat MS deze exploit niet kent. Als alleen MS de exploit kent dan heb je inderdaad security by obscurity. Probleem is echter: als je een patch uitbrengt is de exploit bekend en kómen er exploits op de markt er is immers een gigantische groep MS machines die onbeveiligd aan het net zitten...
Maargoed, exploits zijn bij een groot stuk code moeilijk te voorkomen...

Door wootah, donderdag 31 december 2009 16:29

Score: 1
en dan denk je dat je veilig zit met een "DataTraveler Elite Privacy Edition" :P
is inderdaad nogal pijnlijk.

Door TimmeyNL, donderdag 31 december 2009 16:33

Score: 1
Je zit volgens mij ook aardig veilig, aangezien de data mogelijk met directe hardware-toegang verkregen kan worden. Dus niet met een of ander tooltje. Naturlijk niet bulletproof, maar dat mag je van mij aardig veilig noemen :)

Door wootah, donderdag 31 december 2009 16:38

Score: 1
Nah ik heb er zelf geen, wel een cruzer micro.
Maar of dat helemaal hardwarematig gaat weet ik niet.
Ik doe zoiezo altijd alles encrypten met true-crypt :p

Door Olaf van der Spek, donderdag 31 december 2009 16:39

Score: 1
Dus niet met een of ander tooltje. Naturlijk niet bulletproof, maar dat mag je van mij aardig veilig noemen
Van mij niet. Dat soort beveiliging is speelgoed. Het gebruik van degelijke encryptie is simpel genoeg om dit af te doen als een grote blunder van Kingston...

Door tonkie67, vrijdag 1 januari 2010 05:04

Score: 1
Hoezo GROTE blunder: er is een kans dat als iemand fysiek toegang heeft tot je hardware mogelijk de data zou kunnen achterhalen: inderdaad fout dus en daarom terugroepen.
Lijkt me een juiste actie, heel wat beter dan GM die wist dat hun trucks rijdende bommem waren en ze toen niet terugriepen en alles angstvallig stil hielden: dat is een GROTE blunder.
Dit is verantwoordelijkheid nemen: voordat er ook maar iemand eea heeft kunnen bewijzen/laten zien slikt Kingston reputatie-schade. Voor mij winnen ze punten.
Bovendien: zolang er bij veiligheidsdiensten/defensie/banken etc gewonen huis-tuin-en keuken sticks gebruikt blijven worden en vervolgens in taxis blijven liggen......
(of bij veiligheidsdiensten: lekker je data niet delen met andere diensten van je eigen land zodat gevaarlijke lui gewoon naar Detroit kunnen vliegen hoeven we nog niet zo bang te zijn voor misbruik van gekraakte Kingston USB sticks)

Door Jeroen, zaterdag 2 januari 2010 09:41

Score: 1
Natuurlijk is dat 'mogelijk' een enorme understatement, als het kan dan kan het. Kingston wil het natuurlijk niet zo erg doen klinken, dit is immers door hunzelf geschreven. Als het mogelijk is, dan kan het ook worden geautomatiseerd, dus een kwaadwillende met jouw usb stick kan gewoon een tooltje runnen op zijn laptop en al jouw bestanden kopieren.

En dat 'met directe toegang tot de hardware' wil gewoon zeggen dat de persoon de usb-stick heeft, nogal een redundante opmerking lijkt me (het is onvoorstelbaar dat door een ontwerpfout bestanden van jouw usb stick over het internet beschikbaar zijn bijvoorbeeld). Het komt er gewoon op neer dat de hele beveiligingsfunctie van de usb stick faalt.

Door kimborntobewild, donderdag 31 december 2009 21:17

Score: 1
Je zit volgens mij ook aardig veilig, aangezien de data mogelijk met directe hardware-toegang verkregen kan worden. Dus niet met een of ander tooltje. Naturlijk niet bulletproof, maar dat mag je van mij aardig veilig noemen :)
't Feit dat ze de terugroepactie gedaan hebben, zegt al genoeg - nl. dat 't niet veilig genoeg is.

Door tonkie67, vrijdag 1 januari 2010 05:05

Score: 1
of het laat zien dat ze verantwoordelijkheid nemen, en de reputatieschade op korte termijn laten opwegen tegen betrouwbaar gevonden worden op lange termijn.
Goede actie van Kingston.

Door LordMike, vrijdag 1 januari 2010 14:25

Score: 1
Kennelijk vind het bedrijf dat de klanten meer beveiliging moeten krijgen dan ze eerst hadden ! welk ik zeer positief vind, je kan ook gewoon een update geven, blijkbaar moeten ze echt iets aanpassen aan het apperaat om dit te realiseren.

[Reactie gewijzigd door LordMike op vrijdag 1 januari 2010 14:25]

Door M2M, donderdag 31 december 2009 16:36

Score: 1
was er niet op tweakers.net ook zo'n artikel over de beveiliging van "veilige" sticks, waar de meeste eigenlijk te kraken waren? Eens even zoeken ;)

edit: link
link

Nu maar hopen dat met een nieuwe firmware, ze toch iets beter beveiligd zijn...

[Reactie gewijzigd door M2M op donderdag 31 december 2009 16:40]

Door duke_online, donderdag 31 december 2009 16:42

Score: 1
Ben wel benieuwd waar de fout nu echt zit, er zit een kleine, niet-verwijderbare partitie op de stick speciaal voor de encryptiesoftware, die werkt met een 128-bit AES-sleutel. Als het probleem de toegang tot de encryptie bevat zijn er veel meer problemen te verwachten. Ik vermoed echter dat het lek in de speciale partitie zit die waarschijnlijk via force te omzeilen valt.

Door BeF-Bacchus, donderdag 31 december 2009 17:14

Score: 1
Ik heb ook bijzonder veel verhalen gehoord (ik heb een bron, die krijg je niet) over "extra" beveiligde sticks van Kingston: zonder enige aanleiding pijpen die de geest van Maarten. Ik heb er hier ook ergens een liggen, die gebruik ik dus voor allesbehalve gevoelige data en dan nog in het onbeveiligde deel.

Door Shatter, donderdag 31 december 2009 17:16

Score: 1
Waarom zou je een dure, foutgevoelige hardware oplossing kiezen, als je veel betere beveiliging ook softwarematig kunt krijgen. TrueCrypt is bijvoorbeeld gratis, open source en cross-platform te gebruiken, met iedere gegevensdrager die beschikbaar is. Van dit soort sticks is bekend dat velen met een schroevedraaier en flash lezer te "kraken" zijn.

Door Oeroeg, donderdag 31 december 2009 17:43

Score: 1
Dat is lekker, moet je je stick met privédata terugsturen.
Ze hadden better een file shredder mee kunnen leveren.

Door ILUsion, donderdag 31 december 2009 18:03

Score: 1
Bezitters van de betreffende usb-sticks wordt aangeraden om data van de sticks te halen en ze terug te sturen naar Kingston
Ik mag hopen dat mensen die dergelijke sticks kopen en nodig hebben, tenminste zelf op de hoogte zijn van het nut van een file shredder.

Door veldmuis, vrijdag 1 januari 2010 19:28

Score: 1
Dat betwijfel ik ten zeerste. Dit zijn mooie dingen voor Jan met de pet, die z'n wachtwoorden en creditcardgegevens veilig op een usb-stick zet: relatief goedkope apparaten die veilig zijn, waren, lijken, etc.

Mensen die hun data écht veilig willen opslaan kopen toch geen 'Kingston usb-stickje van een paar tientjes'?

Door un1ty, donderdag 31 december 2009 18:02

Score: 1
Leuk, kan defensie weer al hun USB-sticks terugsturen... dat zijn er een stuk of 500?
beste rot klus, al die sticks backup'en en dan nog weer opsturen.
scheelt dat op de meesten geen kwetsbare data staat!

Door High-Voltage2, vrijdag 1 januari 2010 13:49

Score: 1
Back-uppen?? Als je een stick moet back-uppen ben je toch verkeerd bezig... Een stick hoort hooguit een kopie te bevatten voor mobiele doeleinden, maar zeker geen exclusieve bestanden.
En liefst van alles wordt er geen stick gebruikt, het merendeel van de mensen weet immers niet hoe ze hiermee moeten omgaan. Ze krijgen problemen met verschillende versies, foto's/bestanden op sticks die kwijt raken etc etc...

Door allard_dijk, vrijdag 1 januari 2010 21:34

Score: 1
Mijn beveiligde Defensie stick staat in het rijtje van NOT-AFFECTED.
Zie hier: http://www.kingston.com/driveupdate/
Dus kijken even hier of jou stick hier ook tussen staat.

Door Firestormer, donderdag 31 december 2009 18:21

Score: 1
Als de fabrikanten meer openheid geven over de beveiliging
dan kunnen ze dit soort terugroepacties in de toekomst voorkomen.

ik kan hier nergens lezen wat deze "upgrade" inhoudt

Door Mavamaarten, donderdag 31 december 2009 19:08

Score: 1
Pff, als je je data er safe op wilt hebben, kan je tog gewoon je data versleutelen met een encryptieprogramma zoals TrueCrypt :?

Door _Thanatos_, donderdag 31 december 2009 23:14

Score: 1
Dat klopt, maar daarmee heb je nog geen transparante hardware-versleuteling. Daarnaast is er met TrueCrypt natuurlijk ook geen self-destruct mogelijk, behalve hooguit de data zelf onklaar maken (geen id eigenlijk of TC zo'n functie kent). Ook niet onbelangrijk: een kwaadwillend persoon kan uit nijd nog steeds de gegevens (lees: de TC-container) van je stick wegflikkeren. Bij een hardware-beveiligde stick kan dat ook niet.

[Reactie gewijzigd door _Thanatos_ op donderdag 31 december 2009 23:16]

Door Stropdas, zaterdag 2 januari 2010 10:31

Score: 0
Meneer kwaadwillend persoon heeft meestal de stick in zijn eigendom. Hoe vaak zal hij je uberbeveiligde USBstick teruggeven zonder er iets mee te doen omdat de container niet weggegooit kan worden? Dan is TC toch een voordeligere optie voor de meeste mensen

Door _Thanatos_, maandag 4 januari 2010 14:12

Score: 0
Dat laatste daar heb je gelijk in. Maar stel je voor dat je op je werk bent en je gaat lunchen terwijl je USB-stick nog in je poortje gestoken zit? Juist, het is voor een collega die jou niet mag een kleine moeite om em eventjes in zijn eigen pc te steken en wat te rommelen. Om vervolgens de stick weer terug in jouw pc te steken voordat je klaar bent met lunchen.

Ja. Helaas. Dat gebeurt echt.

[Reactie gewijzigd door _Thanatos_ op maandag 4 januari 2010 14:13]

«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:31 Rechter VS wijst gehoorschadeclaim iPod af
Vorige 15:46 A-data bouwt ssd met usb 3.0- en sata-300-interface
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011