Det mest hackede passwords: Er din en af dem?
Dit navn, din favorit fodboldhold og dine favorit band: UK ‘ s National Cyber Security Center har udgivet en liste over de 100.000 mest almindelige adgangskoder vises i brud på datasikkerheden. Læs mere: https://zd.net/2UYNnKP
Når produkt eller service leverandører bruger ordet “unhackable,” de sætter sig op til granskning af sikkerhedseksperter.
Som vi tidligere har set med Viper smart bil alarmer og Bitfi wallet-både markedsføres som dybest set hackerproof — udtrykket “unhackable” er et rødt flag, at en tyr i cybersecurity rige.
I det første tilfælde, var forskerne i stand til hurtigt at finde sårbarheder, som må gerne medbringes data til at blive stjålet, biler, for at blive låst op, og køretøjet alarmer er deaktiveret. I det andet eksempel, en 15-årig kompromitteret Bitfi tegnebog til at spille Doom, fordi hvorfor ikke?
Erfaringer har i ikke lært om unhackable krav, synes det, og nu eyeDisk USB-drev er det seneste eksempel på, hvorfor sådanne høje krav nødt til at være bakket op til fæstet.
EyeDisk, der er hostet på Kickstarter crowdfunding platform, der hævder at være en “unhackable” USB-flash-drev, der holder “din digitale data er låst, og at sikre, at der gives adgang til, kun dig.”
$99 flash-drev hævder at bruge iris-genkendelse teknologi i takt med AES-256 kryptering for at holde oplysninger, der er gemt på enheden sikkert.
“Vi udvikler[ed] vores egen iris anerkendelse algoritme, så at ingen kan hacke din USB-drev selv, at de har din iris mønster,” Kickstarter-kampagne, der siger. “Din personlige iris data, der anvendes til identifikation vil aldrig blive hentet eller kopieret endnu, hvis din USB-er tabt.”
Men ifølge Pen Test Partnere forsker David Lodge, det krævede niveau af sikkerhed, der kan gennemføres inden eyeDisk falder kort.
Lodge har for nylig fået en af de enheder, og begyndte sin undersøgelse. Efter at sætte den eyeDisk i en Windows virtual machine (VM), forskeren har fundet det produkt, der kom op som et USB-kamera, en read-only flash volumen, og en flytbare medier volumen.
eyeDisk
Den første opgave var at se, om eyeDisk kunne blive låst op pålideligt ved hjælp af en iris scanning, der blev gjort muligt ved at holde mobilens kamera op til øjet. Lodge fandt, at omkring to ud af tre gange, enheden arbejdet, og i den mislykkede tilfælde en backup password, var tilstrækkelig.
Den næste fase, der er involveret tests for at se, om eyeDisk kunne blive narret med et fotografi eller en lignende iris mønster, bidraget med forskerens barn. EyeDisk klaret sig godt i begge tilfælde og ikke låse op.
Men når Lodge begyndte at undersøge eyeDisk ‘ s software og hardware setup, problemer begyndte at vise sig.
CNET: Nogensinde app uddannet facial anerkendelse tech på brugeres billeder rapport siger
Formidling af den hardware, der afslørede, hvad der var stort set “et USB-stick med en hub og knyttet kamera.”
EyeDisk indhold er låst, når godkenderen element af enheden passerer en adgangskode til styring af software. Forskeren har valgt at bruge Wireshark, en open-source-pakken analyzer, for at se, om han kunne snuse til indholdet. (De nyeste versioner af Wireshark støtte USBPcap for at snuse til USB-pakker i real-tid.)
Det varede ikke længe, før det blev klart, at den såkaldte “unhackable” låser enheden ved at sende disse passwords i klar tekst.
“Så hvad sker der, hvis jeg indtaster den forkerte adgangskode? Jeg vil give dig et fingerpeg: præcis det samme,” forskeren er angivet. “Uanset hvad du indtaster, sender den samme pakke til enheden. Dette betyder, at app ‘ en i sig selv skal læse denne fra enheden og derefter sende den igen, når det låser op for det.”
TechRepublic: On-enhed talegenkendelse kan gøre smart assistenter mere tiltalende
“Den software, der indsamler password, så validerer brugeren har indtastet adgangskoden, FØR du sender unlock password,” Lodge tilføjet. “Dette er en meget dårlig strategi i betragtning af den unhackable krav, og helt grundlæggende undergraver sikkerheden for enheden.”
Det er derfor muligt at få oplyst/hash, er i klar tekst, blot ved at snuse USB-trafik.
Pen Test Partnere forsøgt at kontakte eyeDisk team på 4 April, 2019. Sælger reagerede straks og fuldstændige oplysninger om de sikkerhedsmæssige problemer, ikke er omfattet af de forskere, der blev leveret på samme dag.
Se også: Hackere angriber Sammenløbet Servere, kapre magten til cryptocurrency minedrift
Fra April 9, eyeDisk sagde, at det ville løse problemet, men ikke nogen dato for et patch, der blev givet. Cybersikkerhed holdet fortsatte med at jage de sælger, rådgiver, at en offentliggørelse ville være foretaget på Maj 9, men det har været radiotavshed lige siden.
“Vores råd til leverandører, der ønsker at gøre krav på deres enhed er unhackable, stop,” siger forsker. “det er en enhjørning. Få din enhed er testet og løse de problemer, der er opdaget.”
ZDNet har nået ud til at eyeDisk og vil opdatere, hvis vi hører tilbage.
Tidligere og relaterede dækning
DeepDotWeb Dark web ressource dør med FBI beslaglæggelse
OneCoin ‘CryptoQueen’ sagsøgt over påståede $4bn cryptocurrency Ponzi ordningen
Amazon sælger slog med et “stort” svig, finansielle tyveri
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre