Sicherheit: ProSoft SafeStick unter OS X

[SilentCry]

Hallo Community.
Ich habe von http://www.prosoft.de/produkte/safestick/index.html
den 512MB-Teststick zugeschickt bekommen. Gratis! Meine Freude war (!) groß.

ABER: Weil ich ein dummer Versager bin habe ich nicht richtig gelesen:

Keine Softwareinstallation notwendig, automatischer Dialog bei Verbindung

und

Unterstützt die Betriebssysteme von Windows 2000 SP4 bis Windows Vista und über VMware auch Linux und MacOS

Diese Absätze ergeben nicht, dass der Stick auch nativ unter OS X läuft. Offenbar braucht man Windows, um das Passwortübergabeprogramm zu starten. (Mangels einer VM mit Windows kann ich nichtmal probieren, ob der Stick dann via OS X benutzt werden kann. Faktisch aber will ich kein blödes Windows kaufen, installieren betreiben und lizensieren, nur um einen Passwortdialog eingeben zu können.)

Sagt, es weiss von Euch nicht zufällig eine OS X-Software für die Passworteingabe? Wahrscheinlich nicht, aber die Frage lohnt.

Im Moment bin ich ziemlich unglücklich mit all dem. Frozen RAM-Attacke (ja, die macht alles extrem schwierig, denn wenn man von einem einfach zu kompromittierenden RAM ausgeht sind viele praktisch klingenden Lösungen keine echte Hürde mehr für den Schäuble-Staat), mieserable Unterstützung von TrueCrypt für OS X (select Device NUR als Admin möglich, somit kein Mounten einer verschlüsselten Partition als User! Unter Win übrigens problemlos.), keine Möglichkeit hardwareveschlüsselnde Notebookfestplatten einzubauen (zB. Stondewood, wegen dieses Sch. EFI-Drecks, den Apple ja unbedingt ein Jahrhundert vor allen anderen verbauen muss), das Sandboxing ohne brauchbare GUI und zuletzt und keine brauchbare externe Lösung eines hardwareverschlüsselnden Mediums.
(Ja, hier: http://www.secunet.com/sina_mobile_disk.html - aber da zahlt man für 60GB einen Preis von 650 Euro - samt einer hakeligen Eingabe...)

Kann es sein dass man, so absurd das klingen mag, wenn man _sicher_ sein will tatsächlich Windows benutzen muss? Das Angebot an Sicherheitslösungen (jaja, da ist auch extrem viel Mist dabei vor allem im Lowcost-Sektor) für Windowsplattformen ist riesig im Vergleich zum Angebot für OS X. Alleine schon Bitlocker mit TPM-Chip ist eine fast unschlagbare Kombination. Peinlich für Apple, die sogar die HW kontrollieren, dass sie nicht ansatzweise was besseres hin bringen als den angestaubten FileVault, der noch dazu nicht besonders gut integriert ist (Stichwort TimeMachine).

Ach, ich bin unglücklich. Ich setze meine ganzen Hoffnungen auf SnowLeopard. Wie wär's, Apple? Fulldiscenryption, tamperproof gegen FrozenRAM und GUI-Sandboxen out of the box? Ja? Bitte!

 

[Paganethos]

Wäre es zu unpraktisch einfach den Stick einer Software zu verschlüsseln (zB TrueCrypt) oder gibts da wieder irgendwo eine Lücke?

 

[MacMark]

Das -ähem- Ding benötigt zwingend Autostart. Es ist daher selbst eine Sicherheitlücke wie ein Flugzeug-Hangar.
http://www.prosoft.de/web4archiv/objects/download/pdf/testinwindowsitpro09_08pdf.pdf

* schenkelklopfend am Boden rollend vor Lachen *

 

[SilentCry]

Wenn man mal davon absieht, dass TrueCrypt beim Verschlüsseln ganzer Volumes einen Admin braucht, um dieses Device dann auch nur zu mounten ist der Nachteil, dass TC die Passphrase im RAM halten muss. FrozenRAM-Attacken würden dann zum Erfolg führen, ein schnelles Abziehen des Sticks würde nicht helfen, denn im RAM würde die Passphrase immer noch stehen.

Der HW-verschlüsselnde Stick (respektive einer TPM-Plattform respektive einer HW-verschlüsselnden internen Platte) hat den Vorteil, dass das Programm die Passphrase nur an den Stick übergibt, danach läuft alles "im Stick" ab.

 

[SilentCry]

Das -ähem- Ding benötigt zwingend Autostart.

Nein, das ist so nicht richtig. Man kann die Passwortmaske ohne Autostart direkt durch Anklicken starten.

Hat der Anwender aber das CD-Laufwerk mit dem SafeStick-Programm gefunden und es mit einem Doppelklick gestartet, so kann er in einer aufgeräumten Maske sein Passwort eingeben

Und dass man in Vista zuvor etliche Fehlermeldungen weg klicken muss ... Leute, VISTA eben.
Aber _zwingend benötigt_ der Stick kein Autostart.

 

[Paganethos]

Mit Crossover läuft das Programm zur Passworteingabe nicht?

 

[SilentCry]

Das weiss ich nicht, gute Idee, werde ich probieren. Danke!
(Wobei ich mir, da ich es bisher nicht vor hatte, noch keine Gedanken gemacht habe welches Framework ich da in meinem System verankere, das sich auch schädlich auswirken könnte.)

 

[MacMark]

Keine Software-Installation? Der Stick installiert laut Doku Systemtreiber. Und die Nutzung von Windows zur Paßworteingabe ermöglicht die üblichen Angriffswege.

 

[SilentCry]

Frohen Freitag allerseits, das Wochenende naht!

@MacMark: Wo liest Du das? Ich sehe das nicht und habe auch beim Test (XP, Firma) nichts bemerkt, dass er irgendwas installieren wollte (nichtmal ein Bubble kommt), nach meinem Verständnis übergibt der SW-Teil das Passwort an den Stick, RSA1024-verschlüsselt (wozu auch immer). Danach ist keine SW-Komponenten mehr beteiligt.
Auf der Partition ist auch nichts anderes als SafeStick.exe, warranty.txt und autorun.inf. Keine Treiber.
(btw: Ich probiere ihn am Firmen-XP-Rechner, da ist autorun deaktiviert, es funktioniert aber erwartungsgemäß nach Doppelklick auf die .exe).

Vielleicht noch zur allgemeinen Harmonie folgendes Statement von mir: Ich habe kein gesondertes Interesse, das Produkt von ProSoft (bzw. Blockmaster) zu bewerben zumal es nicht unter OS X geht. Aber erstens war ich simpel zu dämlich (Wunschdenken vermutlich) diesen Hinweis auf VMWare zu lesen und zweitens hat mir die Firma diesen Stick _geschenkt_, zum Testen. Daher möchte ich gerne vermeiden, dass diese Lösung jetzt extra "durch den Kakao gezogen" wird, das wäre imho nicht fair.

 

[MacMark]

Steht in dem verlinkten Testbericht.

 

[SilentCry]

Mit Crossover läuft das Programm zur Passworteingabe nicht?

Ich habe mir jetzt X11 und DarWINE angetan... nein.
Es ist eben hoffnungslos. Mir scheint immer mehr Apple und Sicherheit vertragen sich nicht. Es ist wirklich zum Heulen, denn konzeptuell könnte OS X den "Marktführer" locker in die Tasche stecken aber was nutzt das, wenn es die Applikationen nur dünn, schlecht umgesetzt und die HW gar nicht gibt.
Bin deprimiert, dabei hatte ich mit TrueCrypt zumindest einen Teilerfolg.

Hier das Ergebnis, wenn man die SafeStick-Application aufruft:

0.00:   37:startDAPI                : 698: startDAPI
  0.01:   37:startDAPI                : 720: startDAPI end
  0.01:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.01:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.01:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.01:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.01:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.01:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.01:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.01:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
acquireContext:: pX??2?? (-2146893802)
  0.01:   37:getCryptProvider         :  44: Could not get provider
‡fi\†Ä*fixme:win:RegisterDeviceNotificationW (hwnd=0x30070, filter=0x62808180,flags=0x00000000),
	returns a fake device notification handle!
fixme:win:RegisterDeviceNotificationW (hwnd=0x30070, filter=0x62808180,flags=0x00000000),
	returns a fake device notification handle!
fixme:win:RegisterDeviceNotificationW (hwnd=0x30070, filter=0x62808180,flags=0x00000000),
	returns a fake device notification handle!
acquireContext:: Erfolg

 (0)
: Datei nicht gefunden

 (2)
  0.12:   37:isCompatibleDevice       : 468: Device is illegal
: Datei nicht gefunden

 (2)
  0.13:   37:loadLocalString          : 602: Missing LANG: 7 In: 49
  0.13:   37:loadLocalString          : 606: Unknown string id: 49
: Datei nicht gefunden

 (2)
  0.13:   37:isCompatibleDevice       : 468: Device is illegal
  0.13:   37:isCompatibleDevice       : 468: Device is illegal
  0.14:   37:isCompatibleDevice       : 468: Device is illegal
  0.14:   37:loadLocalString          : 602: Missing LANG: 7 In: -993
  0.14:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.14:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.14:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.14:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.14:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.14:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.14:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.14:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.14:   37:includeModule            : 182: gui module loaded
  0.14:   37:includeModule            : 182: browse module loaded
  0.14:   37:includeModule            : 182: policy module loaded
  0.14:   37:includeModule            : 182: hotkey module loaded
  0.14:   37:includeModule            : 182: systray module loaded
  0.14:   37:includeModule            : 182: timer module loaded
  0.14:   37:includeModule            : 182: volume module loaded
  0.14:   37:propagateEventToModules  :1320: event 0 propagated
  0.14:   37:propagateEventToModules  :1332: volume responded 1 to event 0
  0.14:   37:propagateEventToModules  :1320: event 18 propagated
  0.14:   37:propagateEventToModules  :1328: volume responded 1 to event gui_modify_menuitem
  0.14:   37:propagateEventToModules  :1328: timer responded 1 to event gui_modify_menuitem
  0.14:   37:propagateEventToModules  :1328: systray responded 1 to event gui_modify_menuitem
  0.14:   37:propagateEventToModules  :1328: hotkey responded 1 to event gui_modify_menuitem
  0.14:   37:propagateEventToModules  :1328: policy responded 1 to event gui_modify_menuitem
  0.14:   37:propagateEventToModules  :1328: browse responded 1 to event gui_modify_menuitem
  0.14:   37:propagateEventToModules  :1328: gui responded 1 to event gui_modify_menuitem
  0.14:   37:propagateEventToModules  :1320: event 18 propagated
  0.14:   37:propagateEventToModules  :1328: volume responded 1 to event gui_get_window
  0.14:   37:propagateEventToModules  :1328: timer responded 1 to event gui_get_window
  0.14:   37:propagateEventToModules  :1328: systray responded 1 to event gui_get_window
  0.14:   37:propagateEventToModules  :1328: hotkey responded 1 to event gui_get_window
  0.14:   37:propagateEventToModules  :1328: policy responded 1 to event gui_get_window
  0.14:   37:propagateEventToModules  :1328: browse responded 1 to event gui_get_window
  0.14:   37:propagateEventToModules  :1328: gui responded 1 to event gui_get_window
  0.14:   37:propagateEventToModules  :1320: event 18 propagated
  0.14:   37:propagateEventToModules  :1328: volume responded 1 to event gui_create_page
  0.14:   37:propagateEventToModules  :1328: timer responded 1 to event gui_create_page
  0.14:   37:propagateEventToModules  :1328: systray responded 1 to event gui_create_page
  0.14:   37:propagateEventToModules  :1328: hotkey responded 1 to event gui_create_page
  0.14:   37:propagateEventToModules  :1328: policy responded 1 to event gui_create_page
  0.14:   37:propagateEventToModules  :1328: browse responded 1 to event gui_create_page
  0.15:   37:propagateEventToModules  :1328: gui responded 1 to event gui_create_page
: Datei nicht gefunden

 (2)
  0.15:   37:propagateEventToModules  :1332: timer responded 1 to event 0
  0.15:   37:propagateEventToModules  :1332: systray responded 1 to event 0
  0.15:   37:propagateEventToModules  :1332: hotkey responded 1 to event 0
  0.15:   37:propagateEventToModules  :1332: policy responded 1 to event 0
  0.15:   37:propagateEventToModules  :1332: browse responded 1 to event 0
  0.15:   37:isCompatibleDevice       : 468: Device is illegal
  0.15:   37:isCompatibleDevice       : 468: Device is illegal
  0.15:   37:isCompatibleDevice       : 468: Device is illegal
  0.15:   37:loadLocalString          : 602: Missing LANG: 7 In: -993
  0.15:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.15:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.15:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.15:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.15:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.15:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.15:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.15:   37:DD_getDevicePath         : 196: Could not find SafeStick drive.
  0.15:   37:propagateEventToModules  :1332: gui responded 1 to event 0
  0.15:   37:wWinMain                 : 210: All modules loaded
fixme:advapi:CheckTokenMembership (0x0 0x12d790 0x32fdbc) stub!
fixme:keyboard:RegisterHotKey (0x50038,49151,0x00000003,88): stub
fixme:advapi:CheckTokenMembership (0x0 0x130068 0x32fd40) stub!

 

[SilentCry]

Es gibt eine Mac-SW zu dem Stick:
www.blockmasterupdate.se/cust/latest/
Aber Achtung:
1) Man muss einen Treiber installieren, Reboot erforderlich, am Mac.
2) Ein Stick ohne PWD (also ein neuer) wird nicht als passwortlos erkannt. Man muss an irgendeiner Winmaschine erstmal ein PWD setzen.
3) Die SW ist Version0.94. Sie kann ausser Sperren/Entsperren nichts, also kein PWD setzen, keinen Reset, nichts.

Aber für Interessierte vielleicht schon ein Auge wert. Ich stehe mit dem Hersteller in Kontakt, die SW zu verbessern.

 

[Rastafari]

wegen dieses Sch. EFI-Drecks, den Apple ja unbedingt ein Jahrhundert vor allen anderen verbauen muss

Ich glaube irgendwie kaum, dass es noch ein Jahrhundert dauern soll bis die Festplatten die 2 TB Decke durchstossen.

 

[SilentCry]

:.) Ja, das war etwas emotional. Aber wenn Du wie ich aberhunderte Euro mittlerweile einfach verblasen hast und alles ist aussichtslos und zwar eigentlich nur weil Apple sich die BIOS-Parts im EFI gespart hat (andere Hersteller haben auch EFI und trotzdem können die das ATA-Security-Feature ansprechen), da schlagen manchmal Emotionen durch.

 

[Rastafari]

andere Hersteller haben auch EFI und trotzdem können die das ATA-Security-Feature ansprechen

Die Kommunikation mit der Hardware auf dem direktesten Weg ist unter jeder EFI-Variante möglich. Sinnvoll wäre es allerdings dazu, wenn sich die Hersteller mal über ihre diversen Erweiterungen in griffiger Weise einig werden könnten.
Sonst läuft es schon wieder mal so wie bei EFI
(oder zuvor schon OF oder auch 54815478915479 völlig anderen Dingen):
- Apple macht es
- Microsoft sieht es
- Microsoft macht es anders
- Alle anderen machen es so wie Microsoft
- Ein Konsortium der 5 grössten MS-Sklaven erklärt ${BULLSHIT} zum Standard
- Apple steht allein da

BTW

...der Nachteil, dass TC die Passphrase im RAM halten muss...

Wozu sollte das denn bitte notwendig sein?

 

[SilentCry]

Rastafari, ich kann Dir nicht folgen, bei allem gebührenden Respekt. Daher interpretiere ich jetzt, was Du gemeint haben könntest und sage:
Wirklich jeder (selbst billigste) Laptophersteller kann das ATA-Security-Feature ansprechen nur Apple nicht. Es fällt mir schwer zu glauben, da stecke eine ehrenvolle Bindung an Standards dahinter, die das verhindern. Eher drängt sich mir der Verdacht auf, Apple müsste ein Fantastilliardstel Cent pro Implementation an einen BIOS-Macher abdrücken und hat es deswegen nicht implementieren lassen. Kann natürlich falsch sein, aber selbst die C't mosert an, dass Apple da völlig ungeschützt dasteht. (Über SW kann man das PWD nämlich setzen, nur nutzt das dann nix wenn man es beim Booten nicht abfragen kann.)

Zu Deiner zweiten Anmerkung: TrueCrypt hält die Passphrase im RAM. http://www.truecrypt.org/docs/

Inherently, unencrypted master keys have to be stored in RAM too.