Door Peter de Boer

Doktersteam

Feedback • 31-10-2007 09:0992

De BioSlimDisk Signature nader bekeken

Conclusie

Ritech heeft een knap stukje werk afgeleverd met de nieuwe BioSlimDisk Signature. Hij is - zeker in de definitieve versie - een stuk beter beveiligd dan andere door ons geteste apparaten. Uiteraard blijft het grote probleem van biometrische controle - de encryptiekey moet op het apparaat aanwezig zijn - bestaan. Mensen met een grote portemonnee en veel tijd zouden de microcontroller kunnen ontleden en mogelijk zo de gebruikte AES-sleutel ontdekken. Dit is echter een zeer specialistisch werk.

Beveiliging is niet altijd zwartwit. Vrijwel alles kan op de een of andere manier gekraakt worden. De kunst van een goede beveiliging is dan ook dat het meer moeite en geld kost om de beveiliging te kraken, dan dat de gekraakte data waard is. Of de lanceercodes van het wapenarsenaal van een kernmacht erop bewaard kunnen worden laten we maar even in het midden. Bedrijven of consumenten die echter een goede beveiliging willen, in combinatie met het gebruiksgemak van biometrische beveiliging, kunnen wat ons betreft de Biostick Signature met een gerust hart gebruiken.

BioSlimDisk
Singlepage-opmaak

Lees meer

Externe harde schijven

26 aug 2010

195
Leyio kondigt draadloze geheugenstick aan Nieuws van 23 januari 2009
Computers Usb-sticks Beveiliging Biometrie Reviews

Reacties (92)

-Moderatie-faq
92
92
33
20
0
15
Wijzig sortering
Dexter
31 oktober 2007 10:24
We kunnen niet anders dan tevreden zijn over het daadkrachtige optreden van Ritech.
en je mag hopen dat Ritech niet anders dan tevreden kan zijn met iemand als Jeroen.

Geweldig artikel! En deze vorm van product-ontwikkeling is natuurlijk wel een hele goeie. Fout opsporen, en snel oplossen.

Wat ik me afvroeg, er wordt geschreven over een zelfgebouwde NAND-geheugenlezer. Ik heb hier ook een defecte stick met, helaas, ook wat waardevolle data. Is het mogelijk om dat dan ook uit te lezen? Of heeft elke stick zijn eigen NAND-geheugenlezer nodig?
YopY
@Dexter31 oktober 2007 11:05
Volgens mij kun je data uitlezen door middel van wat handig soldeerwerk en een programma waarbij je gegevens uit kunt lezen. Volgens mij zijn de geheugenmodules vaak wel redeiljk uniform wat betreft gegevensuitwisseling.

Maar met kennis van hardware, electronica en software kun je een heel eind komen. Dat. en een overschot aan tijd ;).
Sprite_tm
@YopY31 oktober 2007 12:35
Niet helemaal: wear-levelling-algo's kunnen verschillen van stick tot stick. De unit die ik opgebouwd heb kan de rauwe NAND uitlezen en werkt dus wel altijd; je moet echter wel zelf de data samenrapen tot een filesysteem. Je zou in principe data ermee kunnen redden, maar voor alles behalve textfiles is het eigenlijk ondoenlijk als je de door de stick gebruikte algo's niet weet.
Punksmurf
@Dexter1 november 2007 00:09
Misschien kan je het proberen met een nieuwe (of in ieder geval werkende) stick uit dezelfde serie, liefst natuurlijk zelfde model.
418O2
31 oktober 2007 09:25
Wel een beetje apart dat T.net de hacks probeert en dat zij daar op reageren. Je zou toch mogen verwachten dat ze in-house hackers hebben die dit uitproberen...
TD-er
@418O231 oktober 2007 20:46
Deze hackers zijn voor de fabrikant ook een stuk goedkoper, want het kost ze maar een paar sticks en krijgen er serieus goede reclame voor terug door dit artikel.
Dus wat Sluggha hier onder mij ook al zegt. Erg goed gereageerd door Ritech op deze hack.
SpiceWorm
31 oktober 2007 10:25
Kun je via de datasheet van die vingerafdruk sensor de sensor niet vertellen dat je een nieuwe vingerafdruk wil inleren, en vervolgens je eigen vingerafdruk inleren?
Of is de AES key afgeleid van de vingerafdruk?
AuteurP_de_B
@SpiceWorm31 oktober 2007 10:33
als er een nieuwe vingerafdruk wordt geleerd - in trainingsmode - wordt er een nieuwe AES key gegenereerd. De opgeslagen data wordt onmiddelijk met deze key versleuteld en is dus op dat moment waardeloos.
kaandorp
31 oktober 2007 17:02
Waarom gieten ze die sticks niet gewoon in plastic, zodat het openen (als dit al mogelijk is) meteen de stick onbruikbaar maakt :?
dcm360
@kaandorp31 oktober 2007 17:25
Zomaar een vraagje, maar hoe wil je zoiets in plastic gieten zonder je electronica te smelten? Daar zit namelijk meestal ook wel plastic in verwerkt.
jeroenathome
@dcm36031 oktober 2007 20:17
Dan neem je een andere hars soort dan in het artikel staat. Er zijn er vast wel een paar soorten die tegen hogere temperaturen kunnen dan de verfafbrander die in dit artikel gebruikt is kan halen. Als je dit combineert met een chip die boven een temperatuur van 60 tot 70 graden zichzelf vernietigt heb je een hardware matige beveiliging die niet zomaar te kraken valt zonder de elektronica te vernietigen.
golfdiesel
@jeroenathome31 oktober 2007 21:53
Je hebt van die kabel verbindingsmoffen welke je vol giet met een of andere hars, die hars is koud en wordt kei en keihard. En die hars wordt niet zacht als je het warm maakt.
svenk91
@dcm36031 oktober 2007 18:41
niet alle plastics hebben de zelfde smeltwaarde
ATS
@dcm3601 november 2007 17:58
Dus pak je gewoon een twee componenten hars. Die hardt chemisch uit, en niet door hem warm te maken. Epoxyhars achtig spul bijvoorbeeld.
sluggha
31 oktober 2007 09:33
waarom zouden ze?
Zo krijg je (als fabrikant zijnde) een enorm goede feedback.
vergeet niet: twee zien meer als een.
Je kan wel een hacker in dienst hebben, maar je weet nooit of er iemand anders is die juist iets beter is als degene die je in dienst hebt.

Chapeau in ieder geval voor Ritech. De response tijd is formitastisch 8-)
zonglew00
31 oktober 2007 23:54
Inprincipe is elke beveiliging hackbaar alleen het niveau waar die gaat is dusdanig hoog dat het is niet meer voor een electro-nerdje laat staan een doorsnee tweaker.

Je kan dusdanig je beveiliging ophogen totdat maar een paar mensen op deze aardkloot kunnen hacken. Dan is het 99,99% veilig. Maar er glipt altijd die 0.01% die het wel kunnen. Dat is bijna verwaarloosbaar.

De mens is zelf altijd de grootste beveiligingslek.
Anoniem: 238608
1 november 2007 11:07
Er is goed onderzoek uitgevoerd naar de te onderscheiden "randomness" door een vingerprint reader. Het blijkt dat goed fingerprint readers ongeveer maximaal 45.000 verschillende fingerprints betrouwbaar kunnen onderscheiden. Voor theorie over de mate van randomness kun je kijken op de URL http://picasaweb.google.c...photo#5113711213639238754

Je kunt dus dit soort middelen altijd kraken door alle 45.000 verschillende mogelijkheden voor de fingerprints met brute force te proberen.

De beschrijving van een Proof-of-Concept Systeem dat bewijsbare veiligheid garandeerd met een bewijsbare gegarandeerde minimale attack complexiteit ( tot en met Perfect Security, dus onkraakbaar, zelfs niet met een Quantum Computer ) is te vinden op de URL http://picasaweb.google.com/freemovequantumexchange
n00bje
@Anoniem: 2386081 november 2007 22:14
Dan laat je de firmware het geheugen wissen na bv. 10 foutieve afdrukken.
RwD
@n00bje3 november 2007 09:43
Moet je wel goed opletten dat bijv je kinderen niet per ongeluk aan de stick komen thuis als je even iets te drinken gaat pakken ;)
Sprite_tm
@n00bje3 november 2007 23:20
Grappig, ware het niet dat je de fingerprint-processor en de hoofd-proc los kan halen en zo alsnog oneindig veel tries hebt :)
Parasietje
1 november 2007 16:10
Misschien een piste die nog niet verkend is: is de microController op die usb-stick iets standaard? Misschien kan je hem in-circuit flashen (ICSP) met een andere firmware die gewoon constant op een I/O lijn het hele in-chip-geheugen serieel uitzendt? Daar moet die AES-sleutel dan toch wel ergens tussenzitten, niet?
Anoniem: 231912
31 oktober 2007 19:35
als je het giet lijkt me dat dat betekend dat je het ook weer veilig kan smelten ?
golfdiesel
@Anoniem: 23191231 oktober 2007 21:54
je hebt harsen en epoxy soorten die koud gegoten kunnen worden en bijvoorbeeld gewoon aan de lucht of door middel van UV uitharden. Deze harsen zijn verder ongevoelig voor warmte.
Belboer
@Anoniem: 23191231 oktober 2007 22:02
Hoeft niet. Er zijn diverse twee componenten materialen die je eerst mixt en die daarna uitharden tot een thermohardende kunststof zoals epoxy. Nu maakt het wel of niet kunnen smelten weinig uit qua beveiliging. Je kan het ook voorzichtig weg dremelen of met een zuur/plasma etser oplossen. Chip behuizingen worden vaak van dit soort kunsstoffen gemaakt en die kan je prima openen.

edit:
linkje toegevoegd en golfdiesel had net 5 minuten minder nodig voor zijn commentaar :'(

[Reactie gewijzigd door Belboer op 31 oktober 2007 22:43]

SirBlade
@Belboer1 november 2007 08:21
Door de hars een aantal hele dunne metalen draadjes laten lopen, zodra 1 van die draadjes verbroken wordt de chip permanent onbruikbaar gemaakt.
RwD
@SirBlade3 november 2007 09:41
Met voldoende tijd maak je van een pen nog een wapen. Als we nu gewoon die chip zelf veilig genoeg maken. Want als we van de mechanische beveiligingen uit moeten gaan was er weinig extra beveiliging nodig; deze stick was pas aanvalbaar nadat hij open was gemaakt.... (even nepafdrukken proberen niet meegenomen)

Ik neem aan dat de fabrikant zoiets ook bedenken kan, niet?
Wlf
31 oktober 2007 10:57
Een onopgemerkte man-in-the-middle aanval kan je toch helemaal niet uitvoeren bij een usb-stick?

Ik bedoel dus dat de beveiliging enkel gekraakt is kunnen worden omdat jullie ook de juiste vingerafdruk hebben waarbij het 'go' signaal werd gegeven.
AuteurP_de_B
@Wlf31 oktober 2007 11:00
In de eerste versie was een eenmaal 'opgenomen' signaal van een willekeurige stick genoeg om andere sticks te unlocken. Je hebt inderdaad eenmalig een geldige respons nodig. De verbeterde versie heeft zoals in het artikel staat technieken om die omweg te blokkeren.
Jaap-Jan
@P_de_B1 november 2007 11:15
Misschien een verduidelijking: op het moment dat de vingerafdrukchip een geldige vingerafdruk vind, stuurt hij een 'berichtje', in het voorbeeld in het artikel is dat dit bericht:
Vingerafdrukchip: "Ja, het is de tweede afdruk die mij geleerd is"
Deze respons is iedere keer hetzelfde en is dus ook uit te voeren met het C- programma.

Dit soort aanval wordt een Replay attack genoemd, omdat de aanval iedere keer weer op dezelfde manier werkt.
1 2 3 4

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee