Securityinfo
  • Strona główna
  • Publikacje
  • Zespół
  • Współpraca
  • Kontakt
Szukaj w Securityinfo
Nawigacja: Strona główna » Publikacje » PENTAdrive PINCode+ — recenzja

PENTAdrive PINCode+ — recenzja

PENTAdrive

Firma Multimedia Vision przekazała nam do testów gigabajtowego pendrive'a zabezpieczanego PINem. Urządzenie produkowane jest przez firmę Pentagram pod nazwą PENTAdrive PINCode+.

Od zwykłego urządzenia z pamięcią flash z interfejsem USB różni się tym, że wyposażony jest w niewielką klawiaturę numeryczną, która pozwala zabezpieczyć dane znajdujące się na urządzeniu za pomocą czterocyfrowego kodu PIN. Opis na pudełku głosi, że urządzenie jest prawdopodobnie najbezpieczniejszym miejscem na Twoje dane. Ile w tym prawdy, zaraz się przekonamy.

1. Ogólnie

Jak na, bądź co bądź, klucz USB urządzenie jest duże. Wymiary podane przez producenta, to 78mm x 53mm x 8mm, czyli rozmiary porównywalne z najmniejszymi telefonami komórkowymi, a zatem — jak na tego typu urządzenie — całkiem sporo. Co więcej, gdy otworzyliśmy obudowę, okazało się, że większość miejsca w obudowie zajmuje powietrze. Jednym słowem, całość mogłaby być mniejsza bez utraty funkcjonalności — punkt dla czepialskich.

Jednocześnie należy oddać producentom sprawiedliwość, gdyż ogólne wrażenie urządzenie sprawia dobre. Widać dbałość o szczegóły i całkiem zadowalającą staranność wykonania.

2. Co w środku?

Nie mogliśmy oprzeć się zajrzeniu do środka i przekonaniu się z czego składa się nasz Pincode+. Okazuje się, że w środku wypatrzyć nie da się zbyt wiele. Nieulotną pamięć stanowią dwie półgigabajtowe kości Samsunga, identyczne jak te stosowane w IPodzie Shuffle. Oprócz tego na płytce znaleźć można kontroler PS2101 i niewielką kość CMOS.

PENTAdrive Pincode+ od środka

Co z tego wynika? Ano wynika tyle, że elektronika wewnątrz urządzenia teoretycznie pozwala zrealizować szyfrowanie danych zapisywanych w pamięci flash. Nie jesteśmy oczywiście w stanie sprawdzić, czy tak rzeczywiści się dzieje (a jeśli tak, to jaki algorytm został użyty), ale o tym później.

3. Jak w działaniu?

Pobieżne testy wskazują, że średnia prędkość transferu, do jakiej można zmusić Pincode'a, to około 2MB na sekundę. Jest to prędkość mocno przeciętna, co może wskazywać na jakieś dodatkowe przetwarzanie zapisywanych danych, na przykład ich szyfrowanie. Jednocześnie jest to na tyle duża prędkość, że jeszcze nie powinna budzić zbyt dużych frustracji podczas użytkowania.

4. Bezpieczeństwo

Z bezpieczeństwem Pincode'a są dwa problemy. Po pierwsze nie jest znany algorytm, jakim szyfrowane są dane (o ile w ogóle są one szyfrowane, co też nie jest w żaden sposób weryfikowalne). Dodatkowo, jeśli nawet algorytm byłby znany, nie można byłoby mieć pewności, że został on poprawnie zaimplementowany, jeśli urządzenie nie jest certyfikowane. Jest to podstawowy problem wszelkiego rodzaju zastosowań kryptograficznych — jeśli nie ma pewności co tak naprawdę dzieje się z danymi przed ich utrwaleniem na nośniku, jak w tym przypadku, lub przesłaniem przez sieć, należy traktować te dane jako niezaszyfrowane i nie chronione w żaden sposób.

Po drugie do zabezpieczenia danych stosowane jest słabe hasło. Roboczy PIN ustalany przez użytkownika i pozwalający uzyskać dostęp do danych składa się z czterech cyfr. Co prawda liczba prób ograniczona jest do pięciu, niemniej ograniczenie to powoduje zablokowanie urządzenia jedynie, gdy owe pięć prób zostanie wykonanych pod rząd bez odłączenia zasilanie w międzyczasie. Odłączenie Pincode'a od portu USB po czterech nieudanych próbach zeruje licznik i pozwala testować kolejne kombinacje PINu.

Liczba kombinacji PINu wynosi 10.000, co przy założeniu, że możliwe byłoby przetestowanie czterech kombinacji PINu w ciągu sekundy oznacza, że przegląd zupełny można wykonać w niespełna godzinę. Zatem średni czas odnalezienia poprawnego PINu wynosi niecałe pół godziny.

Okazuje się również, że przy użyciu prostego automatu, który symulowałby naciśnięcia klawiszy sprawdzanie PINów z szybkością czterech na sekundę jest jak najbardziej realne i, co więcej, nie wymaga zbytnich umiejętności.

Warto również wspomnieć, że urządzenie po zablokowaniu odblokować można ośmiocyfrowym kodem fabrycznym. Długość tego kodu również pozostawia sporo do życzenia — wykonanie przeglądu zupełnego (czyli po prostu zastosowanie metody brute force) wydaje się również i w tym przypadku możliwe w rozsądnym czasie.

5. Podsumowanie

Chociaż po przeczytaniu powyższych słów mogłoby się wydawać, że produkt nam się nie podoba, wcale tak nie jest. Z całą pewnością PENTAdrive Pincode+ zapewnia wyższy poziom ochrony danych, niż zwykłe pendrive'y. Powoduje to, że gdy dostanie się on w ręce przypadkowej osoby, nasze osobiste dane nie będą zbyt łatwo dostępne — zabezpieczenie prawdopodobnie zniechęci znalazcę na tyle, że nie uzyska on dostępu do danych, szczególnie jeśli korzyść z dostania się do nich jest niełatwa do oszacowania.

Należy jednak pamiętać, że nie jest to rozwiązanie bezpieczne. Nie należy więc powierzać mu cennych informacji o charakterze niejawnym, gdyż uzyskanie do nich dostępu jest zdecydowanie zbyt łatwe.

6. Dane techniczne

Informacje producenta na temat parametrów technicznych PENTAdrive PINCode+:

Typ pamięci:Flash Dual Channel
Pojemność:512MB, 1GB, 2GB
Interfejs:USB 2.0
Transfer:Odczyt: 16MB/s, zapis: 10MB/s
Waga:38g
Dodatkowe możliwości:SecureAP — szyfrowanie partycji, Make Bootable — uruchamianie PC, PC Lock — blokowanie komputera, Pen Mail — program pocztowy, Secret ZIP — szyfrowanie archiwów.
Gwarancja:24 miesiące w systemie opieki i wsparcia S.O.S. z bezpłatnym serwisem Door-To-Door
Cena:120zł za 512MB, 167zł za 1GB, 277zł za 2GB

Spis treści

  • 1. Ogólnie
  • 2. Co w środku?
  • 3. Jak w działaniu?
  • 4. Bezpieczeństwo
  • 5. Podsumowanie
  • 6. Dane techniczne

Autorzy

Michał Sobiegraj

Michał Sobiegraj specjalizuje się w bezpieczeństwie systemów, jest konsultantem i ewangelizatorem bezpieczeństwa informacji. Jest CISSPem z dużym praktycznym doświadczeniem.

Michał jest również konsultantem dystrybucji Debian GNU/Linux, administratorem i okazjonalnym programistą.

Kontakt: m.sobiegraj@securityinfo.pl

Marcin Engelmann

Od 7 lat zajmuje się bezpieczeństwem systemów i sieci komputerowych. Jako konsultant ds. zabezpieczeń współpracował z dostawcami usług internetowych i firmami internetowymi i finansowymi. Praktyk, administrator i zwolennik systemów Open Source. Konsultant dystrybucji Debian GNU/Linux.

Zobacz również

  • Strona producenta [en]
  • Opis produktu na stronie dystrybutora [pl]
Reklama
Sekrety kryptografii - Friedrich L. Bauer Podstawy kryptografii - Marcin Karbowski Kryptografia w praktyce - Niels Ferguson, Bruce Schneier

Narzędzia

  • Publikacja: 22 października 2006
  • Aktualizacja: 22 września 2010
  • Wersja do wydruku
  • Trackback
  • RSS
ISSA Polska Wrocław
O serwisie Polityka prywatności Mapa serwisu Kontakt Copyright © 2005-2008 Securityinfo