Am Donnerstag, den 13. Oktober 2011 durften die Besucher der diesjährigen IT Security Area Messe in Nürnberg live erfahren, wie einfach man unter anderem hardwareverschlüsselte USB Sticks hacken kann.
Diplom Informatiker Sebastian Schreiber, Geschäftsführer der SySS GmbH in Tübingen, durfte mit seinem Vortrag „Simple Hacking - einfache aber effektive Angriffe“ die Besucher schockieren. Er demonstrierte, dass sensible Daten auf USB Sticks mit hardwarebasierter Verschlüsselung trotz AES 256 Bit Verschlüsselung und FIPS 140-2 Level 2 Zertifizierung des US-amerikanischen ‚National Institute of Standards and Technology (NIST)‘ innerhalb kürzester Zeit in die Hände unberechtigter Personen gelangen können. Verschlüsselte USB Massenspeicher von namhaften Herstellern die nach Angabe des NIST für den Einsatz mit sicherheitsbedürftigen Daten von Regierungsbehörden qualifiziert sind wurden mit drei Beispielen geknackt. Beispielsweise wurde ein erfolgreicher Anmeldevorgang dem USB Stick vorgetäuscht, indem mit einem kleinen Tool diverse Krypto-Operationen gestartet wurden, die den passenden String im Arbeitsspeicher des USB Gerätes ausübten und somit den Zugang zu allen Daten frei gab.
Die Empfehlung i.S. sicherer Gebrauch von USB Wechseldatenträgern galt technisch der softwarebasierten USB Verschlüsselung. Hierzu präsentierte bereits schon am Morgen der deutsche IT Security Hersteller ‚cynapspro‘ die einfache und intuitive Endpoint Protection Lösung namens cynapspro Endpoint Data Protection. In weniger als 10 Minuten lässt sich mit dieser zentralgesteuerten Security Lösung das komplette Unternehmensnetzwerk schützen. Hierbei bietet u.a. CryptionPro eine automatisierte, dateibasierte und zentralgesteuerte on-the-fly Verschlüsselung, welche den Arbeitsfluss des Mitarbeiters nicht durch unnötige Vorbereitungen wie Anlegen von Partitionsverschlüsselung oder Container aufhält. Weiter geschieht die Ver- und Entschlüsselung der Daten automatisch im Hintergrund, so dass der Benutzer keine Anwendungen, Autorisierungen oder Ähnliches starten oder beachten muss. Die Produkte der cynapspro entsprechen den Vorgaben und Empfehlungen von Gesetzesvorlagen und dem BSI. Beispielsweise empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Verschlüsselungen den Algorithmus AES 256 Bit, welcher mit CryptionPro angewandt werden kann.
Weitere Informationen unter:
- Live Hacking Vortrag - it-sa 2011: http://www.it-sa.de/index.php?id=596&L=0&view=detail&fullview=1&lid=2218
- Vortrag “Freie Fahrt für sichere Endgeräte“ – it-sa 2011: http://www.it-sa.de/index.php?id=594&L=0&view=detail&lid=2289
- Produktseite CryptionPro: http://cynapspro.com/DE/products/cryptionpro
- Video Tutorials zum Thema: http://cynapspro.com/DE/watch-a-video
Keine Kommentare:
Kommentar veröffentlichen