Channels
Powered by True

Main » Reviews » De BioSlimDisk Signature nader bekeken

De BioSlimDisk Signature nader bekeken

Door Peter de Boer, woensdag 31 oktober 2007 09:09, views: 72.614

Conclusie

Ritech heeft een knap stukje werk afgeleverd met de nieuwe BioSlimDisk Signature. Hij is - zeker in de definitieve versie - een stuk beter beveiligd dan andere door ons geteste apparaten. Uiteraard blijft het grote probleem van biometrische controle - de encryptiekey moet op het apparaat aanwezig zijn - bestaan. Mensen met een grote portemonnee en veel tijd zouden de microcontroller kunnen ontleden en mogelijk zo de gebruikte AES-sleutel ontdekken. Dit is echter een zeer specialistisch werk.

Beveiliging is niet altijd zwartwit. Vrijwel alles kan op de een of andere manier gekraakt worden. De kunst van een goede beveiliging is dan ook dat het meer moeite en geld kost om de beveiliging te kraken, dan dat de gekraakte data waard is. Of de lanceercodes van het wapenarsenaal van een kernmacht erop bewaard kunnen worden laten we maar even in het midden. Bedrijven of consumenten die echter een goede beveiliging willen, in combinatie met het gebruiksgemak van biometrische beveiliging, kunnen wat ons betreft de Biostick Signature met een gerust hart gebruiken.

BioSlimDisk

T'rug naar huus

Inhoudsopgave

  1. Inleiding
  2. De aanval
  3. Een andere route
  1. Contact met de leverancier
  2. Conclusie
  3. Reacties (92)

Categorieën

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 92 reacties zichtbaar920 Neutraal: 91 reacties zichtbaar91+1 Meerwaarde: 29 reacties zichtbaar29+2 Verplicht leesvoer: 0 reacties zichtbaar0
«  1  2  3  4  »

Door Catch22, woensdag 31 oktober 2007 09:25

Score: 1
Wel een beetje apart dat T.net de hacks probeert en dat zij daar op reageren. Je zou toch mogen verwachten dat ze in-house hackers hebben die dit uitproberen...

Door TD-er, woensdag 31 oktober 2007 20:46

Score: 1
Deze hackers zijn voor de fabrikant ook een stuk goedkoper, want het kost ze maar een paar sticks en krijgen er serieus goede reclame voor terug door dit artikel.
Dus wat Sluggha hier onder mij ook al zegt. Erg goed gereageerd door Ritech op deze hack.

Door sluggha, woensdag 31 oktober 2007 09:33

Score: 1
waarom zouden ze?
Zo krijg je (als fabrikant zijnde) een enorm goede feedback.
vergeet niet: twee zien meer als een.
Je kan wel een hacker in dienst hebben, maar je weet nooit of er iemand anders is die juist iets beter is als degene die je in dienst hebt.

Chapeau in ieder geval voor Ritech. De response tijd is formitastisch 8-)

Door dawuss, woensdag 31 oktober 2007 09:36

Score: 0
Wow, dit is volgens mij de eerste "veilige" stick die me niet direct in de lach laat schieten. Alleen daarvoor al kudo's voor Ritech. Ook lijken ze hun werk daadwerkelijk serieus te nemen en met feedback ook echt iets te doen.

Zelf heb ik niet zo veel behoefte aan een dergelijk speeltje, maar goed om eens te lezen dat het ook anders kan :)

Door Mythrill, woensdag 31 oktober 2007 09:51

Score: 0
Weer een erg leuk artikel. De eerste keer dat er een biometrisch usb stick artikel op T.net verscheen had ik echt een echte rofl reactie hoe makkelijk jullie om de beveiliging heen gingen.
Gelukkig heeft Ritek zijn zaakjes heel wat beter voor elkaar!
Proficiat Jeroen, T.net en Ritek _/-\o_

Door LuCarD, woensdag 31 oktober 2007 11:29

Score: 0
Zeker weten.

Goed artikel, leuk om te lezen. _/-\o_

En er mogen meer bedrijven voorbeeld nemen aan Ritek.

Door batavier, donderdag 1 november 2007 12:33

Score: 0
Nog een eens post: eens!

Altijd erg leuk om te lezen hoe jullie proberen de zaak te kraken. En ook goed om de fabrikant de gelegenheid te geven te reageren. Wat Ritech ook netjes en vlot heeft gedaan!

Door Dries Arnolds, zaterdag 3 november 2007 11:10

Score: 0
Ritech is niet hetzelfde als Ritek..

Door Brent, zondag 4 november 2007 16:47

Score: 0
De vraag is of er uberhaupt iets gebeurd zou zijn als Jeroen het ding niet aan inspectie had onderworpen. Ik vond dat Ritek wel heel veel dingen toevallig al in de planning had toen er een kwetsbaarheid werdt gevonden. Hadden ze anders gewoon de kwestbare sticks op de markt gezet? En worden er nog meer dingen over het hoofd gezien? Met respect voor Jeroen (serieus :)), maar misschien ziet hij wel dingen over het hoofd?

Zo'n ding kun je, lijkt me, wiskundig waterdicht ontwerpen. Gezien het feit dat er (in eerste instantie) een paar flinke gaten in de beveiliging zaten, is dat niet het geval. Wie weet wat er nog meer is vergeten?

Door erik0666, woensdag 31 oktober 2007 09:58

Score: 0
Hmm, Singapore company? Geen wonder, er zitten hier prima hackers dus als het ergens kan, kan het hier.

Door Bosmonster, woensdag 31 oktober 2007 10:07

Score: 0
Ik vind die USB-kraak artikelen van de laatste tijd echt superleuk om te lezen. Hulde :)

Hoop dat jullie meer van dit soort onderwerpen kunnen uitwerken :)

Door Paranoy, woensdag 31 oktober 2007 12:13

Score: 0
Ik ben het zeer met Bosmonster eens en geniet van deze artikelen. _/-\o_

Door RoeAntSte, woensdag 31 oktober 2007 19:31

Score: 0
Ik sluit me ook aan, geniale artikelen, bijna jammer dat de definitieve versie niet zo makkelijk te kraken is :p

Door Ikkkes, woensdag 31 oktober 2007 21:28

Score: 0
Ik vermaak mij hier ook zeer goed mee telkens leerzaam en leuk hulde dus !!!!

Door freakingme, woensdag 31 oktober 2007 23:58

Score: 0
Agree _/-\o_

(misschien niet veelzeggend, maar meer woorden kan ik er niet echt voor bedenken ;))

Door XeriuM, donderdag 1 november 2007 16:43

Score: 0
Inderdaad, geweldig om te lezen... en knap hoe jullie het doen! Respect _/-\o_

Door Astennu, woensdag 31 oktober 2007 10:22

Score: 0
Ziet er goed uit maar uhmm wat gaan deze sticks kosten ?

Door Bosmonster, woensdag 31 oktober 2007 10:59

Score: 0
Pagina 1:

De adviesprijs varieert van 249 euro voor de 512MB-versie tot 439 euro voor de 2GB-versie.

Door YopY, woensdag 31 oktober 2007 11:04

Score: 0
dan krijg je ook waar voor je geld, in tegenstelling tot de eerder geteste sticks.

Door Shaggy_NL, dinsdag 6 november 2007 15:27

Score: 0
Ik vind zelf dat er een hoop verschil zit tussen deze twee sticky's. Het meeste geld zit 'em toch in het systeem, en niet in de geheugen chipjes zelf?

Door Dexter, woensdag 31 oktober 2007 10:24

Score: 1
We kunnen niet anders dan tevreden zijn over het daadkrachtige optreden van Ritech.
en je mag hopen dat Ritech niet anders dan tevreden kan zijn met iemand als Jeroen.

Geweldig artikel! En deze vorm van product-ontwikkeling is natuurlijk wel een hele goeie. Fout opsporen, en snel oplossen.

Wat ik me afvroeg, er wordt geschreven over een zelfgebouwde NAND-geheugenlezer. Ik heb hier ook een defecte stick met, helaas, ook wat waardevolle data. Is het mogelijk om dat dan ook uit te lezen? Of heeft elke stick zijn eigen NAND-geheugenlezer nodig?

Door YopY, woensdag 31 oktober 2007 11:05

Score: 1
Volgens mij kun je data uitlezen door middel van wat handig soldeerwerk en een programma waarbij je gegevens uit kunt lezen. Volgens mij zijn de geheugenmodules vaak wel redeiljk uniform wat betreft gegevensuitwisseling.

Maar met kennis van hardware, electronica en software kun je een heel eind komen. Dat. en een overschot aan tijd ;).

Door Sprite_tm, woensdag 31 oktober 2007 12:35

Score: 1
Niet helemaal: wear-levelling-algo's kunnen verschillen van stick tot stick. De unit die ik opgebouwd heb kan de rauwe NAND uitlezen en werkt dus wel altijd; je moet echter wel zelf de data samenrapen tot een filesysteem. Je zou in principe data ermee kunnen redden, maar voor alles behalve textfiles is het eigenlijk ondoenlijk als je de door de stick gebruikte algo's niet weet.

Door Punksmurf, donderdag 1 november 2007 00:09

Score: 0
Misschien kan je het proberen met een nieuwe (of in ieder geval werkende) stick uit dezelfde serie, liefst natuurlijk zelfde model.

Door SpiceWorm, woensdag 31 oktober 2007 10:25

Score: 1
Kun je via de datasheet van die vingerafdruk sensor de sensor niet vertellen dat je een nieuwe vingerafdruk wil inleren, en vervolgens je eigen vingerafdruk inleren?
Of is de AES key afgeleid van de vingerafdruk?

Door P_de_B, woensdag 31 oktober 2007 10:33

Score: 1
als er een nieuwe vingerafdruk wordt geleerd - in trainingsmode - wordt er een nieuwe AES key gegenereerd. De opgeslagen data wordt onmiddelijk met deze key versleuteld en is dus op dat moment waardeloos.

Door Wlf, woensdag 31 oktober 2007 10:57

Score: 1
Een onopgemerkte man-in-the-middle aanval kan je toch helemaal niet uitvoeren bij een usb-stick?

Ik bedoel dus dat de beveiliging enkel gekraakt is kunnen worden omdat jullie ook de juiste vingerafdruk hebben waarbij het 'go' signaal werd gegeven.

Door P_de_B, woensdag 31 oktober 2007 11:00

Score: 1
In de eerste versie was een eenmaal 'opgenomen' signaal van een willekeurige stick genoeg om andere sticks te unlocken. Je hebt inderdaad eenmalig een geldige respons nodig. De verbeterde versie heeft zoals in het artikel staat technieken om die omweg te blokkeren.

Door Jaap-Jan, donderdag 1 november 2007 11:15

Score: 1
Misschien een verduidelijking: op het moment dat de vingerafdrukchip een geldige vingerafdruk vind, stuurt hij een 'berichtje', in het voorbeeld in het artikel is dat dit bericht:
Vingerafdrukchip: "Ja, het is de tweede afdruk die mij geleerd is"
Deze respons is iedere keer hetzelfde en is dus ook uit te voeren met het C- programma.

Dit soort aanval wordt een Replay attack genoemd, omdat de aanval iedere keer weer op dezelfde manier werkt.
«  1  2  3  4  »

Op dit item kan niet meer gereageerd worden.

Powered by True
RSS VNU Media logo
© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden
Uitgever van: