[ml] Chiavette USB sicure: fuffa commerciale ??

Stando a quanto e' apparso in questo articolo,
http://www.heise-online.co.uk/security/Secure-USB-sticks-cracked--/featu
res/110280/0 sembra che perlomeno alcune implementazioni siano davvero
delle "fuffe commerciali".

Il link che descrive l'attacco e' il seguente
http://nshmyrev.narod.ru/myflash/adata-myflash-fp1.html 

Leggendolo, mi sono anche posto la domanda sulla possibilita' che
tecniche di analisi analoghe si possano applicare anche alle memory keys
protette da una password di accesso.
Prendendo ad esempio il sito dalla Sandisk, si possono trovare due
prodotti simili :
    
     	Cruzer Enterprise
(http://www.sandisk.com/OEM/ProductCatalog(1340)-Cruzer_Enterprise.aspx)
				
			Hardware based 256-bit AES encryption 
			Mandatory access control for all files (100%
private partition) 
			Strong password 
			"Lockdown" mode when a set number of incorrect
password attempts are made 

	Cruzer Professional
(http://www.sandisk.com/OEM/ProductCatalog(1341)-Cruzer_Professional.asp
x)

			Strong hardware based encryption (256-bit AES) 
			Password-protected area for sensitive files 
			Device "Lockdown" mode when a set number of
incorrect password attempts are made

Come dice anche questo articolo,
http://www.reghardware.co.uk/2007/07/04/review_sandisk_cruzer_pro/ , la
differenza e' sottile ma importante.

Un collega mi ha prestato la sua Cruzer Professional, forse ignorando
che quando inserisco la chiavetta dentro il PC e clicco sul pulsante
password dimenticata compare un pop-up che dice : "Se dimentichi la
password, l'unico modo per accedere all'unita' consiste nel cancellare
tutti i dati e poi abilitare la sicurezza mediante password. Fai click
sul pulsante elimina per eliminare tutti i dati dall'unita'.." 
Quindi...se il collega lascia incustodita la chiavetta, e non ha
backuppato in qualche altro repository sicuro i dati importanti e'
fritto : chiunque con un click puo' cancellargli i dati. Non e' proprio
il massimo !!

Adesso il collega e' rimasto senza chiavetta (nel senso che ne ho preso
possesso per l'analisi) ma volevo sapere dai frequentatori della lista
se sono gia' stati fatti dei confronti su devices USB che realizzano
encryption dei dati per verificarne l'effettiva robustezza e quali
risultati sono stati ottenuti.

Grazie

Ruggero
--------------------------------------------------------------------

CONFIDENTIALITY NOTICE

This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to webmaster@xxxxxxxxxxxxxxxxx

        Thank you

                                        www.telecomitalia.it

--------------------------------------------------------------------