{"id":1275,"date":"2010-05-28T11:37:22","date_gmt":"2010-05-28T10:37:22","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1275-nochmal-zu-victorinox"},"modified":"2025-04-05T23:11:46","modified_gmt":"2025-04-05T21:11:46","slug":"nochmal-zu-victorinox","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1275-nochmal-zu-victorinox","title":{"rendered":"Nochmal zu Victorinox"},"content":{"rendered":"<p>Die bisherige Diskussion lief auf Grund meines Beitrags mit dem Titel &#8222;<a href=\"\/blog\/1106-victorinox-snake-oil-crypto\">Victorinox Snake Oil Crypto?<\/a>&#8222;. Dort hatte ich Bruce Schneiers Warnsignal #9 vor schlechter Kryptographie zitiert:<\/p>\n<ul><strong>Warning Sign #9:<\/strong> Cracking contests: <a href=\"http:\/\/www.schneier.com\/crypto-gram-9812.html#contests\">Contests are a terrible way to demonstrate security<\/a>. A product\/system\/protocol\/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products\/systems\/protocols\/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don&#8217;t produce useful data.<\/ul>\n<p>Und ich hatte darauf hingewiesen, dass Victorinox schlecht beraten sei, die Sicherheit ihres Produkts durch zweifelhafte Wettbewerbe beweisen zu wollen. Insbesondere, wenn die Angreifer nur wenige Stunden zur Verf\u00fcgung gestellt bekommen. Die echte Gefahr ist, dass man den Stick verliert (oder er geklaut wird) und der Angreifer beliebig viel Zeit hat an die Daten zu kommen. Ich schrieb damals in den Kommentaren auch, dass ich den Stick f\u00fcr ein eigentlich durchdachtes Produkt halte.<\/p>\n<p>Diese Meinung m\u00f6chte ich jetzt revidieren. Hier sind meine Indizien:<\/p>\n<p><strong>Victorinox Warning Sign #1: Falsche Testimonials<\/strong><\/p>\n<p>Steffen M\u00fcller, der scheinbar offiziell im Namen von Victorinox in allen m\u00f6glichen Foren und Blogs kommentiert und auch Hilfestellungen im offiziellen Victorinox-Forum gibt, schrieb hier in den Kommentaren:<\/p>\n<ul>Prof. Tom Wearbou (Security Head Engineer of NSA) wrote: &#8222;MKI&#8217;s new Schnuffi chipset: This is not only a chapter for itself, it&#8217;s also a new chapter in data history. We got some samples about 5 months ago. After 4 months working and almost 1 Million investment in new Hardware the chipset blows the whole device up before we had a real chance to get our hand on the data &#8230; This is not a normal chipset &#8230; this is a nasty bitch!&#8220;<\/ul>\n<p>Ich halte diese Behauptung f\u00fcr frei erfunden. Ich bin mir sehr sicher, dass es keinen Prof. Tom Wearbou gibt. <a href=\"http:\/\/www.google.de\/search?q=Tom+Wearbou\">Google findet<\/a> f\u00fcr diesen Namen genau zwei Seiten und beide sind Kommentare zum Victorinox-Chip. Jeder Professor muss irgendwann ein paar wissenschaftliche Ver\u00f6ffentlichungen haben, sonst wird man nirgends auf der Welt Professor. Diese m\u00fcsste man auch finden, selbst wenn der gute Mann bei einem Geheimniskr\u00e4merladen wie der NSA arbeiten sollte. Auch Varianten des Namens f\u00fchren nicht weiter. Und Google ist sehr gut darin, mir bei Tippfehlern Alternativen vorzuschlagen.<\/p>\n<p>Ich ziehe diese Behauptung nat\u00fcrlich sofort zur\u00fcck, wenn mir irgendjemand einen Nachweis f\u00fcr diesen Professor bzw. ein solches Schreiben geben kann.<\/p>\n<p><strong>Victorinox Warning Sign #2: MKI Schnuffi Chip<\/strong><\/p>\n<p>Kryptographie ist schwierig. Siehe WEP. Selbst wenn man Kryptographie richtig versteht kann man sie immernoch falsch implementieren. Ich kann mir nicht wirklich vorstellen, dass eine (zugegebenerma\u00dfen gute) Messerschmiede einen tollen neuen Chip entwickelt, den niemand zerlegen kann. Haben sie wohl auch nicht.<\/p>\n<p>Mein aktueller Wissensstand ist, dass die Technologie angeblich von <a href=\"http:\/\/www.xing.com\/profile\/Martin_Kuster\">Martin Kuster<\/a> kommen soll, dem u. a. <a href=\"http:\/\/www.parrotsgroup.com\/\">Parrot&#8217;s Consulting<\/a> in Zug geh\u00f6rt. Parrot&#8217;s Consulting soll wiederum zu einer MKI Group (MKI = Martin Kuster International?) der <a href=\"http:\/\/www.mkienterprises.com\/\">MKI Enterprises<\/a> geh\u00f6ren. Beide Webserver residieren auf der gleichen IP-Adresse. Das Anmeldefeld auf der Webseite von MKI sieht so aus als w\u00fcrde es nie verwendet. So wird bei der Eingabe das Passwort im Klartext angezeigt und der Anmeldeknopf f\u00fchrt direkt auf eine Fehlerseite. Auf Deutsch, die Webseite der MKI Enterprises, Rancho Bernardo, CA, USA sieht aus wie eine Alibiwebseite einer Firma die es gar nicht gibt. <a href=\"http:\/\/whois.domaintools.com\/mkienterprises.com\">Domaintools behauptet<\/a>, auf dem Server der Earthlink geh\u00f6rt (webhost.earthlink.net) werden 76.694 Webseiten gehostet.<\/p>\n<p><strong>Victorinox Warning Sign #3: USB Compliance <\/strong><\/p>\n<p>Der USB-Stick wurde nach meinen Informationen 2009 von NTS (National Technical Systems) auf Konformit\u00e4t mit dem USB-Standard getestet. Das Produkt hat den Text bestanden, kann jedoch nicht <a href=\"http:\/\/www.usb.org\/developers\/compliance\/\">USB-IF<\/a> zertifiziert werden, weil die Einschaltstr\u00f6me au\u00dferhalb der USB-Spezifikation liegen. Ich bin mir nicht mal sicher, ob Victorinox das &#8222;Certified USB High-Speed&#8220;-Logo das sich in den Datenbl\u00e4ttern des Sticks befindet, \u00fcberhaupt verwenden darf. Auf der Webseite des USB Implementation Forums gibt es eine <a href=\"http:\/\/www.usb.org\/kcompliance\/view\">Datenbank der zertifizierten Produkte<\/a>. Ich kann da weder &#8222;Schnuffi&#8220; noch &#8222;MKI&#8220; und auch nicht &#8222;Victorinox&#8220; finden. Ich habe aber vorsichtshalber mal eine Anfrage an das USB IF geschickt.<\/p>\n<p>Ansprechpartner bei Victorinox f\u00fcr den Test war Martin Kuster. Hersteller des Chips laut Testbericht eine &#8222;MKI Electronics Division&#8220;, f\u00fcr die mir Google ein &#8222;<a href=\"http:\/\/www.google.de\/search?q=%22mki+electronics+division%22\">Keine Ergebnisse f\u00fcr <strong>&#8222;mki electronics division&#8220;<\/strong> gefunden<\/a>&#8220; ausspuckt. In der USB-Zertifizierung wird \u00fcbrigens nur die Signalqualit\u00e4t gemessen, nicht die tats\u00e4chliche \u00dcbertragungsgeschwindigkeit des Ger\u00e4tes. Ein High-Speed USB-Device muss deshalb noch keine High-Speed \u00dcbertragung anbieten.<\/p>\n<p><strong>Victorinox Warning Sign #4: Martin Kuster<\/strong><\/p>\n<p>Ich habe eine Weile \u00fcberlegt ob ich diesen Abschnitt aufnehmen soll. Immerhin wird es jetzt etwas pers\u00f6nlich. Aber Martin Kuster behauptet, er habe den Snuffi Chip entwickelt und die Firma die den Chip baut, geh\u00f6re auch ihm. Au\u00dferdem behauptet auch Martin Kuster, die NSA h\u00e4tte seinen Chip erfolglos versucht zu hacken.<\/p>\n<p>Martin Kuster verwendet f\u00fcr die Kommunikation anscheinend gerne mal eine E-Mail-Adresse von MSN. Ich habe den Mailheader untersucht, die Mails gehen tats\u00e4chlich \u00fcber hotmail.com. Auch die IP-Adressen im Header geh\u00f6ren alle Microsoft. Insofern finde ich wiederum den Footer in der Mail interessant, in dem steht:<\/p>\n<ul>&#8222;For you safety this message and its attachments (if applicable) were scanned for virus on MKI&#8217;s main mail server in Atlanta, Georgia \/ USA. This may delay the mail for a view minutes.&#8220;<\/ul>\n<p>Ich bin mir n\u00e4mlich sehr sicher, dass die Mails niemals \u00fcber einen MKI-Server in Atlanta gegangen sind.<\/p>\n<p>Und das Gesamtpaket mit falschen Testimonials und einem Chip von einer praktisch nicht existenten Firma sieht f\u00fcr meinen Geschmack nach meiner sehr pers\u00f6nlichen privaten Meinung nun einmal sehr komisch aus.<\/p>\n<p>Oder?<\/p>\n<p>Ach ja, wenn jemand einen solchen USB-Stick hat, jedes USB-Teil hat eine Vendor-ID. Ich w\u00fcrde gerne mal wissen, wer da wirklich als Hersteller dahintersteckt. Ich mag da ungern 70 (8 GB) bis 190 Euro (32 GB) zum Fenster rauswerfen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die bisherige Diskussion lief auf Grund meines Beitrags mit dem Titel &#8222;Victorinox Snake Oil Crypto?&#8222;. Dort hatte ich Bruce Schneiers Warnsignal #9 vor schlechter Kryptographie zitiert: Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product\/system\/protocol\/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1275"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1275"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1275\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1275"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1275"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1275"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}