Abit beveiligt tegen ongewild lezen harde schijf

Abit heeft vorige week vrijdag zijn nieuwe IC7-MAX3-moederbord gepresenteerd. Eén van de nieuwe features op het bord is de Secure IDE-technologie. X-bit Labs heeft de hand weten te leggen op meer informatie over deze nieuwigheid. Met Secure IDE is het mogelijk om harde schijven te beveiligen door gebruik te maken van een speciale chip en key. Deze eNOVA X-Wall-chip moet worden aangesloten op een paralelle ATA harde schijf. Om de data te lezen moet er een speciale decoder key aanwezig zijn. Als die niet aanwezig is, zal de informatie op de harde schijf niet toegankelijk zijn. Het kraken van de code in de key is te doen, maar dit zal enkele weken kosten, aldus het trotse Abit. Het bedrijf is niet de eerste die met deze oplossing komt. Volgens X-bit Labs lijkt het er echter op alsof Abit deze keer een goede balans heeft weten te vinden tussen de prijs van de chip en andere benodigdheden en de effectiviteit tegen het daadwerkelijke kraken van de gegevens op de harde schijf.

De eNova X-Wall LX-40-chip

Lees meer

Reacties (57)

PowerFlower 29 juli 2003 22:15

Hmz:

Het kraken van de code in de key is te doen, maar dit zal enkele weken kosten

Ekele weken... die heb je wel, als je die harddisk uit iemand's PC gejat hebt... (of laten jatten)... Tijdens de inbraak heb je daar géén tijd voor, maar ja dan heb je ook de oorspronkelijke coder en key bij de hand. Bedrijfsgeheimen zijn nog steeds niet zeker op deze schijf!
Het beste dat je er over kunt zeggen, is dat als deze schijf gewiped is, het wel heel erg lastig wordt daar nog chocola van te maken.

Fuzzillogic @PowerFlower • 29 juli 2003 22:17

Haha, alsof de gemiddelde dief de benodigde aparatuur heeft.

Voor echt bedrijfsgevoelige info zal het wel te weinig zijn, maar je kunt er natuurlijk nog altijd beveiliging van het OS/3rd party tools bovenop zetten.

PowerFlower @Fuzzillogic • 29 juli 2003 22:19

Daar heb je imho geen bijzondere apparatuur voor nodig. K denk dat je hem softwarematig wel moet kunnen kraken.

En nee, de gemiddelde suffe dief zal dat niet lukken, maar ik had het meer over de bedrijfsgeheimen idd

Anoniem: 74617 @PowerFlower • 29 juli 2003 22:21

Sjah .. bedrijfsgeheimen staan dan meestal ook niet op een simpel IDE diskje, maar op SCSI (of NAS/SAN oplossingen) ergens in een goed afgesloten serverruimte.

Het nut van deze gadget ontgaat mij eerlijk gezegd.

Ruudjah @PowerFlower • 30 juli 2003 00:33

Het is gewoon een extra beveiliging, die nooit kwaad kan doen. Zet echt belangrijke gegevens op je schijf dmv die beveiliging. Gebruik NTFS (of een ander filesystem dat encryptie ondersteund), en codeer je gevens nog een keer. Verder kun je nog op software niveau je gegevens encrypten.

Zo zal iemand die die gegevens wil hebben, wel erg veel moeite moeten doen, en kan je je gegevens als veilig beschouwen. Net als wireless networking: goooi er WPA overheen, via een encrypted VPN kom je op een proxy, en je bankgegevens worden ook nog eens je encrypt. Niemand die dan nog moeite doet om het te kraken.

Anoniem: 51493 @PowerFlower • 30 juli 2003 03:51

Gebruik NTFS (of een ander filesystem dat encryptie ondersteund), en codeer je gevens nog een keer. Verder kun je nog op software niveau je gegevens encrypten.

Om verschillende redenen is NTFS encryptie betrekkelijk eenvoudig te kraken. Beveiligingen in het OS doen ook niet terzake: Linux CD met mount_ntfs + kernel support en voila binnen een minuutje kun je lezen waarbij je de beveiligingen in het OS omzeilt. Zwakheden in Encrypted NTFS (EFS):

1) Administrator op OS of NTFS partitie kunnen aanspreken met een simpele mount vanuit een andere HDD = jackpot. De manieren hoe dit te verkrijgen zijn uiteenlopend. Fysieke xs maakt het makkelijker. Denk ook aan de swap file/partitie.
2) De encryptie is DES, 56 kbit. Op zichzelf een zwak algoritme en een zwak aantal bits waarvan er daadwerkelijk maar 40 bit gebruikt wordt! Zeer zwak dus. Overigens is voor inwoners VS wel 128 bit verkrijgbaar via een speciale package.
3) User access is ook prijs. Het password om de encrypted data te bemachtigen is in feite hetzelfde als het wachtwoord van de user. Is deze makkelijk te kraken, jammer dan. Ik weet niet wat er bekend is over het kraken van een NT-serie password file ik weet wel dat dat bij NT nog mogelijk was. Fysieke access op de 'shadow' file mag niet inhouden dat encrypted data makkelijk gekraakt kan worden, daarom moeten die passwords verschillen.
4) Uiteindelijk weet niemand wat Windows exact doet...

Om eerlijk te zijn krijg ik er een beangstigent gevoel over. Het is zo gemaakt dat iemand met verstand van zaken de beveiliging betrekkelijk eenvoudig kan omzeilen. Is het dan beveiliging? Nee.

Over het beveiligen van het OS: da's obscurity, zie tegenargumenten hierboven. Je moet het net zoals deze hardware doet RAW doen. RAW, de data zelf dus. Daar moet je mee aan de gang. En dan met een sterke encryptie, want wees eerlijk, 'enkele weken' stelt niet zoveel voor.

Anoniem: 78237 @PowerFlower • 29 juli 2003 22:31

Ik vind het persoonlijk wel nuttig .. in een bedrijf kan ik mij voorstellen dat je niet wil dat je collegas informatici aan je bestanden zitten als je er niet bent. Bijvoorbeeld

.
En natuurlijk is veiligheid ALTIJD goed.

Anoniem: 70243 @PowerFlower • 30 juli 2003 10:31

De gemiddelde dief van bedrijfsgeheimen is een medewerker die beschikt over toegang. Wachtwoorden, encryptie is allemaal hartstikke mooi. Daarmee hebben we alleen de voordeur dichtgetimmerd, de achterdeur staat nog open.

HermeS @PowerFlower • 30 juli 2003 11:12

reactie op dystopia:
De vergelijking die je maakt met het product van A-bit VS EFS is niet hellemaal eerlijk, aangezien je bij de A-bit solution elke keer de key met je meeneemt, en bij EFS laat je die key achter, EFS zou wel goed functioneren als je die op diskette/usbstick zou opslaan en met je mee zou nemen.

Of als je in een netwerk omgeving zit de key stored op het netwerk, er zijn diverse mogelijkheden die dit wel safe maken. Je kunt tevens triple des aanzetten ipv des (zowel in 2k als XP).

XP vernagelt zelfs de key als je het wachtwoord reset ipv laat veranderen door de user, dus het probleem van het booten dmv thirdparty tools zal ook niet meer werken, tenzij het een W2k machine is.

Tevens is de export restictie (56bit encryptie) vanuit de USA enkele jaren geleden opgeven naar de meeste landen, tenzij je woont in een gevaren land (bijv Irak/etc), maar daar maken die mensen zich denk ik niet zo druk om wat voor encryptie je mag gebruiken van Amerika.

NiGeLaToR

@PowerFlower • 30 juli 2003 14:09

Deze techniek is pas boeiend voor laptops

Aangezien die wel snel gejat worden incl. bedrijfsinfo.

Op kantoor kan het ook zin hebben, je kan deze techniek nog aanvullen met PGP/encryptie op het filesysteem en dan nog binnen het OS met rechten en beveiligingen knoeien. Voordat ze er dan uit zijn is de info lang en breed achterhaald (je moet namelijk ook nog eens weten hoe je al die dingen kraakt enzo).

leuk_he @PowerFlower • 30 juli 2003 15:12

-1 overbodig.

-In een laptop wordt niet gebruik gemaakt van een ATA kabel, maar eenkleinere variant erop.
-Tegen stelen helpt het niet, als je een paar weken de tijd krijgt is hij blijkbaar ook gekraakt. (password op de bios is bijna net zo goed)
-bij een laptop wil je niet MEER spul meeslepen.

blobber @PowerFlower • 29 juli 2003 22:39

Dus als je weggaat even je computerkast openen en je schijf eruit halen, chip eruit, schijf er weer in, erg omslachtig imho, voor de tweakers niet, voor een executive noob wel (hoewel die natuurlijk een tweaker laat opdraven

)

Anoniem: 34782 @Fuzzillogic • 30 juli 2003 14:32

is waarschijnlijk een bug van een corrupte ide controller en dat wordt nu verkocht als optie.

RocketKoen @Fuzzillogic • 29 juli 2003 23:01

als je een harddisk jat is het een kleine moeite om het chipje er tussenuit te halen....

Fuzzillogic @RocketKoen • 29 juli 2003 23:02

... denk er nog maar eens over na

_Thanatos_ @PowerFlower • 29 juli 2003 22:19

Precies, een 64-bit key zou al enkele jaren gekost hebben. Tegen die tijd is de HDD mogelijk zelfs al kapot.

/edit
ohja, als iemand de hdd uit je PC steelt (waarom ie sowieso niet de hele PC gelijk neemt is dan weer een raadsel, maargoed) dan zal ie dit kaartje+key ook vast wel meejatten, toch?

ATS @_Thanatos_ • 29 juli 2003 22:28

Het idee is natuurlijk dat je die key meeneemt...

procede @ATS • 29 juli 2003 22:39

zie plaatje:
http://www.tweakers.net/ext/i.dsp/1059508065.jpg

_Thanatos_ @ATS • 29 juli 2003 22:33

En iedere keer je PC openmaken ofzo? of waar moet je die key dan steken? in USB kan niet, parallel is bij mij bezet, en seriele aansluitingen ook.

Anoniem: 77173 29 juli 2003 22:36

Hmm tja klinkt idd heel leuk, maar van de andere kant ben ik niet zo'n voorstander van een encryptie op de harddisk zelf.

Wat dacht je van hiervan: je mobo fikt uit, en je wilt je (kostbare data van je) hardeschijf overzetten. Wat doen wij dan, juist ja, gewoon HDD op een andere of op je nieuwe mobo prikken... En wat blijkt: een absolute NO-GO, immers, je data op de harddisk is dmv de chip mooi geencypt. Daar kom je dus mooi niet meer bij!

Hooguit met exact hetzelfde mobo - maar hoe het dan zit met die key, tja, don't ask me...

Ach ja, gelukkig maken we allemaal trouw backups dus bovenstaand scenario is absoluut geen ramp

Nee - laat software maar de security kant afvangen (hoe rot ie ook soms kan zijn), maar houd de data asjeblieft gewoon clean!

edit:

procede; idd ik had 't fout! - ik was iets te voorbarig

In dit geval sluit ik me geheel aan op de opmerking van WebRaider

procede @Anoniem: 77173 • 29 juli 2003 22:42

Helemaal fout: de encryptie zit in de key en de HDD . Zolang de key en de HDD nog maar heel zijn, werkt het met een ander MB ook.

WebRaider @procede • 29 juli 2003 22:50

Zolang de key en de HDD nog maar heel zijn

Ja, als je de key breekt zit je met een 'klein' versleuteld probleempje.
Om die reden én omdat je je key ook kan kwijtgeraken ben ik niet echt een voorstander van dit systeem.

Standeman @WebRaider • 30 juli 2003 16:32

Tja... je kan ook de sleutel / code van je kluis kwijtraken. Dus ik neem aan dat je een extra key krijgt om heel voorzichtig mee te zijn door in een kluis op te bergen (moet je natuurlijk niet de sleutel verliezen

)

MikeyMan 30 juli 2003 01:23

misschien een raar plan hoor... Maar wat houdt mij tegen om dat chippie tussen de kabel en de harde schijf vandaan te halen??? Tenminste, zoals ik dat plaatje interpreteer (hoe schrijf je dat???) is het een dingetje dat je tussen de kabel en de harddisk stopt...

Wouter Tinus @MikeyMan • 30 juli 2003 01:25

De data staat versleuteld op de schijf. De chip zorgt alleen voor het coderen en decoderen. Je kunt de chip wel weghalen maar dan heb je alleen maar onleesbare zooi. Je hebt de chip (en sleutel) juist nodig om de data weer terug te krijgen.

Tijger @MikeyMan • 30 juli 2003 10:34

Niets, je kunt alleen niets meer lezen wat er op de schijf staat zonder dat chippie...

Palomar 29 juli 2003 22:17

en wat is nou precies het voordeel tov. softwarematige oplossingen? (ntfs enzo).

WarMaster @Palomar • 29 juli 2003 22:21

Nou, deze versleuteling is nog een stapje verder.

Bij NTFS, weet je ongeveer al wat er op staat.
Immers een NTFS partitie, hoogst waarschijnlijk van een windows variant (met de bijbehorende files).

Hierbij weet je als je de schijt hebt helemaal niets!
Je kan niet eens de bootsector uitlezen!

stunn0r @WarMaster • 29 juli 2003 22:26

ach man krijg toch de schijt

edit: sorry hoor mag dan wel off topic zijn maar ik kon het niet laten

tweakerbee @WarMaster • 29 juli 2003 22:35

Dan neem je toch de hele computer mee. Dan ben je alweer een stuk verder.

Poltergeist @Palomar • 29 juli 2003 22:20

ou ja, NTFS is zowiezo geen beveiliging omdat daar vrij makkelijk programma's voor te krijgen zijn. Met deze oplossing duurt het gewoon langer om de beveiliging te doorbreken, wat een hoop mensen zal ontmoedigen om het te proberen.

Maarten @klet.st @Poltergeist • 29 juli 2003 23:20

NTFS doet helemaal niet aan encryptie, EFS, dat bovenop NTFS draait regelt de encryptie. Onder Windows 2000 is die alleen nogal suf, aangezien je bij de gegevens kan als je als de user die de files aangemaakt heeft erbij kan. En dat is een fluitje van een cent, als je in bezit bent van de juiste tools.

Onder XP (en dus vermoedelijk ook Win2003) is dit beter geregeld, aangezien het wachtwoord van de user deel uitmaakt van de encryptie (decryptie, beter gezegd). Verander je het wachtwoord van de user, dan kun je de files dus niet terughalen, tenzij je over de recovery sleutels beschikt..

Het nadeel van software blijft dat er (bijna?) altijd wel een weg omheen is. Nu denk je vast aan PGP en andere 'onbreekbare' encryptie? Nu denk ik aan een hardwarematige keylogger

(hoef ik alleen nog maar je private key te hebben, maar die staat bij de meeste mensen gewoon op de HDD).

Dit soort hardware beveiligingen zijn 'beter' omdat de gemiddelde hobbyist niet over de tools+kennis beschikt om dergelijke hardware te kraken.. Voor professionals ligt dit natuurlijk anders.

Anoniem: 51493 @Maarten @klet.st • 30 juli 2003 04:04

Nu denk ik aan een hardwarematige keylogger

Check dit 'ns: Tempest

hoef ik alleen nog maar je private key te hebben, maar die staat bij de meeste mensen gewoon op de HDD

Zoiets bewaak je met je leven imo

Sv3n 29 juli 2003 23:10

als de BSA langkomt en ff je data na wil checken neem je gewoon de key mee

"mja ik snap ook niet waarom ie het ineens niet meer doet

C7RL @Sv3n • 30 juli 2003 00:07

Een goede magneet effuh op je HDD werkt nog veel beter

ixl85 @C7RL • 30 juli 2003 03:54

nee hoor, dan ben je namelijk alles kwijt,
en als je BSAvrienden daarna weg zijn kan sv3n zn key weer terug zetten en jij moet alles opnieuw downloaden.
(en jij hebt ook altijd een (echte) sterke magneet in je bureaula liggen

)

iw@n @ixl85 • 30 juli 2003 17:41

Als je nog diskettes gebruikt misschien wel. De super-fast-format.

NeOTheMaTriXM 29 juli 2003 23:02

dit kan je ook heel simpel onder linux doen
doormidel van je filesystem te encrypten
en via je een password kan je het dus weer mounten
(iig dat denk ik, moet het namenlijk nog eens testen

)

bron: cryptoapi

a.prinsen @NeOTheMaTriXM • 30 juli 2003 10:35

tja maar als je de HD in een andere PC zet kun je nog steeds netjes alle data inzien..
met dit apparaatje zie je alleen ge-encrypte zut .. toch een wezenlijke verbetering.

(ntfs kan ook bekeken worden met behulp van ntfs-dos tegenwoordig!.. een floppie en je kunt dus overal bij!)

NeOTheMaTriXM @a.prinsen • 30 juli 2003 11:33

als je nou even die website leest, dan zie je dat HEEL je filesystem wordt encrypt. nou dan hang je hem in een andere pc

windows/mac os, kan niet eens filesystem zien.

linux/unix, kan niet mounten, want je MOET een password opgeven tijdens het mounten.

dus jouw verhaal gaat niet op.

Anoniem: 53444 @NeOTheMaTriXM • 30 juli 2003 00:29

heel simpel onder linux doen
doormidel van je filesystem te encrypten
en via je een password kan je het dus weer mounten
(iig dat denk ik, moet het namenlijk nog eens testen )

indeed..de Linuxen en BSD's ondersteunen al enige tijd encrypted file- en swap systems.

dat moeilijk doen met keys.... is enkel zodat abit zijn zakjes kan vullen.

Madcat 29 juli 2003 22:41

hmmz en door dat extra chipje word de datadoorvoer natuurlijk ook stukken sneller.......

Ik zie iig totaal geen nut hierin, het is in mijn ogen bedoeld voor de particulieren die iets te verbergen hebben. Maar toch zou ik mijn data toch maar netjes opbergen doormiddel van een pgp encryptie.
maar dan gaat het bij mij altijd maar om een paar kleine bestandjes
of als het echt veel data is, dan kan je altijd pgpdisk gebruiken ofzo. niet dat ik dat gebruik ofzo hoor.

Maarten @klet.st @Madcat • 29 juli 2003 23:26

Wat ik niet snap is dat dit als het ei van columbus gebracht wordt, terwijl er al lang een goede hardwarematige oplossing is. Met name (maar niet alleen) notebook harddisk (IBM, Toshiba) hebben vaak een HDD password optie (mits ondersteund door de BIOS). De benaming hiervan is niet altijd hetzelfde, de techniek wel. Het komt er op neer dat de controller van de harddisk de (correcte) data weigert te geven als het correcte password niet gegeven is. Ook een controller van een andere disk aansluiten en andere 'makkelijke' trucs werkt niet. Enige potentiele acchileshiel die ik ken is dat de leverancier (Dell, Compaq, etc) en de fabrikant (IBM, Toshiba) de disk wel kunnen recoveren (volgens Compaq manual).

Anyway, deze optie kost helemaal niets meer, zit standaard op notebook HD's en werkt met de meeste A merk laptops, vermoedelijk ook A-merk PC's (nooit geprobeerd).

Theadalus

30 juli 2003 01:08

Het kraken van de code in de key is te doen, maar dit zal enkele weken kosten...

Is een mooi klusje voor DPC

Eric Oud Ammerveld @Theadalus • 30 juli 2003 10:31

Het zal niet het aantal verschillende keys zijn dat de begrenzing legt voor het aantal weken maar de snelheid waarmee die key wordt uitgelezen.
Vermoedelijk zal er ook na een *X aantal verkeerde keys een Time-Out van enige tijd plaats vinden.
(Dit in ieder geval als ze de software in dat ding een beetje doordacht hebben.

)
Waarschijnlijk zal het daarom zo lang duren

*(X is variabel)

Anoniem: 44077 29 juli 2003 23:10

Wanneer men even nagaat voor welke doelgroep de IC7-MAX3 is dan vallen wij "computerfreaks" en "tweakers" er voornamelijk onder. Rijk aan overclock features, ondersteund Presscot processoren enz.

Dit is voor mij niets nieuws. Van alle bekende moederbord fabrikanten (o.a. Asus, Gigabyte en MSI) lees je op hun sites altijd met koeienletters over wat het moederbord wel allemaal niet of gepatenteerde en dergelijke aan unieke featues heeft. Een bewust iemand kijkt er al snel overheen en realiseert zich dat voor de kwaliteit van het moederbord de meeste features niet meetellen. (let op ... meeste, pin me daar dus niet op vast)!

Gigabyte introduceerde niet zo lang geleden DPS. Een stukje hardware! Dat klinkt veel aanlokkelijker en nuttiger dan wat onboard of software features. Abit is naar mijn mening nummer twee die groots een stukje hardware aankondigd.

Het nut ongaat me eigenlijk ook wanneer ik de oogende doelgroep erbij schuif. Ik ken weinig mensen die gefocused zijn op hun data.
Bedrijven zie ik moederborden als de IC7-MAX3 niet zo snel gebruiken. Daar zijn weer andere soorten/typen voor.

regmaster 29 juli 2003 23:38

Misschien een raar idee, maar is het dan ook mogelijk dat de harddisk door externe code kan worden geblocked?
Als o.a. bedrijven als Microsoft op jouw harde schijf een illegale copie vinden en er bestaat zoiets als een mastercode dan zouden ze je schijf kunnen locken?
Nu dus nog als een los kaartje, straks misschien geintegreerd in de Southbridge of erger nog in de CPU core...........
Of toch een beetje paranoide aan het worden met al die kreten als DRM e.d.?

Op dit item kan niet meer gereageerd worden.

Abit beveiligt tegen ongewild lezen harde schijf

Lees meer

Reacties (57)

Sorteer op:

Weergave: