Mitternachtshacking

Ich habe nicht die geringste Ahnung wie gut oder wie schlecht der Victorinox Secure USB-im-Taschenmesser-Stick abgesichert ist. Als regelmäßiger Flugpassagier habe ich für Taschenmesser auch nicht mehr so viel Verwendungszweck. Die Fummler am Flughafen nehmen einem die gerne mal ab. Und zu guter Letzt muß ich bei Victorinox immer an das Bild aus Asterix und der Arvernerschild denken, in dem Vercingetorix seine Waffen Cäsar auf die Füße knallt.

Was ich aber bei Bruce Schneier gelernt habe ist, daß ein Crypto-Wettbewerb mit der Aufgabe für eine Summe x (bei Victorinox sind das immerhin 100.000 Pfund) eine Verschlüsselung zu brechen kein Hinweis für gute Verschlüsselung sondern viel häufiger ein Hinweis auf Snake Oil Cryptography ist:

Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.

Ob das alles jetzt für oder gegen Victorinox spricht, kann ich leider nicht beurteilen. Vielleicht wurde Victorinox auch nur von einer schlechten Marketingagentur beraten.

Foto: AskDaveTaylor, Lizenz: CC

Oh mein Gott. Ich sollte im Hotel nicht fernsehen.

Es gibt tatsächlich einen “Wireless PC Lock”. Das Ding besteht aus einem USB-Stick und einem Taster, die schnurlos, also per Funk miteinander kommunizieren. Den USB-Stick muß man einstecken, eine Software installieren und dann kann man per Knopfdruck den PC sperren. Für nur etwa 30 Euro inkl. Versand. Wie dumm ist das denn?

Sehr schön ist auch die Kritik auf Ciao dazu. Ich zitiere mal ein paar Schmankerl:

• “Durch drücken der altbekannten Affengriff-Kombi STRG + ALT + ENTF ist es mit ein bisschen Geduld kein Problem den Taskmanager zu starten und in den Vordergrund zu holen. Darüber lässt sich die gesamte PC Lock Software mit wenigen Mausklicks lahm legen und der Rechner ist ungeschützt.”
• “Immer mehr Grafikkarten unterstützen sog. Dual-Monitor-Systeme, sprich man kann mit einer Grafikkarte mehrere Desktops auf mehreren Bildschirmen ansprechen. Wird nun an so einem System das PC Lock aktiv, wird nur der Hauptbildschirm mit der Maske gesperrt, die anderen sind jedoch uneingeschränkt zugänglich und der Schutz ist gleich Null.”
• “Ich für meinen Teil verzichte gerne wieder auf den Stick und bediene mit der einfachen Windows Funktion Windowstaste + L. Damit wird das System mindestens genau so gut ohne weiteren Schnickschnack gesperrt.”

Argl. Danke für die Kaufwarnung.

Wie die informierten Zeitungsleser (also nicht die Bildleser) seit Mitte Januar wissen, darf US-Präsident Obama seinen Blackberry nicht weiter verwenden, weil das RIM-Zeugs dem Secret Service ein wenig zu unsicher ist. Statt dessen kommt ein Sectera Edge des Rüstungskonzerns General Dynamics zum Einsatz. Technische Details hat Intomobile veröffentlicht. Auf den “virensicheren Internet Explorer” oder den “unhackbaren Windows Mediaplayer” will ich jetzt gar nicht im Detail eingehen. Das hat Kevin Mitnick schon getan.

Viel lustiger finde ich die Details der Sectera Edge Preisliste (PDF):

• EDGUUSBC01 - Unclassified USB Cable for file transfer with Unclass PC & required for installing Unclassified Enclave Certificates - 75 USD
• EDGCUSBC01 - Classified USB Cable for file transfer with Classified PC & required for installing Classified Enclave Certificates - 75 USD

Der Unterschied zwischen einem Unclassified USB-Kabel und einem Classified USB-Kabel ist mir jetzt nicht so ganz klar. Stellt das Classified Kabel sicher, daß keine Daten zwischen den Drähten hängen bleiben oder was? Naja, vermutlich ist das Classified USB Cable für die gleichen Pappnasen, die Ethernet-Kabel mit vergoldeten RJ45-Steckern kaufen, weil dann die MP3-Files besser klingen.

Sowas bastel ich mir auch …

Nachtrag:

Eigentlich erstaunlich, daß es das bei Pearl nicht gibt, die haben doch von USB-Tassenwärmern bis zu USB-Raketenwerfern jeden Blödsinn.

Nein, kein Keylogger, ein kleines leicht zu versteckendes USB-Teilchen, daß in unregelmäßigen Abständen den Scancode für CapsLock an den Rechner schickt, um den Benutzer zu verwirren. Ich muß mich doch endlich mal mit den Atmel-Chips beschäftigen.

Ich warte ja, daß es dazu ein Produkt bei Pearl zu kaufen gibt. Das ist ganz in der Tradition von

• USB-Raketenwerfer
• USB-Tasse

und diversem anderen USB-Unsinn.

(via Fefe)

Eine coole Idee von Heise: Alle Programme und Tools direkt auf einem USB-Stick immer lauffähig dabeihaben und private und dienstliche Programme getrennt verschlüsselt noch dazu.

Pimp my Stick von Axel Vahldiek

unbedingt lesenswert!

Ich lese ja gerne The Register. Die Engländer schreiben oft sehr pointiert und zynisch, manchmal richtig bösartig. Und die meisten Artikel enthalten fundierte Informationen.

Heute gab es auch einen netten Artikel: “Memory sticks top security concern for firms”

USB Sticks und MP3-Player gelten bei vielen Firmen inzwischen als primäres Sicherheitsrisiko. Fast 40 Prozent der Befragten nannten Memory Sticks, nur noch knapp 25 Prozent sehen Viren und 22 Prozent Spyware als größte Gefahr. Ich kann das gut verstehen. Auf die MP3-Player eines bekannten Herstellers mit Apfel-Logo passen bequem mehrere GB Daten und dem Wachdienst fällt nicht auf, was da gerade aus dem Unternehmen geklaut wird.

Mein persönlicher Eindruck ist, daß die Gefahr durch Datendiebstahl gerade in mittelständischen Unternehmen noch stark unterschätzt wird. Einige große Konzerne haben das Problem erkannt, die ganz kleinen Unternehmen sind weniger stark davon betroffen. Aber der Mittelstand wird in den nächsten Jahren ein Problem bekommen. Nur fehlt die Sensibilisierung, um wirklich Maßnahmen ergreifen zu wollen.