Sichere USB-Sticks geknackt
Seite 2: Selbsttest
Selbsttest
Ob sich der eigene USB-Stick ebenfalls ohne jegliche Authentifizierung "aufmachen" lässt, können Anwender mit dem Open-Source-Tool PLscsi ausprobieren. Für Windows gibt es eine vorkompilierte Version für die Eingabeaufforderung. Linuxer müssen das Tool selbst übersetzen. Über eine Umgebungsvariable setzt man das anzusprechende Laufwerk, das sich über den Befehl plscsi -w herausfinden lässt. Zu beachten ist, dass die Fingerprint-Sticks beim Anschluss an den PC zwei Laufwerke am System anmelden: Ein virtuelles CD-ROM- und ein normales Laufwerk. Letzteres wählt man aus und sendet den Befehl zum Freischalten (siehe Bild unten).
Unter Linux geht man ähnlich vor. Vor dem Senden des Befehls ist es aber erforderlich, beide Laufwerke auszuhängen, falls der Automounter sie nach dem Einstecken automatisch eingebunden hat. Das richtige Laufwerk ermittelt man etwa mit dem Befehl dmesg und setzt mit export PLSCSI=/dev/sdb die Umgebungsvariable. Für sämtliche Aktionen benötigt der Anwender sowohl unter Windows als auch unter Linux Administratorrechte.
Neben der geschützten Partition gibt es noch eine kleine versteckte Partition, in der neben privaten PGP-Keys und Passwörtern offenbar auch die initialen Fingerabdrücke gespeichert sind. Der Zugriff darauf gelang uns nicht, auch konnten wir beim Analysieren des USB-Verkehrs nicht feststellen, dass der gespeicherte Fingerprint den Stick oder die Karte verlässt. Der Vergleich mit dem gerade eingelesenen Abdruck scheint also im Stick zu erfolgen. Umso unverständlicher, dass der Befehl zum Freischalten dann von außen kommt.
Fazit
Die Fingerprintsensoren der genannten Produkte scheinen derzeit eher als Ablenkungsmanöver zu dienen, das potenziell Neugierige in die Irre führen soll. Einen Zugriffsschutz bieten sie in keiner Weise. Daher ist vom Kauf der genannten Produkte abzuraten. Wer seine Daten auf einem USB-Stick wirksam mit Fingerprint schützen will, sollte auf Produkte wie den Stealth MXP von MXI Security (siehe c't 14/2007, S. 61) mit integrierter Hardwareverschlüsselung zurückgreifen. Der kostet mit 1 GByte Speicher allerdings auch doppelt soviel wie die 9pay-Lösung und mehr als das Zehnfache des A-DataSticks. Eine sehr preisgünstige und sichere Lösung erhält man mit einem normalen Stick, der freien Verschlüsselungssoftware TrueCrypt und einem guten Passwort. (dab)
