Verschlüsselte USB-Sticks: Zugriff ohne gültiges Kennwort

Software-Update verhindert künftige Angriffe

26C3

Die Sicherheitsspezialisten von Syss haben Fehler bei verschlüsselten USB-Sticks gefunden, die dazu führen, dass Angreifer ohne gültiges Kennwort auf die Daten auf den USB-Sticks zugreifen können. Beide Produkte sollen eigentlich besonders sicher sein.

Anzeige

Gefunden wurden die Fehler in speziellen USB-Sticks von Sandisk und Kingston, die jeweils nach dem FIPS-Standard der NIST für den Einsatz beim US-amerikanischen Militär sowie bei der US-amerikanischen Regierung zertifiziert wurden. Nach Syss-Angaben lässt sich die Kennwortüberprüfung beider Produkte leicht aushebeln. Denn beide USB-Sticks setzen auf eine Software-Lösung, die den Zugriff auf die Daten auf dem Speichermedium freigibt. Eine Hardware-Verschlüsselung bieten beide Geräte nicht.

Bei der softwareseitigen Kennwortüberprüfung musste das Ergebnis der Entschlüsselung einen bestimmten Wert zurückgeben. Wie Syss aufdeckte, ändert sich dieser Wert nie, so dass den USB-Sticks ohne großen Aufwand vorgegaukelt werden kann, dass das eingegebene Kennwort korrekt ist. Dabei spielt es keine Rolle, welches Kennwort tatsächlich eingegeben wird. Auf diesem Weg könen Unbefugte Zugriff auf alle Daten auf dem USB-Stick erlangen.

Sowohl Sandisk als auch Kingston wurden von Syss auf den Fehler aufmerksam gemacht und haben bereits Software-Updates bereitgestellt, damit dieser Angriff nicht mehr möglich ist. Betroffen sind die Kingston-Geräte Datatraveler Blackbox (DTBB), Datatraveler Secure - Privacy Edition (DTSP) sowie Datatraveler Elite - Privacy Edition (DTEP) sowie die Sandisk-Sticks Cruzer Enterprise USB flash drive CZ22, Cruzer Enterprise FIPS Edition USB flash drive CZ32, Cruzer Enterprise with McAfee USB flash drive CZ38 und Cruzer Enterprise FIPS Edition with McAfee USB flash drive CZ46.

Kommentarübersicht
Re: Inhaltlicher Fehler im Bericht
OldFart 02. Jan 2010

Nö, falsch. Konkret mal zum Kingston - Du solltest mal das durchlesen was dazu...

Re: Security by Obscurity
antares 30. Dez 2009

lol... GSM und sicher? Bei GSM wurde bewusst A/1 genutzt, um erstens die Exportgesetze...

Re: FIPS-Zertifikate verteilen aber Keine offenen...
Siga-anal 30. Dez 2009

wer keine ahnung hat kifft und trollt bei golem.de Such dir endlich n Job!

Re: Auf den letzten Drücker!
nepumuk 30. Dez 2009

Ich finds auch komisch das z.B. zur CeBit immer über Produktneuheiten berichtet wird...

Re: truecrypt
Shadow27374 30. Dez 2009

Das man der Truecrypt-Foundation mangels Informationen nicht trauen will ist in Ordnung...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Senior Web Developer (m/w)
    ckc ag, Braunschweig, Berlin
  2. IT-Prozessmodelliererin/IT-P- rozessmodellierer
    Otto-von-Guericke-Universität Magdeburg, Magdeburg
  3. Webentwickler PHP / MySQL (m/w)
    Guest-One GmbH, Wuppertal
  4. Abteilungsleiter (m/w) IT-Infrastruktur und IT-Services
    Landwirtschaftliche Rentenbank, Frankfurt am Main

 

Detailsuche

Folgen Sie uns
       
Videos
Fifa Street - Trailer (Ballkontrolle) Fifa Street - Trailer (Ballkontrolle)
Meistgelesen
  1. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm
  2. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab
  3. Spielebranche

    Diskussion über "stinkende Gamer"
  4. Desktop-Roadmap

    Mozilla hat mit Firefox 2012 viel vor
  5. Samsung Galaxy Tab 2

    7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung
Meistkommentiert
  1. Lumia-Smartphones: Nokias Offensive auch in Deutschland gescheitert

    Kommentare: 270 | letzter Beitrag 13.02. 23:28

  2. Gerüchte: Apple will alle Notebooks dünner machen

    Kommentare: 188 | letzter Beitrag 04:17 Uhr

  3. Paypal: Nutzern von Kino.to drohen Strafverfahren

    Kommentare: 178 | letzter Beitrag 13.02. 22:01

  4. Klage gegen Samsung: Apple will Verkauf des Galaxy Nexus verhindern

    Kommentare: 116 | letzter Beitrag 13.02. 18:47

  5. Acta-Demos: Zehntausende gegen "bekACTA Scheiß" in München und Berlin

    Kommentare: 96 | letzter Beitrag 13.02. 16:40

Mehr

Ticker
  1. Jugendschutz

    Filtersoftware von Jusprog und Telekom staatlich anerkannt

  2. Gema-Vermerk

    Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

  3. Deutsche Post

    Zusatzfunktionen beim E-Postbrief dauern länger

  4. Gnome

    Neue Spezifikation für Fensterlayout

  5. Samsung Galaxy Tab 2

    7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

  6. IBM-Mainframe

    Nasa schaltet letzten Großrechner ab

  7. Appmenu Runner

    Head-Up Display auch in KDE

  8. Galaxy S2 mit Android 2.3.6

    Update wegen Abstürzen zurückgezogen?

  9. Fair Labor Association

    Apple lässt Foxconn überprüfen

  10. 802.11ac

    Broadcom will Chips für Gigabit-WLAN noch 2012 liefern

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Überwachung
Überwachungstechnik: Kuli mit HD-Videokamera
Überwachungstechnik
Kuli mit HD-Videokamera

Mit zwei unscheinbaren Kugelschreibern bietet der US-Sicherheitsdienstleister Swann hochauflösende Videokameras für Überwachungszwecke an, die praktisch nicht zu erkennen sind.

  1. Saeed Malekpour Iran bekräftigt Todesstrafe für Webentwickler
  2. Stille SMS In Hamburg über 134.700 heimliche Ortungsimpulse
  3. Europol Bundesregierung schweigt zu Überwachung sozialer Netzwerke
Activision Blizzard
Blizzard: Diablo 3 erscheint im zweiten Quartal 2012
Blizzard
Diablo 3 erscheint im zweiten Quartal 2012

Call of Duty Elite 2.0 kommt, Blizzard legt sich wegen Dota 2 mit Valve an und die Gewinne steigen: Beim Spielekonzern Activision Blizzard tut sich derzeit viel. Zusammen mit Geschäftszahlen wurde nun sogar ein Zeitrahmen für die Veröffentlichung von Diablo 3 genannt.

The Darkness
Test The Darkness 2: Standardshooter mit spannender Story
Test The Darkness 2
Standardshooter mit spannender Story

Am Anfang war die Finsternis, und alles war gut - bis das böse Licht kam: Der Egoshooter The Darkness 2 bietet neben einer packenden Handlung auch ultraharte Schockeffekte - von denen aber längst nicht alle in der deutschen Version zu sehen sind.

Forumsbeiträge »
  1. Gema-Vermerk Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

    Re: Gema-Mitgliedschaft

    StefanGrossmann | 06:27

  2. Jugendschutz Filtersoftware von Jusprog und Telekom staatlich anerkannt

    Medienkompetenz durch Filter

    EqPO | 06:26

  3. Deutsche Post Zusatzfunktionen beim E-Postbrief dauern länger

    Vor 2 Jahren war das fast noch sinnvoll

    EqPO | 06:22

  4. Jugendschutz Filtersoftware von Jusprog und Telekom staatlich anerkannt

    Problem Sex und Gewalt, Lösung

    AnotherVoice | 04:26

  5. Spielebranche Diskussion über "stinkende Gamer"

    Re: Die Branche hat ganz andere Probleme...

    amp amp nico | 04:20

Ticker »
  1. Jugendschutz Filtersoftware von Jusprog und Telekom staatlich anerkannt

    19:07

  2. Gema-Vermerk Youtube sperrt irrtümlich Acta-Video von Bruno Kramm

    18:55

  3. Deutsche Post Zusatzfunktionen beim E-Postbrief dauern länger

    18:06

  4. Gnome Neue Spezifikation für Fensterlayout

    17:53

  5. Samsung Galaxy Tab 2 7-Zoll-Tablet mit Android 4.0 und Glonass-Unterstützung

    17:26

  6. IBM-Mainframe Nasa schaltet letzten Großrechner ab

    16:49

  7. Appmenu Runner Head-Up Display auch in KDE

    16:25

  8. Galaxy S2 mit Android 2.3.6 Update wegen Abstürzen zurückgezogen?

    16:20

Zum Artikel