Die Sicherheit des Ironkey im Überblick

Wir fahren mit den Tests des IronKey fort. Und in diesem Teil möchten wir Ihren mehr über die Merkmale und Funktionen dieses Laufwerks erzählen. Das neue S200 IronKey Modell ist jetzt Windows 7-kompatibel. Der IronKey S200 1 GB ist High-End und der Preis spiegelt das auch wider – 79 US-Dollar. Unser Urteil für dieses Teil: Ein solides Gerät und Merkmale, die diesen USB-Stick zu einem der sichersten und das Leben des Nutzer ein wenig kompliziert machen.


Erwähnenswerte Sicherheitsmerkmale:

  • Selbstzerstörungs-Sequenz
    Wir glauben, er wird sich selbst zerstören, falls irgendein Hardware-Rekonstrukteur versucht ihn zu hacken (oder sogar zu disassemblieren). Auf ähnliche Weise wird sich Ihr IronKey nach der zehnten falschen Passworteingabe in Folge selbst mittels “flash-trash”-Technologie zerstören.
    Wir haben dieses Feature nicht getestet. 🙂
  • Anti-Malware und Autorun-Schutz
    IronKey hat 2 nützliche Optionen um Ihre Informationen gegen Viren und unbefugten Zugriff zu schützen: 1) Es erkennt und verhindert die Ausführung von autorun.inf vom IronKey. 2) Der Benutzer kann die IronKey-Partion im Nur-Lese-Modus freischalten. 3) IronKey wird nach einem inaktiven Zeitraum automatisch gesperrt.
  • Tragbarer, plattformunabhängiger Datenzugriff
    Wir haben den IronKey unter Windows und Mac OS X benutzt und können den leichten Dateizugriff auf diesen beiden Plattformen sicherlich bestätigen. Aber uns fiel auf, dass der ‘Lost and Found’-Text verloren ging. Irgendwie wurde er gelöscht und verschwand. Vielleicht ist das ein Problem des S200.
  • Sicheres Backup und Datenwiederherstellung
    Er hat mehrere Stufen der Datensicherung, die dem Nutzer des IronKey das Leben ein wenig kompliziert machen. Auf jedem Fall sollte der Anwender sich zusätzliche Passwörter merken und sich an einige Regeln erinnern, die wichtigste ist – Sie bekommen Ihre Daten nicht vom Backup, bis Sie einen neuen IronKey kaufen.
  • Selbstlernendes Passwort-Management
    Speichern und sichern Sie all Ihre Online-Passwörter genau wie die Anwendungskennwörter (nur Windows), wenn Sie mit dem IronKey-Identity-Manager arbeiten. Wenn Sie schon den Password-Manager verwenden, können Sie ihn auf dem IronKey speichern und benutzen.
  • IronKey zwingt Sie, ein weiteres Passwort im Kopf (oder auf Papier) zu behalten
    Bei der Installation bittet IronKey Sie, einen “Online Security Vault” Zugang für Sicherungszwecke anzulegen. Der Benutzer kann diese Einladung nicht ignorieren – und schon haben wir es, ein weiterer Zugang mit Passwort in Ihrem Gedächtnis. Und diesen auf dem IK abzuspeichern, macht keinen Sinn.
  • Wenn Sie Ihr IronKey-Laufwerk verlieren, wird die Firma IronKey von Ihnen verlangen, einen neuen zu kaufen, um die gesicherten Daten zurück zu bekommen.
  • IronKey-Forum!
    Wir sahen, wie Leute das IronKey-Team nach neuen Features oder Verbesserungen fragten und sie haben sie umgesetzt. Im Forum haben Sie auch die Möglichkeit, mit IronKey-Entwicklern zu diskutieren. Das ist cool!
  • Virtuelle Tastatur
    Sie wurde universell an alle Anwendungen und Webformulare angepasst, derart, dass sie Passwort-Diebstahl nicht verhindert, sie verhindert nur, dass Ihr Passwort in Tasten-Anschläge übersetzt wird, die von Ihrer Tastatur erzeugt werden (und dann von Keyloggern aufgezeichnet werden).
  • Lost & Found-Text
  • Wir fanden heraus, dass dieser von Zeit zu Zeit verschwinden kann, wenn Sie den IronKey zum ersten Mal an einen Gast-PC anschließen (Fehler oder Feature?).
  • PKCS11-Modul
    Es ist nur zur Hälfte implementiert, darum kann es in Rohos Logon Key nicht als PKCS11-Token eingesetzt werden.

Wenn man die Liste dieser Features sieht und sagt, dieser USB-Stick ist höchst sicher, ist dies eine Untertreibung – neurotisch sicher, ist wahrscheinlich näher an der Wahrheit.

Hier ist unsere IronKey Info vor der Aktualisierung:

Nach der Aktualisierung:

IronKey Einstellungen:

IronKey S200: Sicherheitsanmerkungen.

Obwohl Sie vielleicht von den Features beeindruckt sind, aber auch solch ein unknackbarer USB-Stick hat seine Schwächen. Und uns sind davon einige untergekommen.
Im Web gibt es viele, sich gleichende IronKey-Testberichte, die die Eigenschaften des IK aufführen und Sie werden mit Leichtigkeit davon einen finden. Wir möchten ein paar Aspekte diskutieren, die uns aufgefallen sind.

Großer Software-Anteil

Dies ist der USB-Stick mit der meisten “vorinstallierten Software”, den wir je gesehen haben. Er hat viele Module und Dateien für Windows, Linux und Mac OS. Er besitzt auch die Möglichkeit zur Aktualisierung der Firmware. Die meisten Dateien sind für Windows. Das bedeutet für uns: Da es umfangreiche Software nutzt, bedeutet das die Möglichkeit, dass diese Lösung verwundbar ist. Zumindest ist die Wahrscheinlichkeit der Verwundbarkeit genauso groß, wie für Software-basierte Verschlüsselungslösungen.

Sicherung ist kompliziert

IronKey hat 3 Sicherungsstufen.

  1. Persönlicher Account bei my.ironkey.com. Diesen brauchen Sie, wenn Sie keine andere Möglichkeit haben, Ihr IronKey-Passwort aufzuschreiben. Dies ermöglicht Ihnen die Sicherung des IronKey-Identity-Managers (der Ihre Passwörter von Webseiten und anderen Anwendungen verwaltet).
  2. Sie Ihren Benutzernamen und Ihr Passwort für my.ironkey.com. Notieren Sie diese Informationen irgendwo, aber nicht auf dem IronKey oder auf my.ironkey.com. Sie müssen sich den Benutzernamen für diese Account merken und können sich nicht auf Ihre E-Mail verlassen, denn die Rücksetzung des Passwortes basiert auf dem Nutzernamen und nicht auf E-Mail-Adressen.
  3. Sicheres Backup Ihrer IronKey-Dateien auf Ihrem PC. Dies birgt einige Probleme und das Hauptproblem – Sie müssen sich Ihr aktuelles IronKey-Passwort aufschreiben oder merken. Denn wenn Sie später Ihr IK-Passwort ändern, werden Sie nicht mehr in der Lage sein, Ihre Dateien wieder herzustellen. my.ironkey.com merkt sich nicht Ihre alten IronKey-Passwörter (obwohl das ein schönes Feature wäre).
  4. Um auf Ihr IronKey-Backup aus Schritt 3 zurückzugreifen, müssen Sie ein IronKey-Laufwerk haben. Also wenn Sie es verloren haben, bekommen Sie nicht sofort Zugriff auf Ihr Backup! (Sie müssen einen neuen IronKey bestellen.)

IronKey hat ein sicheres Datei-Backup-Tool, das ausgewählte Dateien vom IronKey in einen Windows-Ordner kopiert:

  • Wärend des Sicherungsvorgangs wird nur der Dateiinhalt verschlüsselt. Jeder Datei-/Ordnername ist unverschlüsselt
  • Verschlüsselung wird mit Ihrem aktuellen IronKey-Passwort durchgeführt.
  • IronKey-Backup kann leicht auf Ihrem PC gefunden werden durch die speziellen Dateien im Backup-Ordner.
  • Es ist möglich Brute-force-Angriffe auf das IronKey-Backup durchzuführen, um das echte Passwort zu finden (Backup-Verschlüsselungscode wird mit dem aktuellen IronKey-Passwort verschlüsselt)
  • Warnung: Wenn Sie Ihren IronKey verlieren, werden Sie keinen Zugriff auf Ihre Backup-Dateien ohne ein neues IronKey-Laufwerk haben.

Die IronKey-Hardware hat einen Schutz gegen Brute-force-Angriffe durch eine begrenzte Anzahl von falschen Passworteingaben (nur 10). Dies verleitet Anwender zu denken, Sie könnten kurze und leicht zu merkende Passwörter dafür benutzen. Lesen Sie das Interview des IronKey-Geschäftsführers, in dem dieses Feature diskutiert wird. Also wenn sie ein nicht sehr starkes Passwort benutzen, kann dieses leicht mit einer Brute-force-Attacke auf die IronKey-Datensicherung auf Ihrem PC entdeckt werden (unbegrenzte Anzahl von Versuchen zum Erraten des Passwortes möglich).

Die mögliche Lösung für diese Probleme:

  • Der my.ironkey.com-Account kann leicht durch Ihren gmail-Account ersetzt werden, wo Sie auch das IK Passwort-Backup sicher speichern können. Plus die wenigen, wichtigsten Dateien für den Fall, Ihr IK geht verloren.
  • Jede Festplatten-Verschlüsselungssoftware kann zum Sichern Ihrer IK-Dateien auf Ihrem Notebook verwendet werden. Im Falle des Verlustes oder Versagens des IronKey, wird Ihnen der sofortige Zugriff darauf möglich sein.

Virtuelle Tastatur

IronKey hat eine virtuelle Tastatur, deren primäres Ziel ist, das Stehlen Ihrer Passwörter durch Keylogger zu verhindern (von IronKey, Webformularen, Windows-Anwendungen). Aber das ist ein Mythos.

Wie es funktioniert:

  • Sie können es in jedem Fenster mit einem Passwort-Feld verwenden
  • Wenn Sie auf irgendeinen Knopf auf der virtuellen Tastatur klicken, wird eine EM_REPLACESEL-Nachricht an das EDIT-Element gesendet.
    Das macht sich gut, denn es werden keine Tastaturanschläge erzeugt (WM_CHAR oder WM_KEYDOWN-Nachrichten). Ok, lassen Sie uns weiter schauen – wie erhält das Programm das Passwort?
  • Die Anwendung (IronKey eingeschlossen) sendet WM_GETTEXT an dieses EDIT-Element und kopiert den unverschlüsselten Passwort-Text in seinen Speicher.

Viele Trojaner, Viren und RootKits nisten sich in Prozesse ein und stehlen Ihr Passwort, indem sie ein WM_GETTEXT an das Passwort-basierte EDIT-Element senden.

Ein Blick in den “Inside the Password-Stealing Business”-Bericht von McAfee, dort heißt es: “… Passwörter, TANs oder PINs werden dann ausgelesen, indem dem Dialog eine WM_GETTEXT-Windows-Nachricht gesendet wird. Das funktioniert mit gesetztem Passwort-Zeichen (Sternchen), da der Trojaner die visuelle Verschleierung deaktiviert, bevor er das Passwort ausliest und dann mit einem WM_SETPASSWORDCHAR reaktiviert…”

IronKey berichtet, dass deren virtuelle Tastatur durch spezielle Eigenschaften sogar vor Screen-Loggern (Bildschirmkopie-Loggern) schützt:

  • Sie ermöglicht die zufällige Anordnung der Buttons
  • Sie ermöglicht das Ausblenden von Buttonbeschriftungen, wenn Sie diese drücken

O.k., nehmen wir an, Sie haben einen Keylogger, der auch Bildschirmkopien macht, dann werden Sie das sehen:

Und nun raten Sie mein Passwort. 🙂

In den Rohos-Produkten haben wir eine virtuelle Tastatur entworfen, die nur für Rohos arbeitet, sie überträgt das Passwort direkt an Rohos-Interna ohne es in einem EDIT-Element zu speichern. Das bewahrt Ihr Passwort vor jeglicher Malware, aber nicht vor einer Anwendung, die detaillierte Bildschirmkopien macht.

Also bewahrt Sie die virtuelle Tastatur von IronKey vor Tastatur-Loggern aber nicht vor Passwort-Dieben, wie sie im McAfee-Report erwähnt werden.

Grundlegende Sicherheitsfunktionen

IronKey schützt Ihre Daten gegen Malware und unberechtigten Zugriff durch zusätzliche Funktionen:

  1. Er verhindert die Änderung von Autorun.inf auf dem IronKey. Also wird ein USB-Stick-Virus in der Lage sein, seinen Programmcode auf dem IronKey zu speichern, aber dieser wird niemals ausgeführt. Schauen Sie sich den Screenshot an:

  2. Der Benutzer kann den IronKey im Nur-Lese-Modus freischalten und benutzen. Diese Möglichkeit kann auf einem nicht vertrauenswürdigen PC/Mac genutzt werden, wenn Sie auf Ihre Dateien zugreifen müssen, ohne sich Sorgen zu machen, dass irgendeine Malware Ihre Daten verändern könnte.
  3. Sie können den IronKey einrichten, sich nach einem inaktiven Zeitraum automatisch zu sperren.
  4. Die IronKey-Hardware verlangt vom Benutzer den IronKey nach 3 erfolglosen Passworteingaben am USB-Port aus- und wieder einzustöpseln. Ich denke, dieses Feature wird verhindern, dass irgendeine Malware das Passwort errät.

Lost & Found-Text

IronKey hat ein wunderbares Feature, das es erlaubt, eine Textnotiz zu erstellen, die für jeden sichtbar ist, der den IronKey an den USB-Port anschließt. Wir denken, die Benutzer könnten dieses Feature dafür missbrauchen, um eine Eselsbrücke für das Passwort abzuspeichern.

Jedenfalls entdeckten wir, dass diese Textnotiz unerwartet verschwand, der offensichtlichste Grund für diesen Fehler oder dieses Feature – Sie schließen den IronKey an einen neuen PC an (an dem Sie den IK zum ersten Mal anschließen). Dies ist eine der vorausgesetzten Anwendungszwecke des IronKey – ein portabler Datenträger.

Das bedeutet, hier liegt ein Hardware- oder Software-Fehler vor. Aus irgendeinem Grund können die Interna des IronKey ohne Authorisierung verändert werden.
Wir konnten diesen Fehler viele Male reproduzieren.

Zusammenfassung:

  • Wenn Sie ein durchschnittlicher Anwender und in Bezug auf Ihre Daten nicht paranoid sind, sind 90% der IK-“Software”-Funktionen nutzlos und Zeitverschwendung für Sie – dieser USB-Stick ist definitiv nicht Ihr alltäglicher “Kumpel”.
  • Andererseits, wenn Sie sich um den Schutz Ihrer Daten sorgen, ist IronKey sehr sicher, aber Sie müssen viele Aktionen durchführen und einige Informationen und Regeln im Kopf behalten, um sich mit diesem Gerät anzufreunden.
  • IronKey Datensicherung und -wiederherstellung ist kompliziert: das Hauptproblem – Sie müssen einen anderen IronKey kaufen, um Ihr Backup zurück zu bekommen.
  • Bugs: Bitte beachten Sie, dass die “Lost & Found”-Nachricht von Zeit zu Zeit verschwinden kann.

Schauen Sie auf unsere Vergleichsmatrix der USB-Sticks mit Verschlüsselung.

September 2nd, 2010 in Allgemein, USB-Stick und flash drive | tags: