Il più violato password: È tuo è uno di loro?
Il tuo nome, la tua squadra di calcio preferita e la tua band preferita: Il regno UNITO National Cyber Security Centro, ha rilasciato una lista dei 100.000 password più comuni apparire in violazioni di dati. Leggi di più: https://zd.net/2UYNnKP
Ogni volta che un prodotto o fornitori di servizi utilizzare la parola “unhackable,” sono installandosi per il controllo di ricercatori di sicurezza.
Come abbiamo visto in precedenza con il Viper smart auto allarmi e la Bitfi portafoglio, sia commercializzato come fondamentalmente hackerproof — il termine “unhackable” è una bandiera rossa per un toro in sicurezza informatica regno.
Nel primo caso, i ricercatori sono stati rapidamente in grado di trovare le vulnerabilità che ha permesso di dati rubati, auto per essere sbloccato, e gli allarmi per veicoli per disabili. Nel secondo esempio, un 15-anno-vecchio compromesso la Bitfi portafoglio per giocare a Doom, perché, perché?
Le lezioni non sono state imparato a conoscere il unhackable pretendiamo, a quanto pare, e ora il eyeDisk drive USB è l’ultimo esempio del perché tali nobili reclami devono essere sostenuti fino in fondo.
EyeDisk, ospitato sulla piattaforma di crowdfunding Kickstarter, sostiene di essere un “unhackable” USB flash drive che mantiene “i dati digitali bloccato e sicuro, di concedere l’accesso solo a te.”
Il $99 unità flash afferma di utilizzare la tecnologia di riconoscimento dell’iride in tandem con crittografia AES-256 per mantenere le informazioni memorizzate sul dispositivo sicuro.
“Sviluppiamo[ed] nostro algoritmo di riconoscimento dell’iride, in modo che non si può incidere il vostro drive USB anche loro hanno l’iride modello,” la campagna di Kickstarter, dice. “Il personale di iris dati usati per l’identificazione non potrà mai essere recuperati o duplicati, anche se USB è perso”.
Tuttavia, secondo la Penna di Test Partner ricercatore David Lodge, rivendicata livello di sicurezza attuate entro eyeDisk cade a breve.
Lodge ha recentemente ottenuto uno dei dispositivi e ha iniziato la sua indagine. Dopo aver collegato il eyeDisk in un Windows virtual machine (VM), il ricercatore ha trovato il prodotto si avvicinò come una fotocamera USB, di sola lettura del volume di flash, e un supporto rimovibile volume.
eyeDisk
Il primo compito era quello di vedere se il eyeDisk può essere sbloccato in modo affidabile utilizzando un iride, resa possibile tenendo la fotocamera del dispositivo fino al vostro occhio. Lodge trovato che circa due volte su tre, il dispositivo ha funzionato, e non è riuscito casi una password di backup è stato sufficiente.
La fase successiva coinvolti test per vedere se eyeDisk potrebbe ingannare con una fotografia o un simile modello iris, il contributo del ricercatore del bambino. EyeDisk eseguito bene in entrambi i casi e non si sblocca.
Tuttavia, quando Lodge ha iniziato a esaminare eyeDisk software e hardware, configurazione, i problemi hanno cominciato ad emergere.
CNET: Mai app formati di riconoscimento facciale tech degli utenti, le foto, la relazione dice
La diffusione di hardware ha rivelato quello che era fondamentalmente “una chiavetta USB con un hub e fotocamera collegata.”
EyeDisk contenuti sono sbloccato quando l’autenticatore elemento del dispositivo passa una password per il software di controllo. Il ricercatore ha scelto di utilizzare Wireshark, un open-source analizzatore di pacchetti, per vedere se poteva annusare il contenuto. (Le ultime versioni di Wireshark supporto USBPcap per lo sniffing di pacchetti USB in tempo reale.)
Non era molto prima che diventasse evidente che il cosiddetto “unhackable” dispositivo sblocca mediante l’invio di una password in testo in chiaro.
“Quindi, cosa succede se inserisco la password sbagliata? Io ti do un indizio: è esattamente la stessa cosa”, il ricercatore ha osservato. “Non importa ciò che si immette invia lo stesso pacchetto per il dispositivo. Questo significa che l’applicazione deve leggere questo dal dispositivo e quindi di inviarlo di nuovo quando si sblocca”.
TechRepublic: riconoscimento vocale Sul dispositivo può rendere intelligenti gli assistenti più attraente
“Il software raccoglie la password, quindi valida la password immessa dall’utente PRIMA di inviare la password di sblocco,” Lodge aggiunto. “Questo è un pessimo approccio dato il unhackable crediti e, fondamentalmente, compromette la sicurezza del dispositivo.”
È possibile, pertanto, per ottenere la password hash, con testo in chiaro, semplicemente annusando l’USB del traffico.
Penna Test Partner tentato di contattare il eyeDisk squadra, il 4 aprile, 2019. Il venditore immediatamente risposto e tutti i dettagli di problemi di sicurezza scoperti dai ricercatori sono stati forniti il giorno stesso.
Vedi anche: attacco Hacker Confluenza Server, dirottare il potere per cryptocurrency di data mining
Entro il 9 aprile eyeDisk ha detto che sarebbe risolvere il problema, ma nessuna data per una patch. La sicurezza informatica squadra ha continuato a inseguire il fornitore, per comunicare che la divulgazione al pubblico vorresti essere effettuata il 9 Maggio, ma è stato il silenzio radio da sempre.
“I nostri consigli per i venditori che vogliono fare la domanda il loro dispositivo è unhackable, stop”, il ricercatore dice. “è un unicorno. Ottenere il vostro dispositivo testato e risolvere i problemi scoperti.”
ZDNet ha raggiunto eyeDisk e aggiornerà se sentiamo di ritorno.
Precedente e relativa copertura
DeepDotWeb Scuro risorsa web muore con l’FBI sequestro
OneCoin ‘CryptoQueen’ citato in giudizio per presunte $4 miliardi cryptocurrency schema Ponzi
I venditori Amazon ha colpito con ‘ampia’ la frode, il furto di denaro
Ha un suggerimento? Entrare in contatto in modo sicuro tramite WhatsApp | Segnale a +447713 025 499, o oltre a Keybase: charlie0
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati