Verschlüsselte USB-Sticks: Zugriff ohne gültiges Kennwort

Software-Update verhindert künftige Angriffe

26C3

Die Sicherheitsspezialisten von Syss haben Fehler bei verschlüsselten USB-Sticks gefunden, die dazu führen, dass Angreifer ohne gültiges Kennwort auf die Daten auf den USB-Sticks zugreifen können. Beide Produkte sollen eigentlich besonders sicher sein.

Anzeige

Gefunden wurden die Fehler in speziellen USB-Sticks von Sandisk und Kingston, die jeweils nach dem FIPS-Standard der NIST für den Einsatz beim US-amerikanischen Militär sowie bei der US-amerikanischen Regierung zertifiziert wurden. Nach Syss-Angaben lässt sich die Kennwortüberprüfung beider Produkte leicht aushebeln. Denn beide USB-Sticks setzen auf eine Software-Lösung, die den Zugriff auf die Daten auf dem Speichermedium freigibt. Eine Hardware-Verschlüsselung bieten beide Geräte nicht.

Bei der softwareseitigen Kennwortüberprüfung musste das Ergebnis der Entschlüsselung einen bestimmten Wert zurückgeben. Wie Syss aufdeckte, ändert sich dieser Wert nie, so dass den USB-Sticks ohne großen Aufwand vorgegaukelt werden kann, dass das eingegebene Kennwort korrekt ist. Dabei spielt es keine Rolle, welches Kennwort tatsächlich eingegeben wird. Auf diesem Weg könen Unbefugte Zugriff auf alle Daten auf dem USB-Stick erlangen.

Sowohl Sandisk als auch Kingston wurden von Syss auf den Fehler aufmerksam gemacht und haben bereits Software-Updates bereitgestellt, damit dieser Angriff nicht mehr möglich ist. Betroffen sind die Kingston-Geräte Datatraveler Blackbox (DTBB), Datatraveler Secure - Privacy Edition (DTSP) sowie Datatraveler Elite - Privacy Edition (DTEP) sowie die Sandisk-Sticks Cruzer Enterprise USB flash drive CZ22, Cruzer Enterprise FIPS Edition USB flash drive CZ32, Cruzer Enterprise with McAfee USB flash drive CZ38 und Cruzer Enterprise FIPS Edition with McAfee USB flash drive CZ46.

Kommentarübersicht
Re: Inhaltlicher Fehler im Bericht
OldFart 02. Jan 2010

Nö, falsch. Konkret mal zum Kingston - Du solltest mal das durchlesen was dazu...

Re: Security by Obscurity
antares 30. Dez 2009

lol... GSM und sicher? Bei GSM wurde bewusst A/1 genutzt, um erstens die Exportgesetze...

Re: FIPS-Zertifikate verteilen aber Keine offenen...
Siga-anal 30. Dez 2009

wer keine ahnung hat kifft und trollt bei golem.de Such dir endlich n Job!

Re: Auf den letzten Drücker!
nepumuk 30. Dez 2009

Ich finds auch komisch das z.B. zur CeBit immer über Produktneuheiten berichtet wird...

Re: truecrypt
Shadow27374 30. Dez 2009

Das man der Truecrypt-Foundation mangels Informationen nicht trauen will ist in Ordnung...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Web-Redakteurin / Web-Redakteur
    Universität Passau, Passau
  2. IT-Berater/in Sales
    Schaeffler Technologies AG & Co. KG, Herzogenaurach
  3. IT-Specialist Finanzen (Nationale IT) (m/w)
    ALDI SÜD, Mülheim an der Ruhr
  4. Software Team Coordinator (m/w)
    Olympus Soft Imaging Solutions GmbH, Münster

 

Detailsuche

Folgen Sie uns
       
Videos
T-Pod - mobiles Kraftwerk mit Teelicht T-Pod - mobiles Kraftwerk mit Teelicht
Meistgelesen
  1. Kim Dotcom

    "Gebt mir meine Rechner zurück!"
  2. Anstößige Animationen

    Cinemagram-App wieder in Apples App Store
  3. Bernd Schlömer

    Piratenchef darf im Dienst weder mailen noch twittern
  4. Bang! Lamp

    Eine Designlampe zum Abknallen
  5. Google Maps

    Behörde verschleudert Bundesdaten an Google
Meistkommentiert
  1. IMHO: Warum ich nicht Diablo 3 spiele

    Kommentare: 383 | letzter Beitrag 13:28 Uhr

  2. Bundesregierung: Deutsche Geheimdienste können PGP entschlüsseln

    Kommentare: 215 | letzter Beitrag 11:40 Uhr

  3. USB-Sticks und Speicherkarten: Pauschalabgaben sollen von 10 Cent auf knapp 2 Euro steigen

    Kommentare: 214 | letzter Beitrag 14:04 Uhr

  4. F2, F8, F12: Windows 8 startet zu schnell

    Kommentare: 180 | letzter Beitrag 12:20 Uhr

  5. Via APC: Android-PC zum Selbstbauen für 49 US-Dollar

    Kommentare: 125 | letzter Beitrag 24.05. 18:01

Mehr

Ticker
  1. Play Store

    Google startet Bezahlabos in Android-Anwendungen

  2. Fußball

    Telekom stellt angeblich Liga Total ein

  3. SpaceX

    Dragon dockt an die ISS an

  4. IMHO

    Gema und Youtube - Der Kampf ums Urheberrecht

  5. USB-Sticks und Speicherkarten

    Hersteller wehren sich gegen neue "Mondtarife"

  6. Test HTC One XL

    Smartphone-Leichtgewicht mit LTE

  7. Gerücht

    Spiele-Streaming kommt auf die Playstation

  8. Owncloud Inc.

    "Wir sind kein Serviceprovider"

  9. Street View

    US-Abgeordnete fordern Untersuchung der WLAN-Datensammlung

  10. Schadsoftware

    Empfänger von Angry-Birds-SMS muss Strafe zahlen

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Chrome OS
Samsung XE300: Google Chromebox versehentlich ausgeliefert
Samsung XE300
Google Chromebox versehentlich ausgeliefert

Weitgehend unbemerkt hat der US-Händler Tigerdirect die ersten Chromebox-Systeme von Google ausgeliefert. Für 330 US-Dollar bekommt der Nutzer recht gute Hardware in Nettop-Form, die sehr viel leistungsfähiger ist als die des Chromebook mit ChromeOS.

  1. Googles Aura Chromium OS mit klassischem Desktop
Lockheed Martin
Lockheed Martin: US-Soldaten in Afghanistan bekommen Exoskelett
Lockheed Martin
US-Soldaten in Afghanistan bekommen Exoskelett

Lockheed Martin hat eine neue Version des Exoskeletts Hulc vorgestellt, das es einem Menschen ermöglicht, schwere Lasten zu heben und zu tragen. Der Hersteller will das System im Spätsommer testen und, wenn alles gutgeht, danach an US-Soldaten in Afghanistan ausliefern.

  1. Rüstung Ramsch-Technik aus China in US-Waffensystemen
Überwachung
PGP vs. Geheimdienste: "PGP ist weiterhin sicher"
PGP vs. Geheimdienste
"PGP ist weiterhin sicher"

Symantec hat sich zu den Aussagen der Bundesregierung geäußert, nach denen Geheimdienste in der Lage seien, SSH oder PGP zu knacken oder zu umgehen. Mathematisch gesehen sei kein wirksamer Angriff bekannt.

  1. Mobilfunk Achtung, Eltern lesen mit!
  2. Überwachungskameras Aldi-Manager zoomten Kundinnen unter den Rock
  3. Datenschutz Tim Berners-Lee kritisiert britische Überwachungspläne
Forumsbeiträge »
  1. Bernd Schlömer Piratenchef darf im Dienst weder mailen noch twittern

    Re: Perfekt.

    Clown | 14:19

  2. Lollipop Chainsaw angespielt Blond und brutal

    Re: Jugendschutz?

    Hotohori | 14:18

  3. Project Glass Videoaufnahme mit der Google-Brille

    Exklusive Actioncam?

    GruenBlau | 14:17

  4. USB-Sticks und Speicherkarten Hersteller wehren sich gegen neue "Mondtarife"

    So langsam reicht es.

    Trollfeeder | 14:17

  5. Project Glass Videoaufnahme mit der Google-Brille

    Re: Warum nur 2D?

    Coding4Money | 14:15

Ticker »
  1. Play Store Google startet Bezahlabos in Android-Anwendungen

    14:22

  2. Fußball Telekom stellt angeblich Liga Total ein

    14:14

  3. SpaceX Dragon dockt an die ISS an

    14:08

  4. IMHO Gema und Youtube - Der Kampf ums Urheberrecht

    13:57

  5. USB-Sticks und Speicherkarten Hersteller wehren sich gegen neue "Mondtarife"

    13:16

  6. Test HTC One XL Smartphone-Leichtgewicht mit LTE

    12:29

  7. Gerücht Spiele-Streaming kommt auf die Playstation

    12:28

  8. Owncloud Inc. "Wir sind kein Serviceprovider"

    12:25

Zum Artikel