Beveiligde usbsticks zijn hot, zeker nu vorige week een Nederlandse ambtenaar opnieuw een usbstick kwijtraakte. Maar ook beveiligde usbsticks kunnen gekraakt worden.
De aanschaf van een ‘beveiligde' usbstick biedt geen garantie dat kwaadwillenden nooit toegang zullen kunnen krijgen tot de gegevens op deze usbstick. Dat bewees Fox-IT door vorig jaar een aantal usbsticks aan een grondige kraaktest te onderwerpen. Daarbij werd er van uitgegaan dat een fanatieke journalist tussen de 25.000 en 50.000 euro wilde investeren om de beveiliging van de stick te doorbreken. Paul Bakker, Chief Technology Officer Crypto bij Fox-IT: "Een deel van de onderzochte usbsticks bleek veilig in het gebruik, als je de procedures goed volgde. Er was echter ook een aantal zo slecht, dat we in vijf minuten al bij de beveiligde gegevens waren."
Het verbieden van usbsticks is volgens de beveiligingsexpert echter geen oplossing. Dat vindt ook Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud-universiteit in Nijmegen. "Werknemers moeten zich bewust zijn van de gevoeiligheid van bepaalde gegevens. Organisaties moeten een mix vinden tussen toegankelijkheid en beveiliging van informatie, en het personeel bewust maken van de beveiligingsregels."
Vorige week liet een ambtenaar van het Ministerie van Buitenlandse Zaken per ongeluk een usbstick in een huurauto achter. Op de stick stonden vertrouwelijke gegevens, zoals de namen van lijfwachten die met premier Jan Peter Balkenende meereisden naar Polen. Iets soortgelijks overkwam vorig jaar ook al twee medewerkers van defensie.
USB Sticks zijn wel goed te beveiligen, mits de procedures goed zijn beschreven. Verder dient de gebruiker de data zo op de USB Stick te schrijven, denk hierbij aan encryptie, dat deze na verlies niet te achterhalen cq te kraken is. Een ander punt van aandacht is dat de toegang tot de USB Stick dusdanig moeilijk moet zijn, dat het voor de vinder niet mogelijk moet zijn om toegang tot de bestanden te krijgen. Er zijn wel een aantal USB Sticks / harddisken die zeer goed te beveiligen zijn. Een USB stick die men ontvangt als give-away of men ontvangt bij de aanschaf van een pakje boter, daarvan kan en mag men niet verwachten dat deze safe zijn. Kwaliteit kost geld.
Een redelijke oplossing, mits breed ondersteund, is het beveiligen van de data door middel van een ‘encrypted container’ waarin de bestanden staan. Dit is onder meer te bewerkstelligen met truecrypt (freeware, opensource).
Qua gebruiksgemak hoeft het niet gelaten te worden, eventueel met een standaard volume met de automount functie ingeschakeld, dan hoeft alleen het password ingevoerd te worden zodra de usb-stick op de computer aangesloten wordt.
Petje af voor de persoon/organisatie die een 256bit AES, 448bit Blowfish of combinaties van meerdere encrypties weet te kraken.
Usb-sticks die beveiligd zijn door middel van een vingerafdrukscan zijn inderdaad haast niet te kraken. De usb-sticks die getest zijn, zijn erg duur. Nu weet ik dat een groep studenten van de HES ook een beveiligde usb-stick verkoopt voor een veel lagere prijs die door middel van de gecrypte vingerafdrukscan zeer lastig te kraken is. Kijk maar eens op http://www.datalock.nl