07.01.2010
Sicherheit
USB-Hardwareverschlüsselung geknackt
Autor: Dorothee Chlumsky
Verschlüsselte USB-Sticks von Kingston, Sandisk und Verbatim sind mit 256 Bit AES-verschlüsselt und sollen höchsten Sicherheitsanforderungen genügen. Forscher haben den Passwortschutz nun ausgehebelt.
Forscher der Sicherheitsfirma Syss haben einen einfachen Weg gefunden, den Passwortschutz von Hardware-verschlüsselten USB-Sticks zu umgehen. Wie Heise Security berichtet, arbeiten die Sticks von Kingston, Sandisk und Verbatim mit einer 256-Bit-AES-Verschlüsselung, die als unknackbar gilt. Die Experten von Syss haben allerdings herausgefunden, dass das Windows-Programm zur Passworteingabe bei einem erfolgreichen Anmeldevorgang nach den Krypto-Routinen immer die gleiche Zeichenfolge an den Stick sendete - unabhängig vom Passwort. Das galt für alle Sticks dieser Bauart. Mit einem entsprechenden Programm konnten sich die Experten auf diesem Weg Zugang zu den Daten verschaffen, die auf den Sticks gespeichert waren.
Heise zufolge hat Kingston die betroffenen Produkte nach der Benachrichtigung durch Syss zurückgerufen. Sandisk und Verbatim veröffentlichten Sicherheitshinweise und ein Software-Update. Verbatim wies darauf hin, dass die Sticks in Europa noch nicht auf dem Markt seien und man mit dem Verkaufsstart warten wolle, bis das Problem behoben sei.
Der Vorgang wirft jedoch die Frage auf, warum die USB-Sticks trotz der schweren Sicherheitslücke die höchste Zertifizierung für Krypto-Geräte erhielten. Alle drei anfälligen Sticks hatten vom amerikanischen National Institute of Standards and Technology die FIPS-Zertifizierung 140-2 erhalten.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>