Producenten ruziën over beveiliging usb-geheugensticks

Om klanten te kunnen adviseren over het gebruik van usb-opslagmedia, heeft het Delftse beveiligingsbedrijf Fox-IT een 'kraakonderzoek' uitgevoerd op een groot aantal beveiligde usb-geheugensticks.

De uitkomst van het onderzoek is opmerkelijk. Volgens Fox-IT zijn de met encryptie en soms ook biometrische beveiliging uitgeruste usb-geheugensticks, op een enkeling na, allemaal te kraken.

"Slechts één van de onderzochte usb-sticks is perfect beveiligd tegen toegang tot de informatie door onbevoegden bij verlies of diefstal. Een andere is zeer sterk te noemen, echter alleen bij volledig correct gebruik. De andere usb-sticks boden minder tot weinig veiligheid. Bij een veel gebruikt model waren de gegevens zelfs al binnen vijf minuten na 'diefstal' uitgelezen", aldus Fox-IT in een recente nieuwsbrief (pdf) waarin het bedrijf melding maakt van het onderzoek.

Volgens Tjerk Suurenbroek van Fox-IT is 'alles uit de kast gehaald' om de gegevens op de sticks te ontfutselen. "Brute force attacks, chips weghalen, communicatie afluisteren, solderen, noem maar op. Pas wanneer na twintig dagen de informatie nog niet vrijgekomen was, trokken we de conclusie dat de stick niet te kraken was."

Het onderzoek bevat volgens Suurenbroek 'zeer bruikbare informatie' voor partijen die op zoek zijn of al gebruik maken van als veilig beschouwde geheugensticks. Fox-IT heeft dan ook besloten het rapport niet openbaar te maken maar tegen betaling van, naar verluidt enkele duizenden euro's, aan geïnteresseerde partijen te verkopen. Volgens Suurenbroek is er veel interesse voor het rapport.

Dat er nu rumoer is over het onderzoek, is vooral te wijten aan een persbericht dat Safeboot vorige week verstuurde. Daarin claimt het Nieuwegeinse bedrijf dat zijn Phantom-geheugenstick 'overeind blijft in de 'kraaktest' van Fox-IT'. Hoewel hiermee niet gezegd is dat deze stick ook de stick is die 'als enige van de onderzochte USB sticks perfect geschikt is tegen toegang tot de informatie door onbevoegden bij verlies of diefstal', is de boodschap duidelijk.

Suurenbroek distantieert zich van het persbericht dat volgens hem ook geheel voor rekening van SafeBoot komt. Hij noemt het persbericht bovendien voorbarig. "SafeBoot heeft het rapport nog niet gelezen men heeft alleen inzicht gehad in de resultaten van de eigen producten", aldus Suurenbroek.

"Zij kennen de onderlinge ranking van de verschillende sticks ook niet. Het persbericht van Safeboot is ook niet conform de afspraak. Men schendt de overeengekomen geheimhouding over de resultaten van het onderzoek."

Dat Safeboot al wel inzicht heeft gehad in het testrapport en enkele andere producenten nog niet, ligt volgens Suurenbroek aan de medewerking die Safeboot verleend heeft aan de test. "Zij hebben ons enkele sticks ter beschikking gesteld en ook uitgebreide inzage gegeven in documentatie over de architectuur van hun sticks".

Ritech, producent van de eveneens door Fox-IT geteste Bioslimdisk, is de handelswijze van Fox-IT én Safeboot inmiddels in het verkeerde keelgat geschoten. Het bedrijf zegt last te hebben van geruchten dat zijn producten niet veilig zouden zijn en heeft inmiddels een advocaat in de arm genomen.

Ritech eist inzicht in het testrapport en de resultaten van het onderzoek, zodat het bedrijf deze kan verifiëren. Ook eist het bedrijf, op straffe van een dwangsom van duizenden euro's per dag, dat Fox-IT geen verdere mededelingen doet over de Bioslimdisk-producten.

Daarnaast wil de fabrikant een lijst met alle namen en adressen van personen of instellingen aan wie Fox-IT het testrapport heeft toegezonden of aan wie mededelingem zijn gedaan die suggereren dat hun usb-sticks minder veilig zouden zijn dan de Safeboot-sticks.

Ten aanzien van SafeBoot gaat het bedrijf zelfs nog een stap verder door inzicht in de technische documentatie van de Safeboot-producten te vragen om zo te verifiëren of geen patenten van Ritech schenden.

Safeboot zegt inderdaad een brief van die strekking te hebben ontvangen en de inhoud ervan nog aan het bestuderen te zijn. Op het eerste gezicht verwacht het bedrijf 'geen problemen en vertrouwt op een vlotte afwikkeling'.

Volgens Volker Ladage van Norman/Shark, de Nederlandse leverancier van Bioslimdisk, bestaan er geruchten, maar is nog niet één keer aangetoond dat de beveiliging van de Bioslimdisk niet in orde zou zijn.

"De Bioslimdisk wordt in Nederland door diverse (semi-)overheidsinstanties, ministeries en banken gebruikt. Wij hebben de indruk dat er veel ophef wordt gemaakt over dit rapport dat zover wij weten nog niemand heeft kunnen verkrijgen."

Bovendien zou volgens Ladage Fox-IT zelf er commercieel belang bij hebben om andere dan de Safeboot-sticks negatief in de publiciteit te brengen. Suurenbroek van Fox-IT ontkent dit. Fox-IT is weliswaar partner van SafeBoot maar 'Fox-IT verkoopt geen usb-geheugensticks en zal dat ook nooit doen'.

Een andere partij die niet gelukkig is met de publiciteit rondom het onderzoek, is Kingston. Twee van zijn Datatraveler-sticks maakten deel uit van de selectie usb-sticks die door Fox-IT getest is. Volgens Madeleine Kok van het pr-bureau van Kingston 'zal een reactie van Kingston ook zeker nog wel komen, want dat SafeBoot iets beweert zonder dat concreet ergens op te baseren en bewijsmateriaal te verstrekken is niet zoals het hoort'.

Bron: Techworld