Die Jungs (und Mädels) von Tweakers.net haben einen Secustick von Sipal International zerlegt, der angeblich absolut sicheren USB-Speicher anbietet. Die Daten werden geschützt auf dem Stick abgelegt und nach mehrfacher falscher Passwort-Eingabe automatisch gelöscht … angeblich.
Mit ein wenig Fummeln und Debuggen am Stick, wie in diesem Artikel beschrieben, haben die Holländer den gesamten Schutz umgangen und sind auf einfachste (und reproduzierbare) Weise an alle geschützten Daten gekommen. Der Trick besteht einfach darin, in der Abfrageroutine des Passworts mit einem Debugger einen Breakpunkt zu setzen und dann den Rückgabewert für ein falsches Passwort auf den Wert für ein richtiges Passwort (1 statt 0) zu ändern.
- „Normally, the amount of security is sufficient, not everyone has the technical expertise that you have“, said a spokesperson.
Für Bruce Schneier ist das ein typisches Beispiel für „Snake-Oil Security“. Ich finde, da hat er recht.
Kommentare gesperrt wegen Spam
Comment by Christian — 27. Dezember 2010 @ 21:06