Tweaker kraakt eenvoudig beveiliging Padlock-stick

De beveiliging van Corsairs Padlock-stick blijkt op eenvoudige wijze te kraken. Een tweaker heeft door het solderen van een weerstand de pincodebeveiliging van de usb-stick weten te omzeilen.

Gegevens op een Padlock usb-stick zijn volgens de fabrikant alleen toegankelijk door de juiste pincode in te voeren. Tweaker '_ferry_' kreeg een Padlock-stick in handen en dacht daarbij meteen aan de beveiligde usb-sticks, die eerder al onder onze handen sneuvelden. Als rasechte tweaker besloot hij zelf de handen uit de mouwen te steken.

Het openmaken van de stick resulteerde in een afgebroken component van de pcb, maar daardoor liet _ferry_ zich niet ontmoedigen. Met wat soldeerwerk was het euvel snel hersteld en een paar metingen later bleek de stick bij het invoeren van de juiste code een van de verbindingspennen tussen de twee pcb's te activeren. Door deze verbinding handmatig actief te maken met behulp van een weerstand en een batterij, slaagde _ferry_ er in om de gegevens op de stick te achterhalen zonder eerst een beveiligingscode te moeten invoeren.

"Uiteindelijk is het dus erg simpel om ook deze usb-stick te hacken. De enige bescherming is eigenlijk de epoxy, die waarschijnlijk het apparaat zou moeten slopen, maar ook dat is te omzeilen", aldus _ferry_. "In plaats van de stick open te maken, kun je ook op de juiste plaats een gat in de behuizing boren of zagen en zo de weerstand bevestigen." Het blijkt voor fabrikanten dan ook nog steeds ontzettend moeilijk om een echt veilige oplossing op de markt te zetten, al wordt het tegendeel wel vaker beweerd.

Reacties (92)

kalizec 10 maart 2008 14:43

Dergelijke USB-sticks worden pas 'redelijk' veilig als de data versleuteld bewaard wordt, de versleutel EN ontsleutel logica in diezelfde chip gebakken zit EN op diezelfde chip ook nog eens de controller logica zit voor het uitlezen van de ingevoerde sleutel. Tot die tijd gaat het 100% onmogelijk zijn om zelfs maar een 'redelijk' veilige USB-stick te maken.

Mizitras @kalizec • 10 maart 2008 15:44

Het zal niettemin vrij moeilijk worden om het aantal pins te beperken als je dat allemaal met één chip wil bereiken hoor. Er zal nog steeds een indicatie zijn dan, welke pins actief worden bij een geldige sleutelwaarde. Of bedoel je soms, om naast de USB-interface chip (alhoewel, zit dat niet op onze moederborden?), enkel en alleen de flash-chip voor datastorage, daar een stukje op te reserveren met al die logica en sleutels? Dan heb je niettemin nog steeds aansturing nodig via de computersoftware, die eventueel ook als applicatie op de stick kan staan, of via corsair's site gedownload kan worden, maar heb je weer een paar connecties minder, extern. (die men zou kunnen onderzoeken)

Nuja... 15-euro zegt ook voor welke doeleinden het is gemaakt hé. Corsair kan moeilijk een zware investering doen, om dat terug te winnen bij de verkoop van zulke stickjes aan 15-euro, waar de verkoop ook niet fenomenaal is hé. Want hoeveel mensen kopen een stick van 15-euro als een Mediamarkt dezelfde heeft aan 1/3de van de prijs misschien. En dan nog, zouden die paar mensen, tot op bepaald niveau, ook wel met hun data zo mogen rondreizen van hun werk? Het zal dus echt al wel een zeer specifieke doelgroep moeten zijn die Corsair hier denkt mee aan te willen spreken.

wvd_vegt @Mizitras • 10 maart 2008 16:12

FIY: In een PC zit een chipset die een usb host implementeerd. Devices bestaan uit meestal een processor om het usb protocol te implementeren (mbv extra usb device hardware op die processor).

Het ligt dus het meest voor de hand om in deze 'device' processor ook de encryptie te doen. Zou je dit doen dan is het verkeer encrypted direkt na het verlaten van de usb kabel en wordt is buiten de 'device' processor niet unencrypted beschikbaar. Maar het is denk ik meer een kwestie van performance om dit niet te doen. Dit omdat de gebruikte processoren in dit soort devices zijn niet krachtig genoeg om snel data te kunnen encrypten of hebben gewoon niet genoeg on-board geheugen ervoor.

Als je ter verhoging van de performance extra encryptie hardware gaat gebruiken krijg je snel dit soort zwakke constructies aangezien de data niet encrypted tussen twee chips heen en weer gaat en de encryptie chip ook aangestuurd moet worden.

De laatste oplossing is gewoon niets encrypten en alleen een sleutel gebruiken voor het verlenen van toegang (goedkoop maar zwak).

Ik vraag mij dus af of in deze flash drive wel iets encrypted wordt opgeslagen.

jhellingman @kalizec • 10 maart 2008 16:20

Lijkt mij niet. De versleutel en ontsleutel logica moet gewoon publiek bekend zijn. De sleutel zelf moet de veiligheid van het systeem bieden. De sleutel zelf mag nergens op zo'n stick staan, maar moet je onthouden. Uit een vingerafdruk kun je volgens mij nooit en sterk genoege sleutel afleiden: of hij is te precies, en werk niet meer na een klein ongelukje, of hij is te algemeen, en dus makkelijk met een woordenboek aanval te kraken. Bovendien is de overheid hard op weg alle vingerafdrukken te verzamelen (en je te verplichten daaraan mee te werken), waarna je er dus vanuit moet gaan dat je vingerafdruk algemeen bekende informatie is.

_ferry_ Moderator CM 10 maart 2008 15:17

Ja, ik heb telefonisch een reactie gehad van Corsair, die waren 'not amused' zeg maar. Vonden het niet leuk dat ik het had gedaan. Snap ik, maar je bent tweaker, dus dan zie je een uitdaging in dit soort dingen.
Maar ze zouden het wel aankaarten zodat er een oplossing voor gezocht kan worden.

Volgens hun kon het ook niet, goed beveiligen voor 15€. Maar dan alsnog, op de website doen ze het IMHO wel aanprijzen als een product met betrouwbare beveiliging.
Ja, het is slechts een klein percentage wat zo'n ding zal proberen te hacken, geef ik ze gelijk in. Maar dan moet je het dat kleine precentage wel moeilijk maken. Alles kan gekraakt worden, maar om dan meteen de beveiling daarom maar open en bloot te liggen is dan wel de andere kant.

Mizitras @_ferry_ • 10 maart 2008 15:34

Wat hadden ze dan liever gehad, dat iedereen altijd zwijgt als een en software lek of hardware lek of mankement wordt gevonden; of een work-around; zodat de fabrikant geld kan blijven verdienen zonder zich aan te passen. Leuk voor de brave mensen en de fabrikanten, maar kwaadwilligen krijgen het altijd makkelijker en kunnen teren op bestaande tekortkomingen waar niemand wat aan doet.

Hoe zou de gemiddelde consument het vinden om bij de bank te komen, en ach, de bank weet dat er 'geskimmed' wordt, en dat er via allerlei trucjes bankkaarten worden uitgelezen, maar ze gaan nooit de klant hiervan op de hoogte brengen om ook aan hen extra waakzaamheid te vragen, noch veel geld steken in nieuwere bankautomaten die veiliger zijn. Dit zou toch ook niet normaal zijn?!?
(Het ergste van al is, dat in dit verhaal, het laatste wel klopt! Heel wat banken vertikken het om hun apparaten sneller uit te faseren, voor een veiligere variant. De kosten voor het nieuwe toestel wegten niet op tegen de terugbetaling van gedupeerde klanten!!!)

'Not amused', ze zouden juist wel amused moeten zijn op de technische afdeling dat ze weer aan de slag kunnen. Amused zijn wij Tweakers om te horen dat het bericht Corsair heeft bereikt, en dat ze er toch nog eens over gaan denken.

Mooi werk Ferry! $_/-\o_$

SRI @_ferry_ • 10 maart 2008 15:38

Ja maar het stomme is dat ook maar een iemand het hoeft te doen en dan op internet hoeft te zetten hoe hij het deed. Als ik een beveiligde stick vind en die zou willen 'hacken' dan google je gewoon wat en vind je vast wel ergens een guide.

Verder vraag ik me soms af of zo'n bedrijf niet gewoon zelf even een paar mensen hun kop laat breken op de beveiliging. Als ik zo op je profiel kijk ben je 21, als je beetje interesse erin hebt dan kun je al aardig veel weten maar zo'n bedrijf zou gewoon even een paar mensen met een universitaire opleiding een weekje ofzo hun kop erover laten breken. Niet dat dat natuurlijk uitsluitsel geeft maar ik zou toch zeggen dat dingen zoals deze hack dan niet voor (zouden) kunnen komen.

Edit: Verder nog wel respect hoor, leuk gedaan.

[Reactie gewijzigd door SRI op 27 juli 2024 01:10]

Verwijderd @_ferry_ • 10 maart 2008 15:26

Beetje jammer van Corsair dat ze niet amused waren, moeten ze maar zorgen dat ze een beter product op de markt brengen. Tuurlijk, voor €15 kun je niet veel verwachten maar zet het dan anders op de markt neer.

FvdM @_ferry_ • 10 maart 2008 15:48

Ja, zoals ze op de site melden:

Featuring auto-lock hardware security, Flash Padlock is the best way to secure your data while on the go. This prevents any unauthorized access or “Brute Force” attack to the data on Flash Padlock.

Dat is dus gewoon een leugen ipv slechts een opgerekt marketing praatje. En het openbreken van de behuizing valt eigenlijk ook onder "Brute Force" en daar is het ook niet tegen bestand..

MneoreJ @FvdM • 10 maart 2008 16:09

Ha, da's behoorlijk ironisch, dat "brute force attack" hier volledig figuurlijk moet worden opgevat...

Soultaker

@_ferry_ • 10 maart 2008 22:05

Goed gedaan.

Bij het zien van de headline dacht ik dat Sprite er wel weer achter zou zitten, maar er zijn natuurlijk meer Tweakers die een soldeerbout kunnen hanteren.

Volgens hun kon het ook niet, goed beveiligen voor 15€.

Dat is natuurlijk ook wel zo. Betere (hardware) maatregelen kosten gewoon geld. Wat dat betreft is dit beter dan die eerste stick die wél heel veel duurder was dan gewone sticks terwijl de beveiliging triviaal op software-nivo te omzeilen was! Nu is de beveiliging ook knudde, maar je betaalt er tenminste niet veel voor.

[Reactie gewijzigd door Soultaker op 27 juli 2024 01:10]

alex3305 10 maart 2008 14:57

Knap van _ferry_ om ook de stick open te slopen en ook om dan de beveiliging weten te kraken. Echter zie ik wel in de pricewatch dat deze sticks rond de 15 - 20 euro kosten, dus ik denk dat je ook met zo'n prijspeil niet veel 'super-beveiliging' mag verwachten.

Xyzar_ 10 maart 2008 15:22

oftewel, ze hebben een stick met een redelijke beveiliging, die ze vervolgens weer verneuken door het ding een enkel contactje te laten gebruiken alsie ge-unlocked is..

dat ze dat dan niet gewoon in software regelen, of de communicatie tussen die twee pcb's wat beter implementeren dan pinnetje-aan/pinnetje-uit..
(of beter nog, die hele communicatie elimineren en het hele zooitje in één chip regelen, ben je van het hele gezeur af)

(damn.. hoe langer ik er over nadenk hoe brakker ik hun ontwerp vindt..

)

[Reactie gewijzigd door Xyzar_ op 27 juli 2024 01:10]

alex3305 @Xyzar_ • 10 maart 2008 16:22

Nja, software blijkt voor tweakers hier ook niet echt iets te zijn wat beveiligingswaardig te noemen valt.

In één chip regelen is ook bijna niet te doen in verband met dat die ook weer uitgelezen kan worden.

De beste oplossing IMHO zouden software/hardware fuses zijn die opgeblazen worden als de stick beschreven zou worden. Dit zou wel betekenen dat je de stick maar één keer zou kunnen gebruiken, maar het zou wel veiligheid bieden.

foglight 10 maart 2008 15:23

Ikzelf heb eenzelfde type stick enige tijd geleden 'gekraakt', hetzij op een veel simpelere manier.

Veilige USB-stick

Nu ik de interne componenten bekijk van de stick blijkt dat het wel veranderd is ten opzichte van wat ik destijds in handen had. Het ziet er dus wel naar uit dat de sticks worden doorontwikkeld en ze simpele foefjes inbouwen om ervoor te zorgen dat het kraken ervan moeilijker wordt.

Het Corsair verwijten dat de stick te kraken is, komt op hetzelfde neer als dat je een virus binnen kan krijgen ondanks de virusscanner en dat een hacker op je pc kan inbreken ondanks de firewall. Alles is te kraken, maar ik denk dat corsair gezien de prijs aardig in de richting komt van het moeilijk genoeg maken.

SRI @foglight • 10 maart 2008 15:40

Natuurlijk is alles te kraken maar dit is als ik het zo lees gewoon te simpel voor woorden. Als je er wat verstand van hebt en zin erin lukt het je zo...

Verwijderd 10 maart 2008 16:37

Ik vraag me eigenlijk af waarom al dat gehannes met, bijvoorbeeld, beveiligde USB-sticks. Het lijkt mij nog altijd veiliger, indien je dan toch gegevens bezit die zonodig 'geheim' moeten blijven, van de data zelf te encrypteren, ipv een stick te gebruiken waarvan men beweerd dat ie niet te kraken is.

Zo'n stick komt neer op een geweldig groot slot op de voodeur van de bank, terwijl in de kelder de geldkluis wagenwijd openstaat.

Is natuurlijk leuk dat iemand als '_ferry_' nog maar eens, op redelijk simpele wijze, weerlegt wat een bepaald bedrijf beweert, maar eigenlijk moet de argeloze gebruiker zich niet constant laten bedotten door, ten eerste, een markt die hen wijsmaakt dat ze überhaupt zo'n stick nodig hebben (want wie weet welke idioot zich achter de volgende hoek bevindt die uit is op de gegevens van je stickie) en ten tweede, door fabrikanten die slecht beveiligde apparatuur verkopen als het negende wereldwonder...

Arnoud Engelfriet @Verwijderd • 11 maart 2008 15:11

Dat komt omdat mensen geen zin hebben in gedoe. Wat is makkelijker: op vage websites zoeken naar "harddisk encryptie software", erachter komen welke het beste is tussen de aluhoedjes-verhalen door, truecrypt downloaden, truecrypt installeren, uitvogelen hoe dat werkt en een passphrase (een wat?) intypen, of zo'n stick kopen en een pincode van vier cijfers kiezen?

Maar iets positiever denkend: als ik data op een stickje heb en ik wil voorkomen dat collega's of bezoekers bij mij thuis die even snel in hun laptop stoppen terwijl ik naar de WC ben, dan kan dit best een aardige oplossing zijn. In dat model is _ferry_'s aanval niet werkbaar. Men heeft er de tijd niet voor (hoe lang plast een mens, nietwaar) en bovendien valt het op als de cover eraf is en er een extra weerstand op gesoldeerd is.

Looney11 10 maart 2008 20:06

Ik hou het voorlopig maar op m'n truecrypt USB stick. Ja, hij is gemakkelijk uit te lezen, maar zie jij het correcte wachtwoord maar eens te achterhalen.

Zoals eerder gezegd, een "veilige" USB-stick dient de encryptie on-chip uit te voeren waarbij wellicht de datastroom naar de stick toe onbeveiligd kan zijn, maar alles zelf intern op de stick gebeurd.

Daarnaast dient er de nodige aandacht te worden besteedt aan de fysieke beveiliging van het object, iets ontzettend simpels als een reed-switch tussen de delen van de behuizing, waarbij bij het verwijderen gelijk de data wordt gewist is een begin. Ja, het kan omzeilt worden, maar de huis-tuin-en keuken dief is gelijk buiten gevecht gesteld.

Maar goed, het kostenplaatje wil ook wat. Echte beveiliging heeft een prijs, als je niet bereid bent dit te betalen, moet je ook niet sip gaan kijken als je vuile was in een keer op straat ligt.

NoepZor 10 maart 2008 14:32

Beveiligde HDD's zijn ook "eenvoudig" te kraken door de sleutel uit het ram geheugen te lezen. Zie het volgende filmpje;

http://citp.princeton.edu/memory/

Ergens moet toch een vorm van menselijke input of niet geencrypte gegevens beschikbaar zijn, dus in principe zijn alle beveiligingen te kraken.

susscorfa @NoepZor • 10 maart 2008 14:54

Belangrijk is rekening te houden dat de metode van het filmpje alleen werkt als er stroom op de computer staat. Een computer of harddisk die een tijdje niet aan de stroom heeft gehangen of uitgestaan daar werkt deze metode niet . Terwijl de hierboven beschreven metodes wel werken voor niet geconnecte beveiligde objecten. Dus in die zin zijn de met bekende encryptie technieken beveiligde gegevens nog steeds "veilig"

The Zep Man

Beveiliging

@susscorfa • 10 maart 2008 15:00

Belangrijk is rekening te houden dat de metode van het filmpje alleen werkt als er stroom op de computer staat. Een computer of harddisk die een tijdje niet aan de stroom heeft gehangen of uitgestaan daar werkt deze metode niet .

Voor de duidelijkheid: het gaat hier in de praktijk om secondenwerk of (wanneer het geheugen snel gekoeld kan worden) hooguit enkele minuten. In de praktijk zou een keylogger installeren een stuk realistischer zijn.

.Johnny @The Zep Man • 10 maart 2008 15:39

Ik weet niet hoe de beveiliging precies werkt, maar ik gebruik safeguard en die vraagt al om het wachtwoord voor het OS geladen wordt. Volgens mij heb je dan dus niks aan je keylogger...

link0007 @.Johnny • 10 maart 2008 15:42

hardwarematige keylogger werkt dan prima..

zzzzap @link0007 • 10 maart 2008 15:57

Op een pc tussen je keyboard en mainboard connector in werkt dat idd, maar op een laptop is dat toch iets ingewikkelder...

CH4OS @zzzzap • 10 maart 2008 17:34

Op een pc tussen je keyboard en mainboard connector in werkt dat idd, maar op een laptop is dat toch iets ingewikkelder...

Ook dat toetsenbord zit met een kabel ergens aan vast en ook daar kan je dus gemakkelijk wat tussen solderen...

Het is meer priegel werk, maar het is zeker wel mogelijk!

[Reactie gewijzigd door CH4OS op 27 juli 2024 01:10]

kidde @CH4OS • 10 maart 2008 23:50

Dan neem je een andere softwarematige keymap voor het invoeren van je passphrase, dan geven alle hardwarematige afluistermethoden (inclusief afluisteren typ-geluiden of camera boven vingers) een onzinpaswoord; aangezien HD encryptie meestal op OS-niveau gebeurt; net zoals een sw-keymap. Een scriptje maken dat na succesvol intypen van de passphrase de keymap terugzet is triviaal (in Linux en BSD in ieder geval dan). Zo'n keymapje kan je random laten maken; en op die manier is het simpel om hem zonder verandering of extra moeite door de eindgebruiker te laten gebruiken.

Natuurlijk / helaas moet het 'geheime' keymapje wel op de HD ongeëncrypteerd aanwezig zijn en daarna gaat de (hash van de) passphrase ook in plaintext naar het RAM; maar het werpt vrij eenvoudig weer een extra barriëre op die zo goed als alle hw-keyloggers onbruikbaar maakt mits de kraker geen toegang tot het OS en haar bestanden heeft.

Om te voorkomen dat iemand iets tussen je toetsenbord en computer soldeert zijn trouwens speciale toetsenborden die dat detecteren beschikbaar.

Keneo @kidde • 11 maart 2008 12:01

als iemand anders aan diezelfde pc gaat zitten wordt het keymapje natuurlijk wel weer geladen zodat het afgekeken passwoord wel werkt...

The Third Man @The Zep Man • 10 maart 2008 15:37

Echter een keylogger wordt door een antivirus-programma gedetecteerd.

barfieldmv @The Third Man • 10 maart 2008 15:54

Word elke keylogger door een anti virus programma gedetecteerd. En door welk anti virus programma dan wel weer.

Verder zijn er toetsenborden met intern geheugen, hand daar een telefoontje aan en je kan remote alle toetsaanslagen uitlezen.

Verwijderd @barfieldmv • 10 maart 2008 16:07

hij heeft 't denk ik over een softwarematige keylogger - die inderdaad te detecteren is. Een hardwarematige keylogger is moeilijker te detecteren, daar je dan toch echt de fysieke eigenschappen van toetsenbord, kabel, plug, etc. zal moeten inspecteren.

coretx @The Third Man • 10 maart 2008 17:51

een keylogger die voor de boot is geladen ga jij met je av proggy echt niet vinden knaap.

Verwijderd @coretx • 10 maart 2008 19:07

Je kunt voor het booten dan ook niks laden knul.

graey @Verwijderd • 10 maart 2008 20:05

Onee? Men neme freeloader (de ReactOS bootloader, die kan namelijk tegenwoordig zonder tussenkomst van Microsoftsoftware ook Windows 2003 inladen, dus XP zal ook niet onmogelijk zijn), men past die wat aan, men hangt die over NTLDR en poef, dan kan je (voor zover ik weet) vrij makkelijk extra code laden voordat Windows draait.

El Cid @NoepZor • 10 maart 2008 16:55

Voor zover ik weet is loop-aes immuun voor een dergelijke aanval. Door de sleutel constant te verplaatsen in het geheugen, blijft er geen 'afdruk' achter.

leuk_he @El Cid • 10 maart 2008 17:44

Nee.

Er zijn 2 aanvallen. De eerste is dat geheugen na enige tijd langer een stukje geheugen vasthoud omdat het constant is. Echter dat is tot nu toe alleen theorie

De andere aanval waarbij pc geheugen met een beetje koeling het geheugen tot enekele minuten vasthoud is wel kwetsbaar voor het verplaatsen in het geheugen. De status van een zeker moment ligt gewoon vast, en ergens moet ookeen pointer naar de key staan.
of een langer bekende variant hierop: coldboot: http://d-kriptik.com/blog/2008/02/21/cold-boot/

Loop-aes, maakt het wel een beetje moeilijker, maar zolang je key ergens in DRAM staat is het terug te halen. Totdat iemand een manier verzint om de key in de CPU of andere gespecialiseerde chips op te slaan. Ik denk dat de TCPA mannen daar hard over na aan het denken zijn.

diminator 10 maart 2008 14:32

het maakt niet uit wat mensen uitbrengen, wat door een mens gemaakt is kan ook kapot gemaakt worden door een mens. daarmee bedoel ik dat alles wat de mens verzint kwa beveiliging voor hardware en software en altijd iemand is die de beveiliging kan omzeilen. volgends mij is minder dan 1% van alle beveiligings software ook echt niet te kraken. om nou te zeggen dat dit schokkend nieuws is niet maar wel leuk om te weten dat ze beweren dat het super veilig is terwijl het eigenlijk "gemakkelijk" te kraken is

the_stickie @diminator • 10 maart 2008 14:41

Een degelijk opgezette security is niet te omzeilen

Het enige zwakke punt van een doordachte encryptie, is de sleutel zelf.
De genoemde usb-stick was niet goed beveiligd: de gegevens waren niet geëncrypteerd en dus door het bypassen van de authenticatiemethode, vrij beschikbaar.
Het "probleem" is dat een écht beveiligde stick a) relatief duur zou zijn (er is behoorlijk wat rekenkracht nodig voor het encrpteren) b) waarschijnlijk ook relatief complex zou zijn. Dat is zo omdat de sleutel zelf natuurlijk ook niet op het device opgeslagen mag zijn (zoals bij heel wat biometrische apparaten het geval is) Bovendien mag in het ultieme geval deze sleutel ook niet "zomaar" in het RAM leesbaar zijn: een complex sleutelsysteem is dus verist!

Arnoud Engelfriet @the_stickie • 10 maart 2008 15:06

Alles is te omzeilen. Ik sla jou gewoon net zo lang tot je me de pincode geeft. Of ik gijzel je vrouw tot je langskomt met de gegevens op de stick.

De vraag is altijd wat de kosten van de beveiliging zijn versus de schade bij het lek. En natuurlijk tegen wie of wat je beveiligt. Een stick als deze kan nuttig zijn tegen casual snoopers die je stick zien liggen en even gauw in hun laptop steken om te kijken wat jij er voor ondeugende dingen op hebt. Hij helpt niet tegen iemand die je stick steelt.

Aaargh! @Arnoud Engelfriet • 10 maart 2008 19:30

Alles is te omzeilen. Ik sla jou gewoon net zo lang tot je me de pincode geeft. Of ik gijzel je vrouw tot je langskomt met de gegevens op de stick.

Google eens op "deniable encryption".

Basically, je kan een filesystem maken met meerdere encryptie lagen en waar ook nog eens blokken random data in zitten. Je kan iemand dan een key geven die het filesystem 'unlocked' maar deze unlocked dan niet de daadwerkelijke geheime data maar een partitie met nep-data (die je er uiteraard zo echt mogelijk uit laat zien, of je geeft alsnog gevoelige data vrij zodat de gijzelaar denkt de echte partitie te hebben, maar de echte top-secret dingen zitten onder een extra laag encryptie). Door het gebruik van random blokken data is een encryptie te maken waarbij het niet mogelijk is om aan te tonen of er nog extra 'lagen' zijn die geunlocked kunnen worden of dat je daadwerkelijk alle geheime data hebt gedecrypt. (data die goed geencrypt is zou niet te onderscheiden moeten zijn van random data dus je weet niet welke blokken 'echt' zijn en welke gewoon rotzooi).

Uiteindelijk is natuurlijk alles te brute-forcen, het blijft een afweging tussen wat mag de beveiliging kosten en hoe lang het duurt om deze te omzeilen.

LDenninger @Arnoud Engelfriet • 10 maart 2008 17:13

Iemand slaan is niet "de beveiliging omzeilen".
Als jij iemand slaat en de code hebt, doet de stick gewoon wat ie moet doen : degene met de code de informatie geven.
Hoe jij aan die code komt hoort die stick worst te wezen.

Verwijderd @diminator • 10 maart 2008 14:37

Tenzij hetgene door de mens gemaakt ook zelfstandig kan evolueren.

BraX 10 maart 2008 14:33

Fijn om te weten dat het dus haast geldverspilling is om een usb-stick te kopen met enig form van beveiliging erop, waarvoor je dus meer moet betalen:/

Alle data gewoon voor het er op te zetten Encrypten?

Maar daar omzeil je de boel natuurlijk alleen mee...

n4m3l355 @BraX • 10 maart 2008 14:38

Nou ja de initiele opzet wordt wel bereikt met een minimale meerprijs. Ik vind 15 euro voor een 1 Gb stickje met een lichte beveiliging geen slechte keuze. En zolang de stick niet als onkraakbaar wordt verkocht zie ik eigenlijk geen probleem. Tevens laten we hopen dat de producent hiervan leert en vanaf nu de hele behuizing gewoon zwart coat en vervolgens volgiet met epoxy dat zal het in ieder geval wel weer bemoeilijken.

Verwijderd @BraX • 10 maart 2008 14:40

De beste beveiliging is natuurlijk je stick niet kwijtraken en geen missioncritical data erop te zetten

Maar goed, deze dingen zijn wel weer schijnveiligheid, de consument denkt, er zit een pincode op, dus goed beveiligd.. Niet dus, hulde aan _ferry_

En een echt zwaar beveiligde stick met diverse beveilingsmethodes zullen wel weer "te duur" zijn voor de gemiddelde consument maar voor bedrijven?

Mizitras @Verwijderd • 10 maart 2008 15:49

Bedrijven gaan zeggen dat je je data maar al eerst moet encrypteren, en dan pas op je stickje dumpen

CherandarGuard @BraX • 10 maart 2008 16:56

Nou ja, als je er wat geld voor over hebt zou je een Ironkey kunnen overwegen. Die zijn wel iets degelijker beveiligd.

Ik hoop natuurlijk wel een verslag te zien van een poging dat ding te kraken, al was het maar voor de volledigheid

HenkEisDS @BraX • 11 maart 2008 10:39

Niet helemaal. Je voorkomt misschien niet dat je data gelezen kan worden met deze (bagger)stick, maar juridisch is het wel handig. Het feit alleen al dat degene die de stick vind (belastingdienst, justitie) een 'technische handeling' moet uithalen om de data te lezen, betekend dat je de data niet als bewijsmateriaal mag gebruiken. Het is immers onrechtmatig verkregen.

Heeft Truecrypt al een mobiele memorystick module?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (92)

Sorteer op:

Weergave: