13. März 2010

Victorinox Snake Oil Crypto?

Category: Hacking,Produkte — Christian @ 19:01

Victorinox USB Stick

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muss ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, dass ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

    Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

14 Comments

  1. naja seit Januar 2010 ist schon bissel Zeit vergangen, da waren 100.000 USD als Preisgeld auf der CES in Las Vegas ausgeschrieben … also 3 Monate hätte jeder Zeit gehabt … und wenn es nur ein „Snacke Oil“ sein soll dann kann man ja sich e die 100K einfach abhollen.

    Comment by Steffen Müller — 19. März 2010 @ 22:05

  2. Die nächste Chance, das Geld abzuholen ist am 25./26. März jetzt in London, schreibt The Register. Aktuell sind es jetzt auch 100.000 Britische Pfund (umgerechnet rund 150.000 US-Dollar), Victorinox hat also nachgelegt. Außerdem darf man das Messer behalten und bekommt angeblich noch einen Warengutschein oder ein paar andere Goodies habe ich irgendwo in der Gerüchteküche gehört. Ich bin mir aber sicher, daß sich Victorinox da nicht lumpen läßt.

    Ich persönlich denke, das Teil ist gut und durchdacht. Es gibt sogar eine Fligh-Variante, bei der man den Stick am Körper trägt und das Messer im Gepäck aufgeben kann (wenn man denn Gepäck aufgibt). Darum geht es aber nicht. Mein Punkt ist, daß ein solcher Wettbewerb die denkbar schlechteste Variante ist, die Sicherheit eines Produkts zu bewerben. Ich kenne eine Reihe von Leuten die bei so einem Wettbewerb direkt sagen, das Teil schau ich mir gar nicht mehr an. Und das sind keine Nerds sondern die gefürchteten Multiplikatoren.

    Comment by Christian — 22. März 2010 @ 18:15

  3. und die naechste Chance wird in Genf sein .. ca, in 2 Monaten ..

    Comment by Steffen Müller — 27. März 2010 @ 23:05

  4. So.. der Evnet in London ist vorbei .. keiner der ca. 30 Hacker hat es geschafft den USB-Stick zu kancken .. aber alle (soweit ich es beobachten konnte) hat einen solchen Stick geschenkt bekommen … der nächste Evemt wird warscheinlich in ca. 2 Monaten in Genf stadtfinden .. jeder hat genuegend Zeit es zu Haus im Vorfeld zu versuchen .. denn seit diesem Wochenende sind diese Sticks im Handel erhältlich .. natuerlich kann auch jeder seinen eigenen Computer wieder mitbringen nach Genf. wiehoch die Gewinn Summe ist weiss ich nicht .. aber sicherlich wird es wieder in dieser Groessenordnung liegen.

    Comment by Steffen Müller — 27. März 2010 @ 23:14

  5. “ Und das sind keine Nerds sondern die gefürchteten Multiplikatoren“ .. mal ne Frage :

    was sind Nerds und was sind Multiplikatoren ?

    Comment by Steffen Müller — 28. März 2010 @ 00:31

  6. Ich habe nicht damit gerechnet, daß der Stick bei so einer Show gebrochen wird. Das ist wie mit meinen eigenen Hacking-Shows. Da geht es auch nicht darum, neue Exploits zu liefern sondern um eine gute Show.

    Die Nerds beschreibt der Inquirer in seinem Bericht zu diesem Hacking-Event meiner Meinung nach recht schön:

    „Judging by the photos taken at the event the Secure Pro cannot even be hacked by people with artistic beards and pony tails. Which is a good enough recommendation for us.“

    Zu den Multiplikatoren … nunja. Die Kommentare bei Toms Hardware sehen das beispielsweise ähnlich kritisch wie ich. Eine PR-Aktion, sonst nichts:

    „Äh, ich sehe noch nicht ganz inwiefern der Wettbewerb Sinn macht. Im Normalfall hat man mehr Zeit so etwas zu knacken (als kriminelles Element / Dieb klaut mans einfach und hat dann beliebig viel Zeit).“

    Comment by Christian — 28. März 2010 @ 02:17

  7. Und ach ja, ich halte es für Geldverschwendung, einen Stick zu kaufen, um dann in Genf antreten zu wollen.

    Comment by Christian — 28. März 2010 @ 02:18

  8. Und zum Schluß: wenn Victorinox was wirklich nützliches tun möchte, ein paar Lobbyisten wären eine gute Investition. Damit man wieder Taschenmesser im Flugzeug mitnehmen kann. Ich hatte früher immer eine Swiss Card im Geldbeutel, die mir öfter gute Dienste geleistet hat. Nur leider darf ich die nicht mehr mitnehmen.

    Comment by Christian — 28. März 2010 @ 02:22

  9. Prof. Tom Wearbou (Security Head Engineer of NSA) wrote:

    “MKI’s new Schnuffi chipset: This is not only a chapter for itself, it’s also a new chapter in data history.
    We got some samples about 5 months ago. After 4 months working and almost 1 Million investment in new Hardware the chipset blows the whole device up before we had a real chance to get our hand on the data…
    This is not a normal chipset… this is a nasty bitch! “

    Comment by Steffen Müller — 29. März 2010 @ 12:23

  10. Gibt es dazu eine öffentliche Quelle?

    Ach ja, zu dem Single Chip Design, das Victorinox da einsetzt fällt mir der Vortrag von Starbug auf dem Easterhegg 2010 ein: Reverse Engineering von Microchips. Mal sehen, was man da lernen kann 😉

    Comment by Christian — 29. März 2010 @ 17:14

  11. Kommentare gesperrt wegen Spam

    Comment by Christian — 10. April 2010 @ 18:35

  12. Kommentare wieder geöffnet. Aber nicht allzulange. Die Kommentar-URL ist in irgendwelchen Spam-Bots drin und deshalb schlagen unter diesem Betrag quasi minütlich neue Spam-Einträge auf.

    Comment by Christian — 25. Mai 2010 @ 22:03

  13. Tja, auf irgendeinen Nachweis, dass dieser ominöse „Prof. Tom Wearbou (Security Head Engineer of NSA)“ tatsächlich existiert warte ich immernoch.

    Seltsamerweise kommen wenn man nach Tom Wearbou bei google.de sucht nur zwei (in Zahlen: 2!) Fundstellen: diese bei mir auf Mitternachtshacking und ein Artikel auf TechSpot. In beiden Fällen (bei mir Steffen Müller, bei TechSpot ein User xyox der nur zwei Kommentare geschrieben hat und bei zum Victorinox-Stick) stammen die Kommentare von jemandem der Victorinox nahe steht.

    Wenn mich jetzt jemand fragt ob es einen Tom Wearbou gibt, der auch noch Professor sein soll, unter diesem Namen oder unter Thomas Wearbou oder ähnlich (und Google ist sehr gut mit „meinten Sie …“) noch nie etwas veröffentlich hat, dann habe ich daran ernste Zweifel. Sehr ernste.

    Herr Müller, lesen Sie noch mit? Kann es sein, dass Sie diesen ominösen Herrn Prof. Tom Wearbou schlichtweg erfunden haben? Und … spricht das für Victorinox und die Qualität dieses Sticks?

    🙁

    Comment by Christian — 25. Mai 2010 @ 22:13

  14. Ich mache hier die Kommentare wieder zu, weil zuviel Spam aufschlägt. Es kann jedoch gerne hier im neuen Artikel weiterdiskutiert werden.

    Comment by Christian — 28. Mai 2010 @ 11:38

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.