Verschlüsselte USB-Sticks: Zugriff ohne gültiges Kennwort

Software-Update verhindert künftige Angriffe

Die Sicherheitsspezialisten von Syss haben Fehler bei verschlüsselten USB-Sticks gefunden, die dazu führen, dass Angreifer ohne gültiges Kennwort auf die Daten auf den USB-Sticks zugreifen können. Beide Produkte sollen eigentlich besonders sicher sein.

Anzeige

Gefunden wurden die Fehler in speziellen USB-Sticks von Sandisk und Kingston, die jeweils nach dem FIPS-Standard der NIST für den Einsatz beim US-amerikanischen Militär sowie bei der US-amerikanischen Regierung zertifiziert wurden. Nach Syss-Angaben lässt sich die Kennwortüberprüfung beider Produkte leicht aushebeln. Denn beide USB-Sticks setzen auf eine Software-Lösung, die den Zugriff auf die Daten auf dem Speichermedium freigibt. Eine Hardware-Verschlüsselung bieten beide Geräte nicht.

Bei der softwareseitigen Kennwortüberprüfung musste das Ergebnis der Entschlüsselung einen bestimmten Wert zurückgeben. Wie Syss aufdeckte, ändert sich dieser Wert nie, so dass den USB-Sticks ohne großen Aufwand vorgegaukelt werden kann, dass das eingegebene Kennwort korrekt ist. Dabei spielt es keine Rolle, welches Kennwort tatsächlich eingegeben wird. Auf diesem Weg könen Unbefugte Zugriff auf alle Daten auf dem USB-Stick erlangen.

Sowohl Sandisk als auch Kingston wurden von Syss auf den Fehler aufmerksam gemacht und haben bereits Software-Updates bereitgestellt, damit dieser Angriff nicht mehr möglich ist. Betroffen sind die Kingston-Geräte Datatraveler Blackbox (DTBB), Datatraveler Secure - Privacy Edition (DTSP) sowie Datatraveler Elite - Privacy Edition (DTEP) sowie die Sandisk-Sticks Cruzer Enterprise USB flash drive CZ22, Cruzer Enterprise FIPS Edition USB flash drive CZ32, Cruzer Enterprise with McAfee USB flash drive CZ38 und Cruzer Enterprise FIPS Edition with McAfee USB flash drive CZ46.


OldFart 02. Jan 2010

Nö, falsch. Konkret mal zum Kingston - Du solltest mal das durchlesen was dazu...

antares 30. Dez 2009

lol... GSM und sicher? Bei GSM wurde bewusst A/1 genutzt, um erstens die Exportgesetze...

Siga-anal 30. Dez 2009

wer keine ahnung hat kifft und trollt bei golem.de Such dir endlich n Job!

nepumuk 30. Dez 2009

Ich finds auch komisch das z.B. zur CeBit immer über Produktneuheiten berichtet wird...

Shadow27374 30. Dez 2009

Das man der Truecrypt-Foundation mangels Informationen nicht trauen will ist in Ordnung...

Kommentieren



Anzeige

  1. Senior Projektmanager (m/w)
    Medienfabrik Gütersloh GmbH, Gütersloh, Bonn oder Köln
  2. Software Experte / Architekt (m/w)
    Robert Bosch Car Multimedia GmbH, Hildesheim
  3. Senior Projektmanager (m/w)
    dmc digital media center GmbH, Stuttgart
  4. Software-Architekt (m/w)
    SYZYGY Deutschland GmbH, Bad Homburg

 

Detailsuche


Spiele-Angebote
  1. NEU: FINAL FANTASY X/X-2 HD Remaster PS4
    49,99€ Release 15.5.
  2. GTA 5 (PC)
    59,00€ (Vorbesteller-Preisgarantie) USK 18 - Release 14.04.
  3. GOG jetzt auch in Deutsch + Schnäppchen
    (u. a. Deponia 0,49€, Tropico 3 Gold 5,39€)

 

Weitere Angebote


Folgen Sie uns
       


  1. Geheimdienstakten vorenthalten

    BND muss für den NSA-Ausschuss nachsitzen

  2. Bundesnetzagentur

    Liquid will sich Platz als Mobilfunkbetreiber einklagen

  3. UEFI

    Firmware-Updates unter Linux werden einfacher

  4. Bittorrent Sync 2.0

    Daten im Abo synchronisieren

  5. Kampf um den Hauptverteiler

    Telekom wirft Konkurrenz lahmen Vectoring-Ausbau vor

  6. Beasts of No Nation

    US-Kinoketten boykottieren Oscar-Anwärter von Netflix

  7. Virtual Reality

    AMDs Liquid VR nutzt eine Grafikkarte pro Auge

  8. Hyundai

    Smartwatch startet Auto

  9. Soziale Netzwerke

    Vernetzt und zugenäht!

  10. Elektromobilität

    Goodyear-Reifen soll Autoakku laden



Haben wir etwas übersehen?

E-Mail an news@golem.de



BQ Aquaris E4.5 angesehen: Das erste Ubuntu-Smartphone macht Lust auf mehr
BQ Aquaris E4.5 angesehen
Das erste Ubuntu-Smartphone macht Lust auf mehr
  1. Aquaris E4.5 Canonical bringt das erste Ubuntu-Smartphone - schubweise

OxygenOS von Oneplus: "Wir wollen keine Funktionen entwickeln, die nerven"
OxygenOS von Oneplus
"Wir wollen keine Funktionen entwickeln, die nerven"
  1. Oneplus One-Smartphone bekommt Lollipop erst im März
  2. Alternatives ROM Paranoid Android schließt sich Oneplus an
  3. OxygenOS Oneplus greift auf Paranoid-Android-Entwickler zurück

Modulares Smartphone im Hands on: Kinder spielen Lego, Große spielen Ara
Modulares Smartphone im Hands on
Kinder spielen Lego, Große spielen Ara
  1. Project Ara Erster Hersteller hat rund 100 Smartphone-Module fertig
  2. Modulares Smartphone Googles neuer Project-Ara-Prototyp
  3. Project Ara Erstes modulares Smartphone vorerst nur für Puerto Rico

  1. Re: Respekt..

    Troll_Vernichter2 | 15:30

  2. Re: wie werden geräte gefunden

    SJ | 15:30

  3. Totaler Schrott

    dabbes | 15:29

  4. Re: Und wir bekommen nicht mal einen Flughafen hin

    Troll_Vernichter2 | 15:28

  5. Wer steht, der stirbt

    SlightlyHomosex... | 15:28


  1. 15:31

  2. 14:49

  3. 14:43

  4. 13:51

  5. 13:14

  6. 13:08

  7. 12:57

  8. 12:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel