Die von unserem Haus seit einigen Jahren empfohlenen USB Sticks der Typen Kingston DataTraveller Secure – Privacy Edition Kingston DataTraveller Elite – Privacy Edition Kingston DataTraveller BlackBox SanDisk Cruzer Enterprise...

Die von unserem Haus seit einigen Jahren empfohlenen USB Sticks der Typen

Kingston DataTraveller Secure – Privacy Edition
Kingston DataTraveller Elite – Privacy Edition
Kingston DataTraveller BlackBox
SanDisk Cruzer Enterprise USB flash drive
SanDisk Cruzer Enterprise FIPS Edition USB flash drive
SanDisk Cruzer Enterprise with McAfee USB flash drive
SanDisk Cruzer Enterprise FIPS Edition with McAfee USB flash drive

weisen einen Softwarefehler auf, den die SYSS GmbH gefunden hat. Das Windows Programm, welches das Passwort überprüft, schickt als Freigabe immer die gleiche Zeichenfolge an den Stick. Fälscht man diese Zeichenfolge durch Überschreiben im Arbeitsspeicher des Passwort Programmes, so kann man den Stick mit einem beliebigen Passwort freischalten.

Bitte kontakten Sie zur Organisation eines Updates für ihre Sticks uns oder die Hersteller direkt:

• Kingston
• SanDisk

Die gefundene Sicherheitslücke ist in mehrfacher Hinsicht peinlich für die Hersteller: Man hat sich zwar bemüht, die Windows Software zur Passworteingabe verschieden aussehen zu lassen, daß sie den gleichen Softwarefehler aufweist, zeigt aber, daß beide, konkurrierenden Hersteller den gleichen Kern und auch den gleichen Chip verwenden. Peinlich ist auch, daß die genannten Sticks nach FIPS 140 Level 2 zertifiziert sind, was sie unter anderem für die Daten von Regierungsbehörden der USA tauglich erklärt und diesen Softwarefehler seit Jahren keiner gefunden hat.

Anyway, nicht peinlich ist die Rückrufaktion der beiden Hersteller, die die Sticks unbürokratisch austauschen bzw. einen Softwareupdate bereitstellen. Sollte es hier zu Problemen kommen, berichten wir natürlich.

Updates am 13.01.2010:

• Kingston hat mich gerade telefonisch vertröstet, es wird einen Fix auf der Website zum Download geben, der wird gerade “eingehend getestet”, das wird aber noch zwei Wochen dauern.
• Es sind auch Sticks des “Herstellers” Verbatim betroffen, es arbeiten also schon 3 Marken anscheinend mit dem gleichen Chip.
• Das SANS Institute stellt in seinem aktuellen Newsletter fest, daß das Problem eher nicht darin liegt, daß die Windows Software zum prüfen des Passwortes fehlerhaft ist, sondern eher darin liegt, daß alle Sticks mit diesen Chips (also die Chips von 3 Herstellern!) den gleichen Schlüssel zum decrypten des Inhaltes benutzen.
• Nun wird, so, wie es derzeit aussieht, die Windows Software für die Passworteingabe getauscht, vielleicht wird sie gehärtet, so daß man den Schlüssel nicht mehr einfach im Hauptspeicher durch den Generalschlüssel ersetzen kann – wird sich dadurch aber etwas am Schlüssel der Sticks ändern?

Artikel, die Sie auch interessieren könnten:

• Twin Towers
• Auch im Haus am Wörthersee gibt es Krimis in vernünftiger Bildgröße
• Welpenclub beim Freßnapf
• Umstellung unserer Videos zu Vimeo
• LogMeIn Plugin für Ubuntu
• Welcher Tag ist heute
• Lieblingsessen im Trader Vic's
• Abendessen in Sizilien
• USB Stick Sieger aus CHIP September 2009
• Warum Jailbreak?

coded by nessus