De meest gehackte wachtwoorden: Is de jouwe?
Uw naam, uw favoriete voetbal team en uw favoriete band: De BRITSE National Cyber Security Centre heeft een lijst van de 100.000 meest voorkomende wachtwoorden worden weergegeven in de data-inbreuken. Lees meer: https://zd.net/2UYNnKP
Wanneer het product of de service leveranciers het gebruik van het woord “niet te breken,” stellen zij zichzelf voor de toetsing van de onderzoekers van de veiligheid.
Zoals we al eerder gezien met de Viper smart auto-alarmen en de Bitfi portemonnee — zowel in de handel als in principe hackerproof — de term “niet te breken” is een rode vlag op een stier in de cybersecurity rijk.
In het eerste geval, de onderzoekers waren snel in staat zijn om kwetsbaarheden te vinden die toegestaan gegevens worden gestolen auto ‘ s worden ontgrendeld, en het voertuig alarmen uitgeschakeld te worden. In het tweede voorbeeld, een 15-jarige gecompromitteerd de Bitfi portemonnee te spelen Doom, omdat, waarom niet?
Lessen niet hebt geleerd over de claim niet te breken, zo lijkt het, en nu de eyeDisk USB-station is het laatste voorbeeld van waarom zo ‘ n hoge claims voor back-up aan het gevest.
EyeDisk, gehost op het crowdfunding platform Kickstarter, beweert te zijn een “niet te breken” USB-flash-schijf, die houdt van “uw digitale gegevens vergrendeld en veilig, u toegang te verlenen tot u alleen.”
De $99 flash drive beweert het gebruik van iris recognition-technologie in combinatie met AES-256-codering om de gegevens op het apparaat veilig.
“We ontwikkelen[ed] onze eigen iris erkenning algoritme, zodat niemand kan hacken van uw USB-schijf, zelfs zij hebben uw iris patroon,” de Kickstarter-campagne zegt. “Uw persoonlijke iris gegevens gebruikt voor de identificatie zal nooit worden opgehaald en / of vermenigvuldigd worden, zelfs als uw USB is verloren.”
Echter, volgens de Pen-Test Partners onderzoeker David Lodge, het gevorderde niveau van beveiliging uitgevoerd binnen eyeDisk te kort schiet.
Lodge recent verkregen van één van de apparaten en begon zijn onderzoek. Na het inpluggen van de eyeDisk in een virtuele Windows-machine (VM), de onderzoeker ontdekte het product kwam als een USB-camera, een alleen-lezen flash volume, en een verwijderbare media volume.
eyeDisk
De eerste taak was om te zien of de eyeDisk kan worden ontgrendeld op betrouwbare wijze met een iris-scan, mogelijk gemaakt door het vasthouden van de camera van het apparaat tot aan je ogen. Lodge gevonden dat ongeveer twee van de drie keer, het apparaat werkte, en in de mislukte gevallen een back-up wachtwoord is voldoende.
De volgende fase betrokken tests om te zien of eyeDisk kon worden voor de gek gehouden met een foto of een soortgelijke iris patroon, bijgedragen door de onderzoeker het kind. EyeDisk goed gepresteerd in beide gevallen en niet ontgrendelen.
Echter, wanneer Lodge is een onderzoek gestart naar de eyeDisk de software en de hardware-installatie, problemen begon te ontstaan.
CNET: Ooit app opgeleid gezichtsherkenning tech op foto’ s van gebruikers, rapport zegt
De verspreiding van de hardware onthuld wat is eigenlijk “een USB-stick met een hub en de camera is bevestigd.”
EyeDisk de inhoud ontgrendeld wanneer de authenticator element van het apparaat passeert een wachtwoord langs de aansturing van de software. De onderzoeker ervoor gekozen om Wireshark, een open-source pakket analyse programma, om te zien of hij kon ruiken aan de inhoud. (De meest recente versie van Wireshark ondersteuning USBPcap voor snuiven USB-pakketten in real-time.)
Het duurde niet lang voordat duidelijk werd dat de zogenaamde “niet te breken” apparaat geeft door het verzenden van deze wachtwoorden in leesbare tekst.
“Dus wat gebeurt er als ik een onjuist wachtwoord invoert? Ik geef je een hint: precies hetzelfde,” de onderzoeker genoteerd. “Het maakt niet uit wat u het verzendt hetzelfde pakket aan op het apparaat. Dit betekent dat de app zelf moeten dit lezen van het apparaat en klik op verzenden wanneer het wordt ontgrendeld.”
TechRepublic: Op het apparaat spraakherkenning kan maken van smart-assistenten meer aantrekkelijk
“De software verzamelt het wachtwoord voor het eerst, vervolgens valideert de door de gebruiker ingevoerde wachtwoord VOOR het verzenden van het ontgrendelen wachtwoord,” Lodge toegevoegd. “Dit is een zeer slechte aanpak gezien de niet te breken vorderingen en in wezen ondermijnt de veiligheid van het apparaat.”
Het is dus mogelijk om het wachtwoord/hash, in een duidelijke tekst, door simpelweg te snuiven van de USB-verkeer.
Pen Test Partners geprobeerd contact opnemen met de eyeDisk team op 4 April 2019. De verkoper onmiddellijk gereageerd en de volledige gegevens van de veiligheidsproblemen ontdekt door de onderzoekers werden op dezelfde dag.
Zie ook: Hackers-aanval Samenvloeiing Servers, kapen macht voor cryptocurrency mijnbouw
Door April 9, eyeDisk zei dat het zou het probleem oplossen, maar geen datum voor een patch is gegeven. De cybersecurity team bleef achtervolgen van de leverancier, het adviseren van dat openbaar zou worden gemaakt op 9 Mei, maar het is radiostilte sinds.
“Ons advies aan leveranciers die wil beweren dat hun apparaat is niet te breken, stop,” de onderzoeker zegt. “het is een eenhoorn. Uw apparaat is getest en oplossen van de problemen die zijn ontdekt.”
ZDNet heeft bereikt eyeDisk en zal updaten als we horen terug.
Vorige en aanverwante dekking
DeepDotWeb Donkere web resource sterft met de FBI beslag
OneCoin ‘CryptoQueen’ voor de rechter gedaagd over vermeende $4 miljard cryptocurrency Ponzi scheme
Amazon verkopers geslagen met ‘uitgebreide’ fraude, financiële diefstal
Een tip? Get in touch veilig via WhatsApp | Signaal op +447713 025 499, of over Keybase: charlie0
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters