Hoofdcategorieën

[RSS] Index » Review » Secustick biedt schijnveiligheid » Ten slotte

Secustick biedt schijnveiligheid

Door Peter de Boer, donderdag 12 april 2007 08:57, views: 203.159

Ten slotte

Classified?De beveiliging van de stick is dus zo goed als waardeloos: een eenvoudig programma kan het vrijgavecommando aan de stick sturen zonder het wachtwoord te weten. Daarnaast kan het password.exe programma aangepast worden om ieder willekeurig wachtwoord te accepteren. Als een aangepaste versie van het programma publiekelijk beschikbaar gemaakt zou worden kan iedereen die de weg naar een zoekmachine weet de Secustick zonder enige moeite uitlezen. Het lijkt er tevens op dat de zelfvernietiging - the flash memory is burned volgens de datasheet - ook niet veel te betekenen heeft. Er zit voor zover we hebben kunnen vaststellen geen extra hardware op de chip - zoals een dc-dc-converter - die het geheugen fysiek kan vernietigen door er bijvoorbeeld een te hoge spanning op te zetten.

In een reactie geeft importeur Walter Preij aan verrast te zijn door onze bevindingen. 'De fabrikant heeft mij verzekerd dat het systeem volledig veilig is,' zo reageert hij. De Franse leverancier stelt desgevraagd dat de Secustick niet bedoeld is als ultiem beveiligingsmiddel. 'Iedere vorm van beveiliging is te kraken. We vertellen onze klanten altijd zelf te testen of de stick aan hun verwachtingen voldoet. Onze klanten zijn tevreden met de mate van beveiliging die ons product biedt. Normaal gesproken is onze beveiliging voldoende, niet iedereen heeft de technische kennis in huis die jullie hebben,' zo vertelt de Franse leverancier, daarbij voorbijgaand aan de mogelijkheden die een kwaadwillende ter beschikking kan hebben of de mogelijkheid om een gekraakte versie van de software online te zetten. De directeur van het bedrijf geeft wel aan met een verbeterde versie bezig te zijn. Deze versie zal binnen twee maanden gereed zijn. Voor de echt grote geheimen heeft het bedrijf nog een aparte productlijn 'die nog beter beveiligd is'.

Ons advies mag duidelijk zijn: iemand die 130 euro over heeft voor een mooie metalen usbstick met ophangkoordje kan gerust een Secustick aanschaffen; degene die graag zijn gegevens veilig meeneemt doet er verstandiger aan een beter exemplaar te zoeken of een gewone stick te gebruiken met een programma als TrueCrypt.

Wij willen Sprite_tm bedanken voor zijn uitgebreide technische bijdrage aan dit artikel.

* Plug this story

T'rug naar huus

Inhoudsopgave

  1. De Secustick
  2. De eerste indruk
  3. Zelfvernietiging
  4. De software
  1. Door de mand gevallen
  2. Ten slotte
  3. Reacties (121)

Categorieën

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 121 reacties zichtbaar1210 Off-topic / Irrelevant: 121 reacties zichtbaar121+1 On-topic: 103 reacties zichtbaar103+2 Informatief: 11 reacties zichtbaar11+3 Must-read: 1 reactie zichtbaar1
«  1  2  3  4  5  6  7  »

Door mace, donderdag 12 april 2007 09:06

Score: 1
Goedgekeurd door de Franse veiligheidsdienst?
Laat me niet lachen, stelletje prutsers. :D

Typisch een gevalletje van: "Met de Franse slag"

Door KnetterGek, donderdag 12 april 2007 14:54

Score: 0
Ah joh dat zijn diezelfde knakker die Greenpeace bootjes opblazen, dat is een soor tuit de hand gelopen scoutingclubje voor slechte evil people.

Door EnsconcE, vrijdag 13 april 2007 15:12

Score: 1
Het zegt ook wat over de veiligheidsdienst:
'Iedere vorm van beveiliging is te kraken. We vertellen onze klanten altijd zelf te testen of de stick aan hun verwachtingen voldoet. Onze klanten zijn tevreden met de mate van beveiliging die ons product biedt. Normaal gesproken is onze beveiliging voldoende, niet iedereen heeft de technische kennis in huis die jullie hebben,'
Maw de redactie van tweakers is een betere veiligheidsdienst dan de franse veiligheidsdienst ;).

Daarnaast is het hypocriet te verwachten dat mensen het gaan testen als hier op tweakers. En is het nog zo dat kwaadwillenden het echt wel voor elkaar krijgen als ze het willen. Desnoods huren ze een "nerd" in. Je gaat ook niet aan iemand vragen om een kluis te testen/kraken om te kijken of deze goed beveiligd is.

Door Steephh, zaterdag 14 april 2007 00:56

Score: 1
Oh, echt wel hoor. Men moet het toch op veiligheid testen? Dat is hier dus niet gedaan, blijkbaar.

Door Hakker, zondag 15 april 2007 19:53

Score: 1
sorry hoor maar voor een product wat 6,5x zo duur is wat men als veilig bestempeld is dit dus totaal niet het geval.

De stick is zelf makkelijk open te maken en bevat geen epoxy om bv solderen tegen te gaan.
Het wachtwoord wordt puur uit een programma gelezen die nogal simpel in elkaar gezet is, want reverse engineren van een programmatje is nou niet echt nerd only terrein.

Persoonlijk vind ik het een aanfluiting dat er zoveel voor een USB stick betaald moet worden wat totaal geen meerwaarde levert. Zelfs de Adata met fingerprint is veiliger net als de Kingston secure serie aangezien daar de opslag van het wachtwoord tenminste achter de 256 bit AES encryptie zit. En dan te bedenken dat die nog een stuk goedkoper zijn.

Door alcatrez, donderdag 12 april 2007 09:06

Score: 1
Klinkt toch een beetje als oplichting. Vraag me af in hoeverre dit juridisch verantwoord is en of ze wel goed verzekerd zijn tegen schadeclaims.

Door CherandarGuard, donderdag 12 april 2007 09:23

Score: 1
Mwa, dat lijkt me wat overdreven. Ze hebben immers geprobeerd te beveiligen. Dat ze er nou niks van bakken, tja, da's jammer.

Door dtech, donderdag 12 april 2007 11:47

Score: 2
Nee, ze beloven iets dat niet waar is: een (bijna) vollledig veilige stick. Dit is overduidelijk niet het geval, aangezien het tweakers.net zo snel gelukt is het ding te kraken

Door ZeBoxxToo, donderdag 12 april 2007 15:29

Score: 1
Mjah... moet het wel iets relativeren.. De eerste de beste kneus die die stick vind krijgt de data er net zo min af als dat die hangslot open krijgt. Maar net zo goed als dat je een slijptol op dat slot kan zetten kan je dus ook met wat meer moeite data van die stick af krijgen.

Neemt niet weg dat het geen beste beveiliging is - een dik kettingslot met verankerde sluiting, plastic en vezel wrap eromheen is ook beter dan deen hangslot - maar het is een beveiliging.

Door Bas van der Doorn, vrijdag 13 april 2007 10:30

Score: 1
Dat het slechts een kwartiertje werk kost om toegang tot een dergelijke stick te krijgen, en met een speciaal software appje slechts secondes mag toch wel een groot schandaal heten voor een stick die aan allerlei veiligheidseisen zou voldoen. Alsof het leger en inlichtingendiensten deze beveiliging werkelijk genoeg vinden als ze dit verhaal lezen. Encrypten die handel, dat password in de chip opslaan, dit ook checken in de chip ipv de pc en daadwerkelijk het flashgeheugen 'burnen' zoals in het datasheet staat.
Voor mij riekt dit wel degelijk naar fraude, encrypting memory sticks zoals bijvoorbeeld Kingstons Datatraveler Elite doen meer aan beveiliging voor minder geld, echt triest dit :(

Door Adion, vrijdag 13 april 2007 17:00

Score: 1
Neemt niet weg dat het geen beste beveiliging is - een dik kettingslot met verankerde sluiting, plastic en vezel wrap eromheen is ook beter dan deen hangslot - maar het is een beveiliging.
Ik vind toch dat je voor 120 euro verwacht een dik kettingslot te kopen, en dat je wel degelijk bedrogen bent als daarna blijkt dat er slechts een dun ijzerdraadje binnenin zit.
De gegevens gewoon encrypteren met dat paswoord is toch het minste dat je zou kunnen doen, en is volgens mij in een dag er bij te programmeren.

Door AugmentoR, donderdag 12 april 2007 16:48

Score: 1
Tja, dit is wel heel eenvoudig... Hoe zit dat bij andere 'beveiligde' sticks? Bijv. m'n Transcend JF210E 1Gb met vingerafdruk-dingetje, hij slaat tenminste wel ge-encrypt op zegt ie...
edit: oeps moest onder Jouke74

Door Nijn, donderdag 12 april 2007 19:39

Score: 1
Als de fabrikant idd niet door had dat hun beveiliging zo brak is dat het wachtwoord niet eens door de chip wordt gecontroleerd maar op de pc, is dat grove nalatigheid. Zo niet dan is het gewoon oplichting.

Ze moeten wel weten dat ze fout zitten. Naast deze aanval zou je ook simpelweg de commando`s die richting de USB poort gestuurd worden kunnen onderscheppen en daaruit het unlock comando filteren.

Door albatross, zaterdag 21 april 2007 22:50

Score: 1
"Naast deze aanval zou je ook simpelweg de commando`s die richting de USB poort gestuurd worden kunnen onderscheppen en daaruit het unlock comando filteren."

Neen, Nijn. Dat laatste kan nou net niet. Wat ik begreep is dat er een sub aangeroepen wordt die in het CPU register EAX een boolean waarde returnt: 0 of 1. Die waarde gaat dus niet over een USB lijntje, maar is dus gewoon een register waarde als gevolg van een berekening/test.

Door albatross, zaterdag 21 april 2007 22:44

Score: 1
"Klinkt toch een beetje als oplichting. Vraag me af in hoeverre dit juridisch verantwoord is en of ze wel goed verzekerd zijn tegen schadeclaims."

Inderdaad. Pure oplichting zelfs, zou ik willen zeggen. Waarom? Ten eerste omdat de data helemaal niet beveiligd is, maar er gewoon alleen maar een boolean ('0' of 1') poortje voorzit.

Maar de echte oplichting zit em natuurlijk in die "the flash memory is burned". Puur bedrog. Blijkt gewoon alleen een stringetje te zijn dat op het schermpje verschijnt.

Door Gerco, donderdag 12 april 2007 09:10

Score: 3
Ik begrijp niet hoe bedrijven wegkomen met regelrechte rommel als dit, zeker niet als er overheidsdiensten zijn die de beveiliging "gecontroleerd" hebben. "Iedereen" kan blijkbaar de beveiliging van die stick met relatief gemak omzeilen.

Een debugger hanteren is niet bepaald rocket science, al is er wel wat gedegen kennis voor nodig die de gemiddelde Whizzkid van het Windows tijdperk niet heeft. Peter R. de Vries kan de stick iig niet lezen, maar die kan wel iemand betalen om dat te doen. Hetzelfde geld voor criminelen.

Iedereen dit die kan kraken (en nog een heleboel andere mensen) hadden een beter ontwerp kunnen verzinnen dan dit.

Door SRI, vrijdag 13 april 2007 17:38

Score: 0
Vergis je niet in Peter hoor, hij kan ook met een virusscanner overweg :Y)

Door Jouke74, donderdag 12 april 2007 09:19

Score: 1
Ik vind het een beetje lullig om het product gelijk helemaal af te serveren, maar de prijs kan wel een stukje omlaag nu :+
Wat me meer verbaast (en toch ook weer niet) is de enorme kennis van zaken hier bij tweakers. Chapeau...

Door thekip, donderdag 12 april 2007 10:40

Score: 1
diep respect voor electro guru sprite_tm die zelfs van een optishe muis ooit een scanner heeft weten te maken (geen hoge kwaliteit uiteraard :))

hulde, goed artikel en grappig om te lezen dat jullie ook verrast zijn door de eenvoud waarmee je zoiets kan kraken :)

Door DarthPlastic, donderdag 12 april 2007 18:45

Score: 1
Zoiets zou Tweakers vaker moeten ondernemen, zulke stukjes hebben echt een hoog tweak-gehalte :)

Alleen jammer dat er niet wat verder op de selfdestruct-methode is ingegaan, om bijvoorbeeld te onderzoeken of de stick nog leesbaar is na deze 'selfdestruct'.

Door Janoz, donderdag 12 april 2007 09:22

Score: 2
De Franse leverancier stelt desgevraagd dat de Secustick niet bedoeld is als ultiem beveiligingsmiddel. 'Iedere vorm van beveiliging is te kraken. We vertellen onze klanten altijd zelf te testen of de stick aan hun verwachtingen voldoet. Onze klanten zijn tevreden met de mate van beveiliging die ons product biedt. Normaal gesproken is onze beveiliging voldoende, niet iedereen heeft de technische kennis is huis die jullie hebben'
Ja, iedere vorm van beveiliging is te kraken, en dan vervolgens je nieuwe mountainbike 's avonds met een dropveter aan de brug knopen |:(..

Je hebt beveiligingen die by design jaren tot eeuwen vragen voordat er ingebroken kan worden, en je hebt pruts beveiligingen als deze..

Door EquiNox, donderdag 12 april 2007 09:30

Score: 0
Zoals al in het artikel vermeld wordt, gewoon een normale stick kopen (eventueel een waterdichte o.i.d.) en daar een TrueCrypt partitie op gooien.

Dan weet je tenminste zeker dat het goed versleuteld is.

Door FatalZero, donderdag 12 april 2007 09:33

Score: 1
Hulde voor dit artikel. Echte Tweaker Mythbusters! :Y)

Ik vind overigens het marketingspraatje van deze stick een hoog 'tellsell' gehalte hebben.

Door MarcusKara, donderdag 12 april 2007 09:37

Score: 2
Het grappige is dat voordat ik verder ging naar pagina 3 al hetzelfde in me hoofd had omdat het open te maken en aan te passen. Omdat het fysiek hetzelfde was als de Netac :). Iemand met elektronica kennis weet dat elke geheugen chip een Write Enable pin heeft en deze kan misbruiken. Ik had bij de titel verwacht dat een microcontroller opzat die de flash chip vrijgeeft na het wachtwoord gecontrolleerd was (op de microcontroller). En tevens met deze wachtwoord de gegevens encrypt..

Het is dan alsnog te kraken maar dan was het niet zo'n kinderspel...

Door I.R. Overclocked, donderdag 12 april 2007 16:13

Score: 1
Je hebt nog altijd de optie om het flash geheugen over te solderen op een niet-beveiligde USB-stick.

Door dangerpaki, donderdag 12 april 2007 23:39

Score: 1
ja bedoel als het zo makkelijk begint te gaan moet je wel een omweg nemen om nog wel een beetje plezier erin te houden :9
maar daar dacht ik dus ook als eerste aan toen ik las dat het een zelfde memstick was als de andere

Door Bas van der Doorn, vrijdag 13 april 2007 10:38

Score: 1
Een product als dit had gewoon encryptie met dat wachtwoord moeten gebruiken, dan kun je oversolderen totdat je een ons weegt en schiet je er nog niets mee op. Mits het wachtwoord natuurlijk op de chip van de stick gechecked wordt en niet op de pc... |:(

Door yorndejong, donderdag 12 april 2007 09:39

Score: 2
Ik vraag me nog wel af wat er gebeurt als je het wachtwoord te vaak fout hebt gehad, en het geheugen "vernietigd" wordt; zou je het dan ook nog kunnen uitlezen?
In het artikel staat wel dat jullie geen hardware gevonden hebben die het geheugen fysiek vernietigt, maar wat gebeurt er dan wel? Wordt er ergens een bitje gezet dat het geheugen vanaf heden stuk is, of gaan ze alles nullen? (dat zou trouwens wel z'n voordelen hebben; ik meende dat data recovery niet goed wil met flash drives, en je hebt dan geen kapotte stick als iemand in je bedrijf het verkeerde wachtwoord had gekregen)

Door MarcusKara, donderdag 12 april 2007 12:20

Score: 1
Ik denk dat de software het geheugen leeg maakt... Aangezien het softwarematige oplossing is. Hardware is het een gewone USB stick uit de media markt ;)

Door killercow, donderdag 12 april 2007 13:12

Score: 2
Leeg maakt? of de fat table leeg gooit?
Want als niet alle bits opnieuw beschreven worden kun je alsnog prima de files uitlezen.

Aangezien de hele stick herschrijven met random data (meerdere malen t liefst) te lang duurt om een gegarandeerde vernietiging te garanderen lijkt ook dit me erg sterk.

Door VisionMaster, dinsdag 17 april 2007 10:17

Score: 1
@killercow, dit is flash geheugen, niet een magneet schijf, waarvan je het magnetische van de vorige stand nog half kan aflezen ;)
Dus 1x de bitjes van 1 naar 0 en naar 1 en je bent alles 100% en onherstelbaar kwijt. Iets dat hier dus duidelijk niet wordt gedaan.

Door Abdurrahman123, woensdag 18 april 2007 17:03

Score: 1
Ik weet niet hoe het programma het doet, maar ik heb toch 2 keer een hele sd kaart en memory stick hersteld met het programma pci filerecovery en pci smartrecovery.

Misschien een tip ;)

Door VisionMaster, zondag 22 april 2007 10:32

Score: 1
@abdurrahman123: Dat heb ik ook al eens gedaan, maar dat komt simpelweg, omdat je de data niet weggooit. Bij een delete wordt alleen maar de verwijzing naar de data weg gesmeten. Dus als je die kan herstellen... dan is het weer goed.

In de programmeertaal 'C' moet je de functie 'unlink()' gebruiken om een delete uit te voeren.

Door rdoorn, donderdag 12 april 2007 09:46

Score: 2
ze stapelen wel fout op fout.
Geheugenchip te benaderen (evt los solderen en op een andere stick terug zetten). Read only pin te benaderen. Password controle door host systeem, vrijgave door host systeem, en het wissen ('vernietigen') door host systeem uitvoeren.

Wat ik nog niet heb gehoord (maar ook vaak voor komt en het nadeel is van Truecrypt) zijn er administrator rechten nodig voor gebruik van de stick. Dat vindt ik het grootste nadeel van veel beveiligde sticks.

Stel je bent bij een klant en je wil wat gegevens over zetten. Deze klant heeft de beveiliging goed voor elkaar dus jij krijgt geen admin rechten (vandaar ook die veilige stick) maar dan moet je om de stick te gebruiken eerst een programma installeren (foei dat mag niet).
Truecrypt heeft het zelfde probleem (tenminste een 1/2 jaar geleden).

De enige goedkopere oplossing zijn sommige sticks met vingerafdruk-scan.
Dure oplossingen hebben een eigen microproc om de password afhandeling te doen, maar deze zijn nog een stuk duurder als dit franse prut ding.

Door P_de_B, donderdag 12 april 2007 09:49

Score: 2
Volgens de datasheet hoeft je geen administrator te zijn :)

Door Cochrane, donderdag 12 april 2007 11:39

Score: 1
Een willekeurige (password).exe uitvoeren op een beveiligde bedrijfspc zal vaker niet dan wel lukken.

Door Falcon, donderdag 12 april 2007 11:08

Score: 1
Klopt.. Truecrypt heeft Admin rechten nodig en is dus voor bedrijfsleven al gauw niet meer interresant.

Wij zijn daarom in zee gegaan met het duitse Challenger. Challenger doet encryptie op bestandsniveau. Om te en- / decrypten is geen adminrechten vereist.

www.challenger.de

Door Fairy, donderdag 12 april 2007 11:29

Score: 0
hochzeits- und veranstaltungsservice :?

Door Dawai, vrijdag 13 april 2007 07:12

Score: 1
Maar eens Truecrypt geïnstalleerd is op de PCs heb je geen adminrechten meer nodig om een beveiligde stick te gebruiken.

After a system administrator installs TrueCrypt on the system, users without administrator privileges will be able to run TrueCrypt, mount/dismount any type of TrueCrypt volume, load/save data from/to it, and create file-hosted TrueCrypt volumes on the system.
«  1  2  3  4  5  6  7  »

Op dit item kan niet meer gereageerd worden.

VNU Media logo Powered by True

© 1998 - 2009 Tweakers.net - Alle rechten voorbehouden - Uw Privacy - Algemene Voorwaarden

Uitgever van: