Afgelopen maand maakte Fox-IT bekend een 'kraakonderzoek' uitgevoerd te hebben op een groot aantal – door de fabrikant als veilig aangemerkte – USB sticks. Uitgaande van de veronderstelling dat vrijwel alles te kraken is, mits er maar genoeg geld en tijd in gestoken wordt, werden de USB sticks getest op basis van een bepaald beschikbaar budget.
Het onderzoek richtte zich voornamelijk op het risico van toegang tot de informatie door een onbevoegde bij verlies of diefstal van een USB stick en het gemak waarmee hierna de gegevens uitgelezen konden worden. Als dreigingscenario is onder andere onderzocht in welke mate de sticks "Peter R. de Vries – proof" zijn. Daarbij wordt er van uitgegaan dat een fanatieke journalist tussen de 25.000 en 50.000 euro wil investeren om de beveiliging van de stick te doorbreken.
De business unit Crypto van Fox-IT heeft bij dit onderzoek gekeken naar een aantal veelgebruikte, door de fabrikant als "veilig" aangemerkte USB sticks. Het betreft de volgende sticks: de BioSlimDisk iCool en BioSlimDisk 2.0, de Kobil mIDentity, de MXI MXP Stealth, de SafeBoot Phantom, de Intuix S500, de Kingston DataTraveler Elite en de Kingston DataTraveler Elite Privacy Edition.
Het onderzoek leverde opzienbarende resultaten op: in een groot aantal gevallen zou de journalist met zijn beperkte budget en tijd in staat zijn geweest de gegevens zichtbaar te maken. De SafeBoot Phantom bleek echter niet te kraken, de fysieke beveiliging van de stick in combinatie met de versleuteling van de gegevens maakte dit onmogelijk.
