Mittwoch, Mai 07, 2008

Einfach aufgemacht - Zugriff auf geschützte Datenbereiche ohne gültigen Fingerabdruck

Datentresore, die sich nur mit dem richtigen Fingerabdruck öffnen, versprechen Hersteller von USB-Sticks und -Karten mit Fingerabdrucklesern. Doch mit einem frei verfügbaren Tool können Neugierige den Schutz einiger Produkte umgehen.

Viele Secure-USB-Sticks bestehen im Wesentlichen aus drei Bauelementen: Dem Flash-Speicher für die Daten, einem Fingerabdrucksensor und einem Mikrocontroller, der den USB-Verkehr abwickelt, mit dem Flash spricht und den Sensor steuert. Der Flash-Speicher ist dabei logisch in mehrere Partitionen unterteilt, von denen der Controller nach dem Anschluss an den PC nur eine öffentliche zum Zugriff freigibt. Mit der darin ab Werk enthaltenen Software startet der Anwender die erstmalige Erfassung der Fingerabdrücke und bei jedem weiteren Mal die Authentifizierung durch den Sensor. Die Software läuft auf dem PC und nutzt den Sensor zum Einlesen des Fingerabdrucks. Ist es der richtige, blendet der Mikrocontroller die zuvor geschützte Partition als Laufwerk ein.
Bei USB-Sticks mit den Controllern USBest UT176 und UT169 des taiwanischen Herstellers Afa Technology ist jedoch der Zugriff auf die geschützte Partition ohne jegliche Authentifizierung möglich. Dazu genügt es, mit dem Tool PLscsi einen einzigen USB-Befehl (Command Descriptor Block) an den Stick zu schicken, um die öffentliche Partition auszublenden und die geschützte aufzurufen. Was zunächst nur als undokumentierte Hintertür erschien, entpuppte sich beim Sniffing mit einem USB-Monitor-Tool als fetter Design-Fehler: Nicht der Controller auf dem Stick entscheidet darüber, ob er die Partition freischaltet, sondern die Software unter Windows gibt das Kommando dazu. Erwartet hätte man nach den Beschreibungen der Hersteller, dass sämtliche Abläufe der Fingerabdruckerkennung und Freigabe autark im Mikrocontroller (ein 8032-Derivat) des Sticks ablaufen. Zusätzlich entscheidet die Software auf dem PC mit einem weiteren Befehl, ob die Partition nur für lesende Zugriffe verfügbar oder auch beschreibbar ist.

Diverse Sticks betroffen

n unseren Tests konnten wir die Sicherheitslücke bei dem Stick MyFlash FP1 von A-Data (USB-ID 1307:1169) und der 1-GB-Secure-Card (USB-ID 7009:1765) des Herstellers 9pay nachvollziehen. Auch die Fingerprint-Sticks JetFlash 210 und 220 des Herstellers Transcend arbeiten mit den verdächtigen Chips und geben die geschützte Partition nach einem einzigen USB-Befehl preis. Wahrscheinlich weist das Modell UT176 des Anbieters CySecure die Schwachstelle ebenfalls auf, getestet haben wir es dort jedoch nicht. Auf das Problem hingewiesen räumte der Hersteller 9pay ein, ihm sei die Möglichkeit bekannt, dass "sehr professionelle Anwender" ohne Authentifizierung auf die geschützte Partition zugreifen könnten. Künftig wolle man darauf in der Bedienungsanleitung hinweisen und vermeiden, dass der Fingerabdrucksensor einen falschen Eindruck von Sicherheit erwecke. Man empfehle Anwendern daher, vertrauliche Daten sicherheitshalber zu verschlüsseln und dann auf der rund 90 Euro teuren Karte zu speichern. Der Hersteller denkt allerdings bereits über den Einsatz eines anderen, sichereren Chips nach.
Wir baten ebenfalls Transcend und den Hersteller des Chips Afa um eine Stellungnahme. Transcend sah sich aufgrund des chinesischen Neujahrsfests zu keiner vollständigen Stellungnahme in der Lage. Sofern der Controller-Hersteller den Bug bestätige, wolle man eine Lösung für eine Partitionsabsicherung in Form von Firmware-Updates bereitstellen. Afa Technologies wollte selbst keine Stellungnahme abgeben, sondern delegierte die Anfrage an den Hersteller des Sensorchips LighTuning Tech weiter, der für die Kommunikation des Controllers mit Anwendungsprogrammen verantwortlich sein soll. Eine Antwort blieb jedoch aus.

Selbsttest

Ob sich der eigene USB-Stick ebenfalls ohne jegliche Authentifizierung "aufmachen" lässt, können Anwender mit dem Open-Source-Tool PLscsi ausprobieren. Für Windows gibt es eine vorkompilierte Version für die Eingabeaufforderung. Linuxer müssen das Tool selbst übersetzen. Über eine Umgebungsvariable setzt man das anzusprechende Laufwerk, das sich über den Befehl plscsi -w herausfinden lässt. Zu beachten ist, dass die Fingerprint-Sticks beim Anschluss an den PC zwei Laufwerke am System anmelden: Ein virtuelles CD-ROM- und ein normales Laufwerk. Letzteres wählt man aus und sendet den Befehl zum Freischalten.
Unter Linux geht man ähnlich vor. Vor dem Senden des Befehls ist es aber erforderlich, beide Laufwerke auszuhängen, falls der Automounter sie nach dem Einstecken automatisch eingebunden hat. Das richtige Laufwerk ermittelt man etwa mit dem Befehl dmesg und setzt mit export PLSCSI=/dev/sdb die Umgebungsvariable. Für sämtliche Aktionen benötigt der Anwender sowohl unter Windows als auch unter Linux Administratorrechte.
Neben der geschützten Partition gibt es noch eine kleine versteckte Partition, in der neben privaten PGP-Keys und Passwörtern offenbar auch die initialen Fingerabdrücke gespeichert sind. Der Zugriff darauf gelang uns nicht, auch konnten wir beim Analysieren des USB-Verkehrs nicht feststellen, dass der gespeicherte Fingerprint den Stick oder die Karte verlässt. Der Vergleich mit dem gerade eingelesenen Abdruck scheint also im Stick zu erfolgen. Umso unverständlicher, dass der Befehl zum Freischalten dann von außen kommt.

Fazit

Die Fingerprintsensoren der genannten Produkte scheinen derzeit eher als Ablenkungsmanöver zu dienen, das potenziell Neugierige in die Irre führen soll. Einen Zugriffsschutz bieten sie in keiner Weise. Daher ist vom Kauf der genannten Produkte abzuraten. Wer seine Daten auf einem USB-Stick wirksam mit Fingerprint schützen will, sollte auf Produkte wie den Stealth MXP von MXI Security (siehe c't 14/2007, S. 61) mit integrierter Hardwareverschlüsselung zurückgreifen. Der kostet mit 1 GByte Speicher allerdings auch doppelt soviel wie die 9pay-Lösung und mehr als das Zehnfache des A-DataSticks. Eine sehr preisgünstige und sichere Lösung erhält man mit einem normalen Stick, der freien Verschlüsselungssoftware TrueCrypt und einem guten Passwort.(Quelle:Heise.de)

Labels:

0 Kommentare:

Kommentar veröffentlichen

Abonnieren Kommentare zum Post [Atom]

<< Startseite