Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kingston roept 'beveiligde' usb-sticks terug

Door , 48 reacties

Kingston heeft op zijn website een waarschuwing geplaatst met de melding dat de beveiliging van enkele van zijn versleutelde usb-sticks ondeugdelijk zou zijn. De fabrikant roept bezitters van de sticks op om deze terug te sturen.

Volgens de fabrikant kunnen deskundigen met de juiste gereedschappen en directe toegang tot de hardware 'mogelijk' toegang verkrijgen tot de data op een aantal als veilig bestempelde usb-sticks. Details over de kwetsbaarheid geeft Kingston niet, maar het probleem zou zich voordoen bij de Kingston DataTraveler BlackBox, DataTraveler Secure Privacy Edition en DataTraveler Elite Privacy Edition.

Bezitters van de betreffende usb-sticks wordt aangeraden om data van de sticks te halen en ze terug te sturen naar Kingston voor een 'fabrieksupdate'. De fabrikant benadrukt verder dat een zestal andere secure usb-drives niet gevoelig zouden zijn voor het onbevoegd uitlezen van data. Toch kan de terugroepactie als pijnlijk bestempeld worden, want Kingston prijst een aantal sticks juist aan bij bedrijven en overheidsinstanties vanwege de hardwarematige encryptie op de sticks. Zo zou voor de BlackBox-sticks 256bit aes-encryptie toegepast worden.

Door Dimitri Reijerman

Redacteur

31-12-2009 • 16:26

48 Linkedin Google+

Reacties (48)

Wijzig sortering
Tot een tijd terug werden hier regelmatig tests gedaan met zo'n beveiligde usb-sticks die dan ook gekraakt konden worden. Zou dit zoiets zijn?

(En als ik paranoide ben, zou ik denken dat ze er van de overheid een backdoor moeten opzetten in geval iemand aangeklaagd wordt.)
Pff, als je je data er safe op wilt hebben, kan je tog gewoon je data versleutelen met een encryptieprogramma zoals TrueCrypt :?
Dat klopt, maar daarmee heb je nog geen transparante hardware-versleuteling. Daarnaast is er met TrueCrypt natuurlijk ook geen self-destruct mogelijk, behalve hooguit de data zelf onklaar maken (geen id eigenlijk of TC zo'n functie kent). Ook niet onbelangrijk: een kwaadwillend persoon kan uit nijd nog steeds de gegevens (lees: de TC-container) van je stick wegflikkeren. Bij een hardware-beveiligde stick kan dat ook niet.

[Reactie gewijzigd door _Thanatos_ op 31 december 2009 23:16]

Meneer kwaadwillend persoon heeft meestal de stick in zijn eigendom. Hoe vaak zal hij je uberbeveiligde USBstick teruggeven zonder er iets mee te doen omdat de container niet weggegooit kan worden? Dan is TC toch een voordeligere optie voor de meeste mensen
Dat laatste daar heb je gelijk in. Maar stel je voor dat je op je werk bent en je gaat lunchen terwijl je USB-stick nog in je poortje gestoken zit? Juist, het is voor een collega die jou niet mag een kleine moeite om em eventjes in zijn eigen pc te steken en wat te rommelen. Om vervolgens de stick weer terug in jouw pc te steken voordat je klaar bent met lunchen.

Ja. Helaas. Dat gebeurt echt.

[Reactie gewijzigd door _Thanatos_ op 4 januari 2010 14:13]

Dat is natuurlijk wel "erg veilig" zodat je zelf niet meer bij je spullen kunt komen. Probleem is altijd de juiste mensen weten te bereiken.
Jijzelf kunt uiteraard wel bij die data die erop staat, maar anderen kunnen dat kennelijk ook, en dát is dus niet de bedoeling.

Wel stom dat ze de kwetsbaarheid niet openbaar maken. Dit is gewoon 'security by obscurity' en we weten allemaal dat dat gewoon niet werkt.
Ja ze gaan ff uitleggen hoe je de beveiliging kraakt :'). Deden ze vroeger ook bij PHPBB, de glitchen en hacks openbaar maken voor ze gefixt waren. Hoe dom ben je dan?
Toch is dat geen aparte manier van handelen hoor. MS patcht sommige gaten ook pas op het moment dat er exploits in het wild zijn verschenen.

Handig is anders natuurlijk en zeker bij dit soort producten kun je dat niet hebben want dit soort dingen zijn 99% marketing en dan kun je dit net ff niet hebben :).
om het te vergelijken met deze usb-sticks,

MS-product met lek,
third party publiceert lek
MS update...

Kingston-product met lek,
Kingston vind ZELF een lek,
en update dus hun product...

Verder vind k t netjes hoe t opgelost word.
Als je de link in het artikel volgt, is ongeveer de eerste zin van Kingston: "It has recently been brought to our attention", wat ik zou vertalen als: "Het is onlangs onder onze aandacht gebracht". Dat impliceert ook bij Kingston een "derde" die het lek heeft gevonden.
Jouw vergelijkingsballonnetje is dus lek. ;)

Ik vind het overigens belangrijker dat een lek wordt gedicht dan wie het ontdekt.
Aan de andere kant (die van MS) blijft het steeds een afweging wat wel en niet gepatched moet worden en hoe snel. Iedere patch moet tijdrovend getest worden en introduceert desondanks mogelijk weer nieuwe lekken of foutjes.
Dat hoeft niet te betekenen dat ze er door een buitenstaander van op de hoogte zijn gebracht. Het kan ook zijn dat een van hun eigen medewerkers hen ervan op de hoogte heeft gebracht (dus dat de woordvoerder het niet zelf ontdekt heeft), en volgens mij eventueel zelfs als "we zijn er onlangs op gaan letten" alhoewel dat wel enigszins een vrije vertaling is... maar engelse zinnen met een passive zijn vaak een beetje dubbelzinnig als je ze wil vertalen.
MS patch heel regelmatig lekken die nog niet in het wild verschenen zijn - maar als de lek nog niet is gepubliceerd hoe die werkt doet MS het ook niet, ook al brengen ze de patch uit.
Niet iedereen patch altijd -en al helemaal niet direct- door het lek NIET te publiceren geven ze de late patchers wat meer tijd en een kleinere kans dat het lek misbruikt wordt voordat late patchers de patch doorvoeren. (Zeker bij grote organisaties moeten alle updates, dus ook de maandelijkse tuesday patches van MS) eerst intern getest worden.
En wat win je ermee om te publiceren? Fout zou pas zijn wel weten dat er een lek is maar niets doen!
Als je de video-boodschappen nav de Tuesday Patchday van MS volgt zie je voldoende voorbeelden hiervan.

(en voor MS kan je elke softwareboer lezen, maar MS heeft nu eenmaal een redelijk grote installed base. En ik bedoel met deze post ook niet specifiek MS te verdedigen, al werk ik wel op de support-afdeling van dat bedrijf: ook als Apple of andere OS en apps-boeren security patches op die manier uitbrengen zonder het lek uitgebreid te gaan beschrijven steun ik dat: wat is het nut van nog onbekende lekken te publiceren?) MSsupport-Dublin-IE

http://www.microsoft.com/...ty/bulletin/MS09-dec.mspx : als je je registreert kan je de webcast maandelijks live volgen op de dag na Patch Tuesday: erg interessant voor wat achtergrond, al geeft het weinig meer info dan de security bulletins zelf, maar het verteert wat makkelijker dan de droge tekst alleen

[Reactie gewijzigd door tonkie67 op 1 januari 2010 04:59]

MS patch heel regelmatig lekken die nog niet in het wild verschenen zijn
Ongetwijfeld - maar Microsoft heeft bovendien een reputatie (of die terecht is weet ik niet) om veel lekken die onder hun aandacht gebracht worden volkomen te negeren totdat er een publieke exploit voor is, wat de door jou beschreven goede acties volledig teniet doet. Zoals je zelf al zegt, "Fout zou pas zijn wel weten dat er een lek is maar niets doen!".
Bij MS is het overigens ook niet helemaal eerlijk (goed is het wel, maar je moet je daarbij wel iets bedenken..) om te zeggen dat ze pas patchen als de exploits in het wild zijn verschenen. Dit hoeft namelijk niet te betekenen dat MS deze exploit niet kent. Als alleen MS de exploit kent dan heb je inderdaad security by obscurity. Probleem is echter: als je een patch uitbrengt is de exploit bekend en kómen er exploits op de markt er is immers een gigantische groep MS machines die onbeveiligd aan het net zitten...
Maargoed, exploits zijn bij een groot stuk code moeilijk te voorkomen...
Wel stom dat ze de kwetsbaarheid niet openbaar maken. Dit is gewoon 'security by obscurity' en we weten allemaal dat dat gewoon niet werkt.
Dit is helemaal geen 'security by obscurity'. Dat was het pas geweest als ze geen terughaal actie hadden uitgevoerd en hun mond hadden dicht gehouden. Kingston erkend het probleem en gaat er wat aan doen.
security by obscuritie zou zijn als die blackbox claimt superveilig te zijn, zonder dat ze uitleggen waarom dan wel niet, of als ze zeggen dat het hele sterkte encritie gebruikt, terwijl in werkelijkheid de data in gezipte vorm op de stick staat en dus zo uitgepakt kan worden, als je weet dat dat de "bedoeling" is.

dit is een lek in een encriptieprotocol. ergens in de hardware of software is een foutje gemaakt, waardoor er op alternatieve manier toch de data kan worden ontsleuteld.


dat ze die sticks nu terugroepen is niet heel raar.
maar stel dat ik zo'n bedrijf ben, en ik loop met dat ding op zak, t brand in mijn been bij de wetenschap hoe "clisified" die data wel niet is.. dan ga ik bij zon lek dat ding echt niet terugsturen....
wie weet wie en hoe ze de data er onderweg nog vanaf kunnen krijgen, zonder dat ik daar dan weet van heb.
t loont wel de moeite, want die sticks bevatten allemaal "geheime" gegevens.

ik zou hem in een kluis leggen en een nieuwe kopen die wel veilig is.

t heeft wel een beetje hoog conspiracy gehalte wat ik zeg, maar t zzou wel de allermakkelijkste manier zijn om gevoelige data in je bezit te krijgen, en de mensen die het dan "treft" die waren toch echt wel te dom om zich dat te realiseren.
ik zou hem in een kluis leggen en een nieuwe kopen die wel veilig is.
Als het zooooo geheim is, zou ik hem toch maar smelten ;) Een kluis is nog altijd kraakbaar.
t heeft wel een beetje hoog conspiracy gehalte wat ik zeg, maar t zzou wel de allermakkelijkste manier zijn om gevoelige data in je bezit te krijgen, en de mensen die het dan "treft" die waren toch echt wel te dom om zich dat te realiseren.
Ben jij een complot-theorie-denker?
lekker veilig gevoel.
Terug roep actie voor harde schijven van een vaak voorkomend type op poot brengen. Deze terug laten sturen naar de fabriek in kuch Nigeria. De gewiste date achterhalen en namen en adressen verzamelen om spam naar toe te versturen.
Misschien heeft deze werknemer van de rabobank wel zo'n stick verloren ? ;)
Jaja, lekker het geheime spul van je stick kopieeren, 'format', denken dat alles daarmee gewist is, en hem vervolgens gewoon naar de fabriek op te sturen. :+
Dat kan een dure grap worden voor Kensington.

Begrijp ook niet dat ze dit soort beveiligingen niet eerst uitvoerig getest worden?
Voor alle duidelijkheid: Kensington is niet hetzelfde als Kingston (en andersom)...

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*