Verschlüsselte USB-Sticks: Zugriff ohne gültiges Kennwort

Software-Update verhindert künftige Angriffe

Die Sicherheitsspezialisten von Syss haben Fehler bei verschlüsselten USB-Sticks gefunden, die dazu führen, dass Angreifer ohne gültiges Kennwort auf die Daten auf den USB-Sticks zugreifen können. Beide Produkte sollen eigentlich besonders sicher sein.

Anzeige

Gefunden wurden die Fehler in speziellen USB-Sticks von Sandisk und Kingston, die jeweils nach dem FIPS-Standard der NIST für den Einsatz beim US-amerikanischen Militär sowie bei der US-amerikanischen Regierung zertifiziert wurden. Nach Syss-Angaben lässt sich die Kennwortüberprüfung beider Produkte leicht aushebeln. Denn beide USB-Sticks setzen auf eine Software-Lösung, die den Zugriff auf die Daten auf dem Speichermedium freigibt. Eine Hardware-Verschlüsselung bieten beide Geräte nicht.

Bei der softwareseitigen Kennwortüberprüfung musste das Ergebnis der Entschlüsselung einen bestimmten Wert zurückgeben. Wie Syss aufdeckte, ändert sich dieser Wert nie, so dass den USB-Sticks ohne großen Aufwand vorgegaukelt werden kann, dass das eingegebene Kennwort korrekt ist. Dabei spielt es keine Rolle, welches Kennwort tatsächlich eingegeben wird. Auf diesem Weg könen Unbefugte Zugriff auf alle Daten auf dem USB-Stick erlangen.

Sowohl Sandisk als auch Kingston wurden von Syss auf den Fehler aufmerksam gemacht und haben bereits Software-Updates bereitgestellt, damit dieser Angriff nicht mehr möglich ist. Betroffen sind die Kingston-Geräte Datatraveler Blackbox (DTBB), Datatraveler Secure - Privacy Edition (DTSP) sowie Datatraveler Elite - Privacy Edition (DTEP) sowie die Sandisk-Sticks Cruzer Enterprise USB flash drive CZ22, Cruzer Enterprise FIPS Edition USB flash drive CZ32, Cruzer Enterprise with McAfee USB flash drive CZ38 und Cruzer Enterprise FIPS Edition with McAfee USB flash drive CZ46.


OldFart 02. Jan 2010

Nö, falsch. Konkret mal zum Kingston - Du solltest mal das durchlesen was dazu...

antares 30. Dez 2009

lol... GSM und sicher? Bei GSM wurde bewusst A/1 genutzt, um erstens die Exportgesetze...

Siga-anal 30. Dez 2009

wer keine ahnung hat kifft und trollt bei golem.de Such dir endlich n Job!

nepumuk 30. Dez 2009

Ich finds auch komisch das z.B. zur CeBit immer über Produktneuheiten berichtet wird...

Shadow27374 30. Dez 2009

Das man der Truecrypt-Foundation mangels Informationen nicht trauen will ist in Ordnung...

Kommentieren




Anzeige

  1. Jasper ETL / Data Warehousing Experte (m/w)
    afb Application Services AG, München
  2. Senior Service Manager für TFS-Services (m/w) bei der evosoft GmbH
    evosoft GmbH, Nürnberg
  3. IT Consultant (m/w) IT-Architektur
    arvato distribution GmbH, Großraum Hannover oder Ostwestfalen
  4. Softwareentwickler (m/w)
    BVU Beratergruppe Verkehr + Umwelt GmbH, Freiburg

 

Detailsuche


Folgen Sie uns
       


  1. EU-Angleichung

    Welche Onlineshops keine Gratis-Retouren mehr erlauben

  2. MIT Media Lab

    Bildschirm gleicht Sehfehler aus

  3. Leere Symbolik

    Greenwald lehnt aus Protest Aussage im NSA-Ausschuss ab

  4. Technisches Komitee

    Debian beharrt auf mehreren Init-Systemen

  5. Stellar

    Kostenlose Kryptowährung soll Kunden locken

  6. Brigadier

    Kyoceras Saphirglas-Smartphone kostet 400 US-Dollar

  7. ZeroVM

    Virtuelle Maschine für die Cloud

  8. CDN

    Apple aktiviert offenbar sein Content Delivery Network

  9. Test Sacred 3

    Schnetzeln im Team

  10. Microsoft

    Enhanced Mitigation Experience Toolkit 5.0 freigegeben



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google: Youtube und der falsche Zeitstempel
Google
Youtube und der falsche Zeitstempel
  1. Spielevideos Google soll 1 Milliarde Dollar für Twitch.tv zahlen
  2. Videostreaming Youtube-Problem war ein Bug bei Google
  3. Videostreaming Telekom sieht Youtube-Problem erneut bei Google

Liebessimulation Love Plus: "Ich hoffe, du wirst für immer schön bleiben"
Liebessimulation Love Plus
"Ich hoffe, du wirst für immer schön bleiben"
  1. PES 2015 angespielt Neuer Ball auf frischem Rasen
  2. Metal Gear Solid - The Phantom Pain Krabbelnde Kisten und schwebende Schafe

LG 34UM95 im Test: Ultra-Widescreen-Monitor für 3K-Gaming
LG 34UM95 im Test
Ultra-Widescreen-Monitor für 3K-Gaming
  1. Free-Form Display Sharp zeigt LCD mit kurvigem Rahmen
  2. Eizo Foris FS2434 IPS-Display mit schmalem Rahmen für Spieler
  3. Philips 19DP6QJNS Klappmonitor mit zwei IPS-Displays

    •  / 
    Zum Artikel