Stando a quanto e' apparso in questo articolo, http://www.heise-online.co.uk/security/Secure-USB-sticks-cracked--/featu res/110280/0 sembra che perlomeno alcune implementazioni siano davvero delle "fuffe commerciali".
Il link che descrive l'attacco e' il seguente http://nshmyrev.narod.ru/myflash/adata-myflash-fp1.html Leggendolo, mi sono anche posto la domanda sulla possibilita' che tecniche di analisi analoghe si possano applicare anche alle memory keys protette da una password di accesso. Prendendo ad esempio il sito dalla Sandisk, si possono trovare due prodotti simili : Cruzer Enterprise (http://www.sandisk.com/OEM/ProductCatalog(1340)-Cruzer_Enterprise.aspx) Hardware based 256-bit AES encryption Mandatory access control for all files (100% private partition) Strong password "Lockdown" mode when a set number of incorrect password attempts are made Cruzer Professional (http://www.sandisk.com/OEM/ProductCatalog(1341)-Cruzer_Professional.asp x) Strong hardware based encryption (256-bit AES) Password-protected area for sensitive files Device "Lockdown" mode when a set number of incorrect password attempts are made Come dice anche questo articolo, http://www.reghardware.co.uk/2007/07/04/review_sandisk_cruzer_pro/ , la differenza e' sottile ma importante. Un collega mi ha prestato la sua Cruzer Professional, forse ignorando che quando inserisco la chiavetta dentro il PC e clicco sul pulsante password dimenticata compare un pop-up che dice : "Se dimentichi la password, l'unico modo per accedere all'unita' consiste nel cancellare tutti i dati e poi abilitare la sicurezza mediante password. Fai click sul pulsante elimina per eliminare tutti i dati dall'unita'.." Quindi...se il collega lascia incustodita la chiavetta, e non ha backuppato in qualche altro repository sicuro i dati importanti e' fritto : chiunque con un click puo' cancellargli i dati. Non e' proprio il massimo !! Adesso il collega e' rimasto senza chiavetta (nel senso che ne ho preso possesso per l'analisi) ma volevo sapere dai frequentatori della lista se sono gia' stati fatti dei confronti su devices USB che realizzano encryption dei dati per verificarne l'effettiva robustezza e quali risultati sono stati ottenuti. Grazie Ruggero -------------------------------------------------------------------- CONFIDENTIALITY NOTICE This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to [EMAIL PROTECTED] Thank you www.telecomitalia.it --------------------------------------------------------------------
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
