Om klanten te kunnen adviseren over het gebruik van usb-opslagmedia heeft het Delftse beveiligingsbedrijf Fox-IT een 'kraakonderzoek' uitgevoerd op een groot aantal beveiligde usb-geheugensticks. De uitkomst van het onderzoek is opmerkelijk. Volgens Fox-IT zijn de met encryptie en soms ook biometrische beveiliging uitgeruste usb-geheugensticks, op een enkeling na, allemaal te kraken.

"Slechts één van de onderzochte usb-sticks is perfect geschikt tegen toegang tot de informatie door onbevoegden bij verlies of diefstal. Een andere is zeer sterk te noemen, echter alleen bij volledig correct gebruik. De andere usb-sticks boden minder tot weinig veiligheid. Bij een veel gebruikt model waren de gegevens zelfs al binnen vijf minuten na 'diefstal' uitgelezen", aldus Fox-IT in haar nieuwsbrief (pdf) waarin zij melding maakt van het onderzoek. De fabrikanten van de sticks zijn echter boos op Fox-IT. Zij stellen dat de onderzoekers geen inzage willen verlenen in het testrapport.

Volgens Tjerk Suurenbroek van Fox-IT is 'alles uit de kast gehaald' om de gegevens aan de sticks te ontfutselen. "Brute force attacks, chips weghalen, communicatie afluisteren, solderen, noem maar op. Pas wanneer na twintig dagen de informatie nog niet vrijgekomen was, trokken we de conclusie dat de stick niet te kraken was." Het onderzoek bevat volgens Suurenbroek 'zeer bruikbare informatie' voor partijen die op zoek zijn of al gebruikmaken van als veilig beschouwde geheugensticks.

Fox-IT heeft dan ook besloten het rapport niet openbaar te maken maar tegen betaling van - naar verluidt - enkele duizenden euro's, aan geïnteresseerde partijen te verkopen. Volgens Suurenbroek is er zowel vanuit de hoek van de overheid als niet-overheid veel interesse. Fox-IT heeft veel contacten bij dergelijke partijen. Het bedrijf werd eerder dit jaar door de Nederlandse staat aangewezen om een nieuwe crypto-chip te ontwikkelen waarmee de staat vertrouwelijke informatie in geheimschrift kan omzetten.

Persbericht

Dat er toch veel rumoer is over het onderzoek, is vooral te wijten aan het persbericht dat Safeboot vorige week verstuurde. Daarin claimt het Nieuwegeinse bedrijf, dat haar Safeboot Phantom geheugenstick 'overeind blijft in de 'kraaktest' van Fox-IT'. Hoewel hiermee niet gezegd is dat de Safeboot Phantom ook de stick is die 'als enige van de onderzochte usb-sticks perfect geschikt is tegen toegang tot de informatie door onbevoegden bij verlies of diefstal', is de boodschap duidelijk.

Suurenbroek distantieert zich van het persbericht dat volgens hem ook geheel voor rekening van Safeboot komt. Hij noemt het persbericht bovendien voorbarig. "Safeboot heeft het rapport nog niet gelezen, men heeft alleen inzicht gehad in de resultaten van de eigen producten. Zij kennen de onderlinge ranking van de verschillende sticks dus ook niet", aldus Suurenbroek, die vervolgt dat 'het persbericht van Safeboot ook niet conform de afspraak is. Men schendt de overeengekomen geheimhouding over de resultaten van het onderzoek.'

Dat Safeboot al wel, maar in elk geval enkele van de andere producenten nog geen inzicht hebben gehad in het testrapport, ligt volgens Suurenbroek aan de medewerking die Safeboot verleend heeft aan de test. "Zij hebben ons enkele sticks ter beschikking gesteld en ook uitgebreide inzage gegeven in documentatie over de architectuur van hun sticks."

Smaad

Ritech, producent van de ook door Fix-IT geteste Bioslimdisk, is de handelswijze van Fox-IT én Safeboot inmiddels in het verkeerde keelgat geschoten. Het bedrijf zegt last te hebben van geruchten dat haar producten niet veilig zouden zijn en heeft inmiddels een advocaat in de arm genomen. Ritech eist inzicht in het testrapport en de resultaten van het onderzoek, zodat men die kan verifiëren. Ook eist men op straffe van duizenden euro's per dag, dat Fox-IT geen verdere mededeling doet over de Bioslimdisk-producten en wil men een lijst met alle namen en adressen van personen of instellingen aan wie Fox-IT het testrapport heeft toegezonden of aan wie mededeling zijn gedaan die suggereren dat de Bioslimdisk usb-sticks minder veilig zouden zijn dan de Safeboot usb-sticks.

Ten aanzien van Safeboot gaat het bedrijf zelfs nog een paar stappen verder en heeft het inzicht gevraagd in de technische documentatie van de Safeboot-producten, ten einde te verifiëren of deze niet enkele Nederlandse en internationale patenten van Ritech schenden. Safeboot zegt inderdaad een brief met die strekking te hebben ontvangen en de inhoud ervan nog aan het bestuderen te zijn. Op het eerste gezicht verwacht men 'geen problemen en vertrouwt op een vlotte afwikkeling'.

Volgens Volker Ladage van Norman/SHARK, de Nederlandse leverancier van Bioslimdisk, bestaan er weliswaar geruchten, maar is nog niet één keer een bewijs getoond dat de beveiliging van de Bioslimdisk niet in orde zou zijn. "De Bioslimdisk wordt in Nederland door diverse (semi)-overheidsinstanties, ministeries en banken gebruikt. Wij hebben de indruk dat er veel ophef wordt gemaakt over dit rapport dat zover wij weten nog niemand heeft kunnen verkrijgen."

Bovendien zou volgens Ladage, Fox-IT zelf er commercieel belang bij hebben om andere dan de Safeboot-sticks negatief in de publiciteit te brengen. Suurenbroek van Fox-IT ontkent dit. Fox-IT is weliswaar partner van Safeboot maar 'Fox-IT verkoopt geen usb-geheugensticks en zal dat ook nooit doen. Dergelijke producten zijn een commodity en passen niet in onze portfolio'.

Kingston

Een andere partij die niet gelukkig is met de publiciteit rondom het onderzoek, is Kingston. Twee van haar Datatraveler usb-sticks maakten deel uit van de selectie usb-sticks die door Fox-IT getest is. Volgens Madeleine Kok van het pr-bureau van Kingston zal 'een reactie van Kingston ook zeker nog wel komen, want dat Safeboot iets beweert zonder dat concreet ergens op te baseren en bewijsmateriaal te verstrekken is niet zoals het hoort'.

Kingston is nog steeds bezig om het rapport te verkrijgen en heeft inmiddels ook contact gehad met Fox-IT waarbij volgens Kingston bevestigd is dat zeker ook data op de Kingston Datatraveler veilig is.