Verschlüsselte USB-Sticks: Zugriff ohne gültiges Kennwort

Software-Update verhindert künftige Angriffe

26C3

Die Sicherheitsspezialisten von Syss haben Fehler bei verschlüsselten USB-Sticks gefunden, die dazu führen, dass Angreifer ohne gültiges Kennwort auf die Daten auf den USB-Sticks zugreifen können. Beide Produkte sollen eigentlich besonders sicher sein.

Anzeige

Gefunden wurden die Fehler in speziellen USB-Sticks von Sandisk und Kingston, die jeweils nach dem FIPS-Standard der NIST für den Einsatz beim US-amerikanischen Militär sowie bei der US-amerikanischen Regierung zertifiziert wurden. Nach Syss-Angaben lässt sich die Kennwortüberprüfung beider Produkte leicht aushebeln. Denn beide USB-Sticks setzen auf eine Software-Lösung, die den Zugriff auf die Daten auf dem Speichermedium freigibt. Eine Hardware-Verschlüsselung bieten beide Geräte nicht.

Bei der softwareseitigen Kennwortüberprüfung musste das Ergebnis der Entschlüsselung einen bestimmten Wert zurückgeben. Wie Syss aufdeckte, ändert sich dieser Wert nie, so dass den USB-Sticks ohne großen Aufwand vorgegaukelt werden kann, dass das eingegebene Kennwort korrekt ist. Dabei spielt es keine Rolle, welches Kennwort tatsächlich eingegeben wird. Auf diesem Weg könen Unbefugte Zugriff auf alle Daten auf dem USB-Stick erlangen.

Sowohl Sandisk als auch Kingston wurden von Syss auf den Fehler aufmerksam gemacht und haben bereits Software-Updates bereitgestellt, damit dieser Angriff nicht mehr möglich ist. Betroffen sind die Kingston-Geräte Datatraveler Blackbox (DTBB), Datatraveler Secure - Privacy Edition (DTSP) sowie Datatraveler Elite - Privacy Edition (DTEP) sowie die Sandisk-Sticks Cruzer Enterprise USB flash drive CZ22, Cruzer Enterprise FIPS Edition USB flash drive CZ32, Cruzer Enterprise with McAfee USB flash drive CZ38 und Cruzer Enterprise FIPS Edition with McAfee USB flash drive CZ46.

Kommentarübersicht
Re: Inhaltlicher Fehler im Bericht
OldFart 02. Jan 2010

Nö, falsch. Konkret mal zum Kingston - Du solltest mal das durchlesen was dazu...

Re: Security by Obscurity
antares 30. Dez 2009

lol... GSM und sicher? Bei GSM wurde bewusst A/1 genutzt, um erstens die Exportgesetze...

Re: FIPS-Zertifikate verteilen aber Keine offenen...
Siga-anal 30. Dez 2009

wer keine ahnung hat kifft und trollt bei golem.de Such dir endlich n Job!

Re: Auf den letzten Drücker!
nepumuk 30. Dez 2009

Ich finds auch komisch das z.B. zur CeBit immer über Produktneuheiten berichtet wird...

Re: truecrypt
Shadow27374 30. Dez 2009

Das man der Truecrypt-Foundation mangels Informationen nicht trauen will ist in Ordnung...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Mitarbeiter/in 1st & 2nd Level Support IT
    Christoffel Blindenmission Deutschland e.V., keine Angabe
  2. Referent SAP ERP HCM (m/w)
    Buchen IndustrieService GmbH, Köln
  3. Lead Engineer (m/w) IT-Dienstleistung Automotive
    Bertrandt Ing.-Büro GmbH Köln, Köln
  4. Projektleiter (m/w)
    Outcome Unternehmensberatung GmbH, Köln

 

Detailsuche

Folgen Sie uns
       
Videos
Parashoot - Kickstarter (Trailer) Parashoot - Kickstarter (Trailer)
Ticker
  1. Osram

    Mini-LEDs für stromsparende LCDs mit Quantenpunkten

  2. Flugdrohne

    GPS für AR.Drone 2.0 ermöglicht autonome Flüge

  3. 40 gefährliche Sicherheitslücken

    Aktueller Patch von Oracle nur für Java 7

  4. Hands On

    Huawei Ascend P6 ist schick und schlank

  5. Letzte Meile

    Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

  6. Prism

    Wie der BND das Netz überwacht

  7. Socl

    Microsofts soziales Netzwerk wird zum Meme-Generator

  8. XMP-Profile

    Kompatibilitätslisten zu DDR3-Modulen für Haswell

  9. Datenbrille

    Datenschützer halten Google Glass für nicht EU-tauglich

  10. We are Watching You

    Widerstand gegen Kinect-Überwachung in den USA

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Golem.de
In eigener Sache: Was auf unseren Adblocker-Aufruf folgte
In eigener Sache
Was auf unseren Adblocker-Aufruf folgte

Zusammen mit einigen anderen Websites haben wir vor rund einem Monat unsere Leser gebeten, ihren Adblocker auf unseren Seiten abzuschalten. Ein Resümee.

  1. In eigener Sache Bitte schalte deinen Adblocker aus!
Xbox One
Xbox One: 340.000 Asteroiden aus der Cloud
Xbox One
340.000 Asteroiden aus der Cloud

E3 2013 Wie leistungsstark Xbox One und Playstation 4 im Vergleich sind, lässt sich noch nicht endgültig sagen. Mit einer Demonstration hat Microsoft versucht, die Bedeutung der zusätzlich möglichen Cloud-Berechnungen zu belegen. Außerdem konnte Golem.de die beiden neuen Konsolencontroller ausprobieren.

  1. Xbox One Anonymer Microsoft-Entwickler verteidigt DRM
  2. Video-Interview Cevat Yerli über Römer, Ryse und Xbox-One-Technik
  3. Xbox One Ein Halo, ein Erscheinungstermin und ein Preis
Macbook
Photofast: MicroSD-Laufwerke für Macbooks
Photofast
MicroSD-Laufwerke für Macbooks

Photofast hat eine Speichererweiterung für Macbooks vorgestellt, die mit MicroSD-Karten bestückt wird. Die Konstruktion wird dann in den SD-Kartenschacht der Geräte gesteckt, wo sie fast vollständig verschwindet. Wer will, kann auch den beigelegten, winzigen MicroSD-Adapter für den USB-Port nutzen.

  1. Geplante Obsoleszenz Regierung lehnt Mindestnutzungsdauer von Technikprodukten ab
  2. Geplante Obsoleszenz Gesetz soll Mindestnutzungsdauer für Elektronik erzwingen
  3. Zendock Dockingstation für Macbook Pro und Retina-Modelle
Forumsbeiträge »
  1. Socl Microsofts soziales Netzwerk wird zum Meme-Generator

    Re: SOCL?

    hypron | 08:33

  2. Socl Microsofts soziales Netzwerk wird zum Meme-Generator

    Re: Schon krass in Zeiten von NSA damit aufzukreuzen

    awollenh | 08:32

  3. Flugdrohne GPS für AR.Drone 2.0 ermöglicht autonome Flüge

    Re: Alleine Fliegen...

    HierIch | 08:31

  4. Xbox One "Microsofts Geschäftspolitik gefährdet Xbox-Geschäft"

    Re: Die Rezensionen auf Amazon werden lustig.

    DY | 08:28

  5. Edward Snowden NSA-Hacker verursachen weltweit Systemabstürze

    Re: Glaubwürdigkeit

    Prypjat | 08:26

Ticker »
  1. Osram Mini-LEDs für stromsparende LCDs mit Quantenpunkten

    07:57

  2. Flugdrohne GPS für AR.Drone 2.0 ermöglicht autonome Flüge

    07:45

  3. 40 gefährliche Sicherheitslücken Aktueller Patch von Oracle nur für Java 7

    01:12

  4. Hands On Huawei Ascend P6 ist schick und schlank

    21:39

  5. Letzte Meile Bundesnetzagentur senkt Preise für TAL am Schaltverteiler

    20:08

  6. Prism Wie der BND das Netz überwacht

    19:36

  7. Socl Microsofts soziales Netzwerk wird zum Meme-Generator

    18:40

  8. XMP-Profile Kompatibilitätslisten zu DDR3-Modulen für Haswell

    18:24

Zum Artikel