abene Skrevet 27. april 2010 Rapporter Del Skrevet 27. april 2010 Ny minnepinne har egne taster som kan brukes til å åpne pinnen med pinkoder. Les mer Lenke til kommentar
- Slaktarn - Skrevet 27. april 2010 Rapporter Del Skrevet 27. april 2010 Men dette har vi da vel sett før? Ikke skriv slike "nyheter" som om det er noe nytt. Lenke til kommentar
efikkan Skrevet 27. april 2010 Rapporter Del Skrevet 27. april 2010 Jeg ser heller ikke hva som er nyheten her. Men fremfor alt vil jeg informere om hva sikkerheten i slike minnepinner. Denne har pinkode på 7 - 15 siffer (den dere testet sist hadde vel 10 eller noe), poenget er at denne markedsføres med AES-256 som er en relativt sikker (ja jeg vet det finnes kjente svakheter i denne), ivertfall for de som ikke er paranoide eller av andre grunner krever slikt. Men når pinkoden er på 15 siffer (gir 10^15 kombinasjoner) så hjelper det lite at krypteringsalgoritmen er AES-256 eller AES-4096 for den skyld. Hvis nå kalkulatoren min rekner riktig skal AES-256 ha 115792089237316195423570985008687907853269984665640564039457584007913129639936 kombinasjoner (eller 1.158 E77 på standardform), og alle som vet noe om størrelser på tall vet da at 1000000000000000 er et forsvinnende lite tall i sammenligning. I praksis vil faktisk sikkerheten være dårligere enn AES-50 om det fantest, og alle som kjenner til slikt vet at 10^15 ikke er noe problem å bruteforce. Men for alle dere som ikke forstår dette tekniske pratet så kan jeg oppsummere ved å si at den er sikker nok til å hindre lillebror på 8 år i å lese minnepinnen, men ikke til å sikre filer som du på død og liv ikke vil at andre skal få tak i. Med andre ord ikke legg denne igjen på et nettverksparty hvis du har viktige ting på, det finnes mange som vil klare å knekke denne. Dette er heller ikke minnepinnen til å lagre sensitive data til en bedrift eller personopplysninger hos NAV, da må løsninger med ordentlig sikkerhet vurderes. Lenke til kommentar
Kahuna Skrevet 27. april 2010 Rapporter Del Skrevet 27. april 2010 Vi har muligens sett det før men det er så lenge mellom hver gang det kommer minnepinner av denne typen at det er verdt et oppslag. Lenke til kommentar
Kahuna Skrevet 27. april 2010 Rapporter Del Skrevet 27. april 2010 ... og alle som kjenner til slikt vet at 10^15 ikke er noe problem å bruteforce. ... Hvor mange pin-koder klarer du å taste inn i sekundet sa du? Jeg har brukt litt tid på å sette meg inn i minnepinner med 'innebygget' sikkerhet og på mange av de billige pinnene så finnes det ofte metoder for å omgå sikkerheten. Det kan være noe så banalt at det er usb-driverne som gir tilgang, ikke hardware (har du kompetanse til feks å skrive om litt på usb-driverne til linux er det med andre ord fritt fram..). Spørsmålet om hvor mange AES-passord du kan teste i sekundet *kan* være relevant men det vet vi jo egentlig ikke noe om. Har produsenten gjort jobben sin så er denne pinnen trygg for alle untatt de med tilgang til seriøse ressurser. Kjenner du til noen konkrete svakheter med akkurat denne pinnen? Lenke til kommentar
efikkan Skrevet 27. april 2010 Rapporter Del Skrevet 27. april 2010 ... og alle som kjenner til slikt vet at 10^15 ikke er noe problem å bruteforce. ... Hvor mange pin-koder klarer du å taste inn i sekundet sa du? Jeg har brukt litt tid på å sette meg inn i minnepinner med 'innebygget' sikkerhet og på mange av de billige pinnene så finnes det ofte metoder for å omgå sikkerheten. Det kan være noe så banalt at det er usb-driverne som gir tilgang, ikke hardware (har du kompetanse til feks å skrive om litt på usb-driverne til linux er det med andre ord fritt fram..). Spørsmålet om hvor mange AES-passord du kan teste i sekundet *kan* være relevant men det vet vi jo egentlig ikke noe om. Har produsenten gjort jobben sin så er denne pinnen trygg for alle untatt de med tilgang til seriøse ressurser. Kjenner du til noen konkrete svakheter med akkurat denne pinnen? Det er da selvsagt ikke snakk om å taste inn pinkoder, det er da ingen som finner på slikt! Men to eksempler på hvordan det kan gjøres er enten å formatere og så lese ut brikken (mesteparten er da intakt), så bruke gjenopprettingsverktøy etter dekryptering. En annen måte er å lese ut direkte fra flash-brikken. Det finnes flere måter også. Lenke til kommentar
Kahuna Skrevet 27. april 2010 Rapporter Del Skrevet 27. april 2010 Begge eksemplene dine forutsetter at produsenten har driti seg ut alvorlig under konstruksjonen av denne minnepennen. Hvis du har informasjon som tyder på at det er tilfelle så kan du gjerne dele den med oss. Korte passord er som du har nevnt ikke særlig sikre men det finnes et enkelt triks som i dette tilfellet kan bedre sikkerheten enormt. Man salter passordet. Hvis det lages et random salt på 256 bit når du oppretter en pin-kode så kan alle data krypteres med AES-256, trikset er at nøkkelen ikke er pin-koden din men produktet av pinkoden og saltet. Selv med en pinkode på 1 tegn vil bruteforce dekryptering av innholdet i minnet være håpløst uten saltet. Saltet må derimot lagres lokalt og det representerer en potensiell sårbarhet siden forskere har demonstrert at det er mulig å fysisk åpne en slik brikke og avlese innholdet med et elektronmikroskop. Det forutsetter igjen at brikkeprodusenten ikke har bygget inn selvforsvarsmekanismer i brikken, noe produsenten faktisk påstår at de har i dette tilfellet.. Lenke til kommentar
Kjell-arne Skrevet 28. april 2010 Rapporter Del Skrevet 28. april 2010 (endret) Jeg ser heller ikke hva som er nyheten her. Men fremfor alt vil jeg informere om hva sikkerheten i slike minnepinner. Denne har pinkode på 7 - 15 siffer (den dere testet sist hadde vel 10 eller noe), poenget er at denne markedsføres med AES-256 som er en relativt sikker (ja jeg vet det finnes kjente svakheter i denne), ivertfall for de som ikke er paranoide eller av andre grunner krever slikt. Men når pinkoden er på 15 siffer (gir 10^15 kombinasjoner) så hjelper det lite at krypteringsalgoritmen er AES-256 eller AES-4096 for den skyld. Hvis nå kalkulatoren min rekner riktig skal AES-256 ha 115792089237316195423570985008687907853269984665640564039457584007913129639936 kombinasjoner (eller 1.158 E77 på standardform), og alle som vet noe om størrelser på tall vet da at 1000000000000000 er et forsvinnende lite tall i sammenligning. I praksis vil faktisk sikkerheten være dårligere enn AES-50 om det fantest, og alle som kjenner til slikt vet at 10^15 ikke er noe problem å bruteforce. Men for alle dere som ikke forstår dette tekniske pratet så kan jeg oppsummere ved å si at den er sikker nok til å hindre lillebror på 8 år i å lese minnepinnen, men ikke til å sikre filer som du på død og liv ikke vil at andre skal få tak i. Med andre ord ikke legg denne igjen på et nettverksparty hvis du har viktige ting på, det finnes mange som vil klare å knekke denne. Dette er heller ikke minnepinnen til å lagre sensitive data til en bedrift eller personopplysninger hos NAV, da må løsninger med ordentlig sikkerhet vurderes. *Host* les hele artikkelen kanskje? Dersom noen prøver å logge seg inn, og har gjort ti mislykkede forsøk, må pinnen formateres på nytt. ^^. Endret 28. april 2010 av Kjell-arne Lenke til kommentar
havarhen Skrevet 28. april 2010 Rapporter Del Skrevet 28. april 2010 (endret) Saltet må derimot lagres lokalt og det representerer en potensiell sårbarhet siden forskere har demonstrert at det er mulig å fysisk åpne en slik brikke og avlese innholdet med et elektronmikroskop. Det forutsetter igjen at brikkeprodusenten ikke har bygget inn selvforsvarsmekanismer i brikken, noe produsenten faktisk påstår at de har i dette tilfellet.. Disse såkalte failsafefunksjonene har vist seg å være dårlig på produkter fra andre produsenter. Kan hende denne produsenten har vært flinkere, men jeg tviler. Så lenge ikke selve minnechipen ødelegges fysisk så. Jeg leste om én spesiell minnepinne med en slik failsafefunksjon, det eneste som ble ødelagt på miinnepinnen når denne ble åpnet var at en SMD-transistor løsnet, denne var det jo bare å lodde fast igjen... *Host* les hele artikkelen kanskje? Dersom noen prøver å logge seg inn, og har gjort ti mislykkede forsøk, må pinnen formateres på nytt. Denne funksjonen har vist seg å være lett å omgå på minnepinner fra andre produsenter, ved å bare skrivebeskytte hele minnepinnen v.h.a. en loddebolt. Da er det ikke mulig å oppdatere denne telleren lengre. Her er en som har hacket flere forskjellige USB minnepinner (ikke akkurat den som er nevnt i denne artikkelen), med suksess på alle untatt en. http://spritesmods.com/?art=security Corsairs førstegenerasjon med PadLock minnepinne var også bra lett og hacke: http://forums.bit-tech.net/showthread.php?t=148427 Endret 28. april 2010 av havarhen Lenke til kommentar
ilpostino Skrevet 3. februar 2014 Rapporter Del Skrevet 3. februar 2014 Denne sletter innholdet automatisk når man har tastet feil PIN 10 ganger så da hjelper det fint lite med brute-force som prøver x antall kombinasjoner. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå