Die bisherige Diskussion lief auf Grund meines Beitrags mit dem Titel „Victorinox Snake Oil Crypto?„. Dort hatte ich Bruce Schneiers Warnsignal #9 vor schlechter Kryptographie zitiert:
- Warning Sign #9: Cracking contests: Contests are a terrible way to demonstrate security. A product/system/protocol/algorithm that has survived a contest unbroken is not obviously more trustworthy than one that has not been the subject of a contest. The best products/systems/protocols/algorithms available today have not been the subjects of any contests, and probably never will be. Contests generally don’t produce useful data.
Und ich hatte darauf hingewiesen, dass Victorinox schlecht beraten sei, die Sicherheit ihres Produkts durch zweifelhafte Wettbewerbe beweisen zu wollen. Insbesondere, wenn die Angreifer nur wenige Stunden zur Verfügung gestellt bekommen. Die echte Gefahr ist, dass man den Stick verliert (oder er geklaut wird) und der Angreifer beliebig viel Zeit hat an die Daten zu kommen. Ich schrieb damals in den Kommentaren auch, dass ich den Stick für ein eigentlich durchdachtes Produkt halte.
Diese Meinung möchte ich jetzt revidieren. Hier sind meine Indizien:
Victorinox Warning Sign #1: Falsche Testimonials
Steffen Müller, der scheinbar offiziell im Namen von Victorinox in allen möglichen Foren und Blogs kommentiert und auch Hilfestellungen im offiziellen Victorinox-Forum gibt, schrieb hier in den Kommentaren:
- Prof. Tom Wearbou (Security Head Engineer of NSA) wrote: “MKI’s new Schnuffi chipset: This is not only a chapter for itself, it’s also a new chapter in data history. We got some samples about 5 months ago. After 4 months working and almost 1 Million investment in new Hardware the chipset blows the whole device up before we had a real chance to get our hand on the data… This is not a normal chipset… this is a nasty bitch! “
Ich halte diese Behauptung für frei erfunden. Ich bin mir sehr sicher, dass es keinen Prof. Tom Wearbou gibt. Google findet für diesen Namen genau zwei Seiten und beide sind Kommentare zum Victorinox-Chip. Jeder Professor muss irgendwann ein paar wissenschaftliche Veröffentlichungen haben, sonst wird man nirgends auf der Welt Professor. Diese müsste man auch finden, selbst wenn der gute Mann bei einem Geheimniskrämerladen wie der NSA arbeiten sollte. Auch Varianten des Namens führen nicht weiter. Und Google ist sehr gut darin, mir bei Tippfehlern Alternativen vorzuschlagen.
Ich ziehe diese Behauptung natürlich sofort zurück, wenn mir irgendjemand einen Nachweis für diesen Professor bzw. ein solches Schreiben geben kann.
Victorinox Warning Sign #2: MKI Schnuffi Chip
Kryptographie ist schwierig. Siehe WEP. Selbst wenn man Kryptographie richtig versteht kann man sie immernoch falsch implementieren. Ich kann mir nicht wirklich vorstellen, dass eine (zugegebenermaßen gute) Messerschmiede einen tollen neuen Chip entwickelt, den niemand zerlegen kann. Haben sie wohl auch nicht.
Mein aktueller Wissensstand ist, dass die Technologie angeblich von Martin Kuster kommen soll, dem u. a. Parrot’s Consulting in Zug gehört. Parrot’s Consulting soll wiederum zu einer MKI Group (MKI = Martin Kuster International?) der MKI Enterprises gehören. Beide Webserver residieren auf der gleichen IP-Adresse. Das Anmeldefeld auf der Webseite von MKI sieht so aus als würde es nie verwendet. So wird bei der Eingabe das Passwort im Klartext angezeigt und der Anmeldeknopf führt direkt auf eine Fehlerseite. Auf Deutsch, die Webseite der MKI Enterprises, Rancho Bernardo, CA, USA sieht aus wie eine Alibiwebseite einer Firma die es gar nicht gibt. Domaintools behauptet, auf dem Server der Earthlink gehört (webhost.earthlink.net) werden 76.694 Webseiten gehostet.
Victorinox Warning Sign #3: USB Compliance
Der USB-Stick wurde nach meinen Informationen 2009 von NTS (National Technical Systems) auf Konformität mit dem USB-Standard getestet. Das Produkt hat den Text bestanden, kann jedoch nicht USB-IF zertifiziert werden, weil die Einschaltströme außerhalb der USB-Spezifikation liegen. Ich bin mir nicht mal sicher, ob Victorinox das „Certified USB High-Speed“-Logo das sich in den Datenblättern des Sticks befindet, überhaupt verwenden darf. Auf der Webseite des USB Implementation Forums gibt es eine Datenbank der zertifizierten Produkte. Ich kann da weder „Schnuffi“ noch „MKI“ und auch nicht „Victorinox“ finden. Ich habe aber vorsichtshalber mal eine Anfrage an das USB IF geschickt.
Ansprechpartner bei Victorinox für den Test war Martin Kuster. Hersteller des Chips laut Testbericht eine „MKI Electronics Division“, für die mir Google ein „Keine Ergebnisse für „mki electronics division“ gefunden“ ausspuckt. In der USB-Zertifizierung wird übrigens nur die Signalqualität gemessen, nicht die tatsächliche Übertragungsgeschwindigkeit des Gerätes. Ein High-Speed USB-Device muss deshalb noch keine High-Speed Übertragung anbieten.
Victorinox Warning Sign #4: Martin Kuster
Ich habe eine Weile überlegt ob ich diesen Abschnitt aufnehmen soll. Immerhin wird es jetzt etwas persönlich. Aber Martin Kuster behauptet, er habe den Snuffi Chip entwickelt und die Firma die den Chip baut, gehöre auch ihm. Außerdem behauptet auch Martin Kuster, die NSA hätte seinen Chip erfolglos versucht zu hacken.
Martin Kuster verwendet für die Kommunikation anscheinend gerne mal eine E-Mail-Adresse von MSN. Ich habe den Mailheader untersucht, die Mails gehen tatsächlich über hotmail.com. Auch die IP-Adressen im Header gehören alle Microsoft. Insofern finde ich wiederum den Footer in der Mail interessant, in dem steht:
- „For you safety this message and its attachments (if applicable) were scanned for virus on MKI’s main mail server in Atlanta, Georgia / USA. This may delay the mail for a view minutes. „
Ich bin mir nämlich sehr sicher, dass die Mails niemals über einen MKI-Server in Atlanta gegangen sind.
Und das Gesamtpaket mit falschen Testimonials und einem Chip von einer praktisch nicht existenten Firma sieht für meinen Geschmack nach meiner sehr persönlichen privaten Meinung nun einmal sehr komisch aus.
Oder?
Ach ja, wenn jemand einen solchen USB-Stick hat, jedes USB-Teil hat eine Vendor-ID. Ich würde gerne mal wissen, wer da wirklich als Hersteller dahintersteckt. Ich mag da ungern 70 (8 GB) bis 190 Euro (32 GB) zum Fenster rauswerfen.
alles sehr witzig .. Firmen die nicht existieren USB der keiner ist .. und Micorsoft wird wohl auch unwahrheiten verbreiten … blöd ist nur das man den Stick aber real kaufen kann .. auch wenn ihn wohl angeblich eine Firma produziert die es nicht gibt ?
man habt ihr zeit für Solchen blödsin den ihr hier von euch gebt …
Gruss aus CH
Comment by Steffen Müller — 28. Mai 2010 @ 11:53
Wer in Scholar nicht ist, ist kein Wissenschaftler 😉 http://scholar.google.de/scholar?q=Tom+Wearbou&hl=de&btnG=Suche&lr=
Comment by lufthansen — 28. Mai 2010 @ 14:15
Hallo Herr Müller,
ja, genau dafür habe ich Zeit, weil ich mir die Zeit dafür nehmen will. Natürlich gibt es den Stick, das steht nicht zur Frage. Und er kostet für nen USB-Stick auch richtig viel Geld. Das Problem ist eine ganz andere Frage: Erfüllt der Stick die versprochenen Eigenschaften?
Es gab schon FIPS-Zertifizierte USB-Sticks bei denen der Hersteller Verschlüsselung versprochen hat, die gar nicht da war. SYSS (und ich halte nicht viel von denen) hat die zerlegt. Und jetzt soll ich einem Hersteller vertrauen, der zwar einen guten Namen für Messer hat bei dem aber alles was den Krypto-USB-Teil angeht sehr sehr seltsam aussieht?
Wo ist jetzt die Bestätigung, dass es Prof. Wearbou wirklich gibt und die NSA den Chip wirklich getestet hat?
Comment by Christian — 30. Mai 2010 @ 19:25
Naja, Scholar und Google hin oder her … der liebe Prof. Wearbou könnte auch nen obskuren Tarnnamen oder sonstwas haben. Der NSA wäre das schon zuzutrauen. Andererseits sollte es dann einen Zettel oder eine Urkunde oder was auch immer geben, dass Victorinox diese Aussage als Testimonial verwenden darf. Ich hole von meinen Kunden immer ne schriftliche Erlaubnis auf Firmenbriefpapier ein, dass ich deren Empfehlungen auch verwenden darf.
Comment by Christian — 30. Mai 2010 @ 19:27
Die Vendor-ID des Victorinox-Sticks ist VID_2146, in der Registry meldet sich das Teil mit VID_MKI an. Die Product-ID ist Prod_1177, in der Registry lautet das Prod_SECURE. Komplett also „Disk&Ven_MKI&Prod_SECURE&Rev_0.00“.
Für die VID 2146 gibt es keinen Eintrag in der Datenbank des USB Implementers Forum was aber erstmal nichts bedeuten muß. Für 2000 USD kann man sich eine Vendor-ID direkt kaufen. Man darf dann allerdings das USB-Logo nicht verwenden.
Für mich sieht das so aus, als hätte MKI eine Vendor-ID gekauft oder kaufen lassen und eine Firma in Taiwan oder China gefunden, die einen USB-Controller mit dieser Vendor-ID herstellt. An dieser Stelle verläuft die Suche nach dem Hersteller erstmal im Sand.
Comment by Christian — 1. Juni 2010 @ 17:02
Ganz zufällig bin ich auf diesen Blog gestossen. Als Administrator einer Bank welche die Victorinox Secure einsetzt, bin ich immer auf der Suche, ob das Ding schon geknackt ist 🙂
Offenbar hat bis heute niemand den Stick oder den Chip zerlegt um Christians Worte zu zitieren. Ich finde den Contest eine gute Idee: Da er ja alle paar Monate wiederholt wird, liefert er ja eine Art Dauertest. Und für Anwender wie wir ist es wichtig, zu wissen, wann eine Sicherheitslösung geknackt worden ist. Es gibt nichts Schlimmeres als etwas einzusetzen, was schon geknackt ist und man weiss es nicht. Und da heute 99% aller „sichern“ USB Sticks geknackt sind…
Zu den Hotmail E-Mails: Viele (ich auch) verwenden gerne mal HTML E-Mail Services. Diese gehören nun mal alle Microsoft, Goggle, GSM oder anderen… Sind aber praktisch, vor allem wenn man unterwegs ist. Muss also nichts heissen.
Zu der Diskussion mit der Vendor ID kann ich vielleicht etwas helfen: Wir setzen neben den Victroinox Secure noch Ironkey Produkte ein. Den Victorinox-Produkten fehlt eine zentrale Management-Lösung. Lustigerweise können die Victorinox aber mit der Iron-Key Lösung verwaltet werden. Wenn Ihr mich fragt, die kommen alle aus demselben Ecke. Und da Victorinox sicher keine USB Sticks herstellt, bleibt nur noch Ironkey…
Alles in allem habe ich das Gefühl, dass da jemand in Eurem Blog ein Problem mit Victroinox hat. Oder eine Privatfede zwischen „Steffen“ und „Christian“ läuft.
Fakt ist doch: Victorinox Secure Sticks sind seit über 6 Monaten am Markt und bis heute ungeknackt, soweit ich weiss. Dass hat, ausser Victorinox bis jetzt nur Ironkey geschafft…
Das Victorinox als Messerschmiede das geschafft hat, verdient nicht nur Anerkennung für deren Mut. Sie begaben sich da in ein Haifischbecken, wo jeder beim kleinsten Fehler gnadenlos zerlegt wird. Und bis heute ungeknackt(äh wollte sagen unzerlegt…) Chapeau!!
Wir werden weiterhin auf Victorinox Secure setzen!
Comment by Peter — 22. August 2010 @ 19:30
Ach ja … wieder ein Administrator der nix von Risikomanagement versteht. Das dumme ist, dass es bei IT-Sicherheit neben weiß (alles sicher) und schwarz (alles gehackt) eine große breite Grauzone gibt. Entweder, weil sich noch niemand detailliert mit einem Produkt beschäftigt hat oder weil potentiell bekannte Lücken noch nicht bekanntgeworden sind, oder … oder … oder.
Deine Bank würde ihre Server auch nicht beim billigsten Anbieter kaufen den sie finden sondern zusätzlich verlangen, dass der entweder ein Unternehmen mit einer gewissen Mindestgröße ist oder Referenzen vergleichbarer Projekte bringen kann. Das ist der Anteil „Vertrauen“ an einem Geschäft. Wenn sich aber die Referenzen plötzlich als gefaked herausstellen … was passiert dann mit dem Geschäft? Genau, es platzt. Weil das Vertrauen weg ist. Und so ist das halt bei Victorinox. Egal ob die Produkte was taugen oder nicht.
Und zum Thema: Ungeknackt durch den Contest. Dazu muß ich nix mehr sagen. Das hat Bruce Schneier einfürallemal erledigt. Wer einen Contest unter den Bedingungen anbietet wie Victorinox das tut, hat den so entworfen dass es praktisch unmöglich ist unter diesen Bedingungen den Stick zu hacken. Und deshalb ist der Contest genau 0,0 aussagekräftig. Aber gut, das muß man auch erstmal verstehen und das kann man nicht von jedem Administrator verlangen.
Comment by Christian — 6. September 2010 @ 18:19
Dear Christian and Mitternachtshacking readers,
I follows the comments on the two differents posts concerning Victorinox (I work for this brand as Community Manager) and understand that you don’t like this type of live test. Some of you are sure this stick could be broken. We organize a new contest but this time in Switzerland and the prize is CHF 100.000. If you have question, do not hesitate to contact us (facebook page, twitter…) rules and registration are on a dedicated mini site http://secure-contest.victorinox.com/
Comment by Sebastien — 13. Oktober 2010 @ 18:07
Dear Sebastien,
I don’t mind if you offer hacking contests, I just doubt that they have any real-world value. Nevertheless, there are some open questions regarding the credibility of the Chip. Can you please provide some contact information or details about Prof. Tom Wearbou (Security Head Engineer of NSA) or confirm that this is a false testimonial.
Thanks
Comment by Christian — 27. Dezember 2010 @ 20:49
Kommentare gesperrt wegen Spam
Comment by Christian — 16. Juni 2012 @ 00:22