Test: Corsair Padlock 2

[Nilsen]

Corsair har oppgradert sin Padlock.

 

Les mer

[efikkan]

Vel det hjelper lite med AES-256 når det er en kort pin-kode som låser dette opp. Det blir da veldig få kombinasjoner å prøve ut, og det vil ikke være vanskelig å bruteforce denne. Å kalle dette for god sikkerhet er lureri.

[Kontorstol]

En tallkode på 10 tall gir da veldig mange kombinasjoner, ihvertfall når de skal tastes manuelt.

[Transponder79]

det vil ikke være vanskelig å bruteforce denne

Hvis du har tålmodighet til å taste inn alle tall fra 0000000001 til 9999999999 for hånd og klarer å vente i litt over 3000 år med tasting døgnet rundt (hvis vi antar at det tar 10 sekunder pr. forsøk - PC'en skal jo oppdage USB'en etter at koden er tastet inn og) så er det selvfølgelig ikke noe problem...

 

Bortsett fra at den låser seg og må resettes slik at alle data mistes etter x antall forsøk da.

Endret 30. mars 2010 av Transponder79

[efikkan]

Den må da selvsagt bruteforces via en datamaskin, og når nøklene er genererte av pinkoder på opptil 10 siffer så sier det seg selv at det vil være mulig å knekke relativt raskt.

[Kontorstol]

Men når PCen ikke merker at den er tilkoblet uten at pinkoden er tastet inn på forhånd er du screwd.

[RulleRimfrost]

Om man får tilgang til filen (.. er en jævel med loddebolt) og kjører et svært nVidia-kort med cuda (100 000 p/sek), vil det vel ta ca 8 og en halv time i snitt.

 

Mulig neste generasjon kommer med intrusjondetection da. Brudd på mesh -> erase all...

[Dipso]

efikkan: hvordan bruteforcer du den via en datamaskin?... Og hvordan omgår du det faktum at etter X forsøk med feil kode så låser hele greia seg?

[A-Jay]

Som RulleRimfrist antyder er det alltids mulig (dog svært vanskelig) å skaffe seg fysisk adgang til lagringsenheten på innsiden og dermed komme seg rundt kodekontrollen. Her kan man kjøre brute force for å finne koden.

 

Det virker som en fin gimmick, men jeg tviler på at denne pin-kodelåsen vil gi noe som helst bedre sikkerhet enn å kjøre filbasert kryptering på en ordinær penn. Jeg vil faktisk våge meg på denne påstand at, gitt god og grundig opplæring av brukerne i forkant, vil en vanlig USB-penn med filbasert kryptering kombinert med sikre passord og gode rutiner gi langt bedre sikkerhet enn denne gimmick-pennen.

 

Hvis vi først er i det paranoide hjørnet må jeg legge til at hvis filene ligger i klartekst på PCen hjelper det lite med verdens sikreste USB-penn. Da er det bare å stjele en laptop (eller i verste fall å bryte seg inn og stjele en stasjonær), så har man full tilgang til alle hemmeligheter som er lagret på harddisken. Er man det minste seriøs med tanke på sikkerhet kjører man full harddiskkryptering i tillegg til kryptering av filer på USB-penner. Og selv om dette blir iverksatt så vil fortsatt hemmelige filer være tilgjengelig mens PCen er i bruk. Da kan man tenke seg angrep via internett/nettverk. For eksempel social engineering mot en uheldig utvalgt bruker, etterfulgt av et virusangrep mot det lokale nettverket på jobben. Da kan man fort få full tilgang til alle PCer med diverse hemmeligheter liggende strødd omkring.

 

Før jeg havner altfor langt ute på Finnmarksvidda her får jeg bare konkludere med at det er utrolig mange angrepsvektorer som kan utnyttes her, og at krytert USB-penn bare kan dekke en av dem. Så er sikkerhet noe særlig viktig så må man tenke helhet, og ikke minst ta kompetanse og opplæring av ansatte seriøst.

[efikkan]

efikkan: hvordan bruteforcer du den via en datamaskin?... Og hvordan omgår du det faktum at etter X forsøk med feil kode så låser hele greia seg?

Mange ulike måter å gjøre det. Om du så nullstiller den så blir ikke hele brikken overskrivet, kan da dumpe hele brikken og få lest ut store deler av innholdet. Et annet alternativ er å koble seg direkte til flash-brikken(e) og få lest ut alt helt intakt.

[AvidGamer]

Ahahaha! Klarte nesten ikke å lese artikkelen....innledningen var så sykt morsomt! Kudos til Jørgen!

[Sirslask]

Hadde den vært på 32 eller i det minste 16 GB kunne den vært brukbar til å ha OS på for de mest paranoide.

[zotbar1234]

En tallkode på 10 tall gir da veldig mange kombinasjoner, ihvertfall når de skal tastes manuelt.

 

10 siffer gir 10^10 kombinasjoner. Latterlig lite, gitt dagens datamaskiner.

 

Selve angrepsvektoren er blitt skissert alt -- fysisk tilgang til flashbrikken direkte, f.eks. Eller ta en titt på kontrolleren som sitter på flash-innen og muligens angripe derfra. Såsnart man kan få dumpet flashinnholdet i en image, er oppgaven 90% løst. Alt som gjenstår da er brute-force angrep med et knøttlite nøkkelrom.

 

Jeg lurer på hva corsair padlock 2 kan, som ikke cryptsetup/truecrypt kan?

 

Ingen seal of approval her, gitt.

Endret 30. mars 2010 av zotbar1234

[TaZ]

For å si det sånn,du mister den og noe finner den,tror du virkelig di gidder/har kunskap til å finne ut hva som er på den..

Di resetter den og bruker den som sin egen.

[nadezico]

taz sin kommentar virker til å være den mest realistiske av de fleste så langt. Ingen harde miner

[adder1972]

En tallkode på 10 tall gir da veldig mange kombinasjoner, ihvertfall når de skal tastes manuelt.

 

10 siffer gir 10^10 kombinasjoner. Latterlig lite, gitt dagens datamaskiner.

 

 

 

Det er vel enda værre her, siden det er bare 5 taster, tilfeldigvis merket med tall fra 0 til 9. Det er altså kun 5 muligheter pr. "ledd" i koden. Du kan i tillegg velge å ha en fire"sifret" PIN. 625 kombinasjoner. Altfor svakt.

 

Når artiklen hevder at

Dette er ikke en minnepinne som er beregnet for enkel og normal transport av filer, la meg få understreke dette. Dette er definitivt et meget gyllent produkt for de som vil transportere data med en høy grad av sikkerhet, og det koster ikke spesielt mye.

så blir jo det helt feil.

 

Du er mye sikrere med en vanlig minnepinne kryptert med Truecrypt. Billigere er det også.

 

 

Slenger med denne linken til IronKeys svar til alle USB-svakhetene som ble oppdaget hos deres konkurrenter tidligere i år: https://www.ironkey.com/usb-flash-drive-flaw-exposed

Endret 31. mars 2010 av adder1972

[RulleRimfrost]

Jeg lurer på hva corsair padlock 2 kan, som ikke cryptsetup/truecrypt kan?

 

Ingen seal of approval her, gitt.

 

 

Jeg jobber i et stort firma, med en brutal domenekontroll. Ikke en flekk kode får kjøre, incl TrueCrypt desverre.

 

Når det er sagt; kodene til disse pennene for brukerne her ville sansynligvis blitt mye "123" o.l, så jeg ville nok heller hatt fingeravtrykksleser på dem...

[Transponder79]

Den må da selvsagt bruteforces via en datamaskin

Det vil vel være mye enklere å plukke ut minnemodulene fysisk istedet for å bruke masse ressurser på å lage et interface for å søke i kodene via PC'en manuelt og som samtidig overstyrer sperringen som kommer hvis du prøver for mange ganger.

 

Bare inrøm det; du leste ikke saken og antok at man skrev inn koden via PC'en

Endret 31. mars 2010 av Transponder79

[Transponder79]

Du er mye sikrere med en vanlig minnepinne kryptert med Truecrypt. Billigere er det også.

Hele poenget med denne dingsen er jo at det er en 'fysisk' sperre - koden må skrives inn på selve USB-pennen før PC'en klarer å oppdage den.

 

Og så kan man jo legge til Truecrypt på innholdet i tillegg hvis man er helt paranoid selvfølgelig og ikke vil ha alle filene sine tilgjengelig umiddelbart på en hvilken som helst PC når man låser den opp.

Endret 31. mars 2010 av Transponder79

[A-Jay]

For å si det sånn,du mister den og noe finner den,tror du virkelig di gidder/har kunskap til å finne ut hva som er på den..

Di resetter den og bruker den som sin egen.

Det samme kan man få til ved å kjøre kryptering på en vanlig USB-disk. Altså ingen grunn til å betale ekstra for denne gimmicken. Så får man også med på kjøpet at det faktisk er praktisk talt umulig å bryte krypteringen om man bruker et sterkt nok passord.