Комментарии 15
А я правильно понял что на компе должны стоять «дровцы», которые этот пароль и хеш радужки сверяют?
И смысл?
Если хотели сделать защиту, то нужно было всю аутентификацию делать на самой флешке, и только если она прошла — открывать доступ к самому флешу. Если для работы этой флешки нужен драйвер/программа — то это не о чем.
И смысл?
Если хотели сделать защиту, то нужно было всю аутентификацию делать на самой флешке, и только если она прошла — открывать доступ к самому флешу. Если для работы этой флешки нужен драйвер/программа — то это не о чем.
Ага. А это ПО поддерживает все платформы? Что-то мне подсказывает, что нет.
А по факту, да, все проверки нужно делать на самом устройстве. Глядишь, и уязвимостей станет меньше.
Хотя, я в принципе не могу понять что же такое секретное можно там хранить. И, если на флешке что-то особо секретное, то, может, проще физически доступ к ней ограничить. Для корпораций смысл я вижу, а для обычных пользователей — нет.
А по факту, да, все проверки нужно делать на самом устройстве. Глядишь, и уязвимостей станет меньше.
Хотя, я в принципе не могу понять что же такое секретное можно там хранить. И, если на флешке что-то особо секретное, то, может, проще физически доступ к ней ограничить. Для корпораций смысл я вижу, а для обычных пользователей — нет.
Ага. А это ПО поддерживает все платформы? Что-то мне подсказывает, что нет.
wireshark вполне себе кросс-платформенная утилита, имеет даже portable версию. Воспроизвести все шаги для взлома флешки на обычном пк и без глубоких хакерских познаний можно минут за 10-15. В статье они, кстати, приводятся
А что, правда, что такой камерой можно надежно сканировать радужку?
фото
А лучше бы отреагировали, чтобы не было огласованно… Подпортили себе репутацию
Не совсем понял в чём собственно суть взлома?
Как написано в статье, пароль в открытом виде передаётся только после успешной аутентификации, то есть получается надо сначало взломать компьютер пользователя, выудить оттуда пароль и уже с этим паролем можно штатным образом открыть флешку.
Но этак любую защиту можно «взломать», кейлоггером подсмотреть пароль и потом этим паролем штатно снять защиту.
Как написано в статье, пароль в открытом виде передаётся только после успешной аутентификации, то есть получается надо сначало взломать компьютер пользователя, выудить оттуда пароль и уже с этим паролем можно штатным образом открыть флешку.
Но этак любую защиту можно «взломать», кейлоггером подсмотреть пароль и потом этим паролем штатно снять защиту.
Но этак любую защиту можно «взломать», кейлоггером подсмотреть пароль и потом этим паролем штатно снять защиту.Кейлоггер «подсматривает» пароль при вводе, а описанный в статье случай — подсматривание при дальнейшей передаче пароля.
Корректная аналогия: вы вводите пароль во вконтактике, а пароль улетает открытым текстом по незащищённому HTTP.
Кроме того, против кейлоггеров тоже есть защита. Например, драйверы типа KeyScrambler.
Тырим флешку. На свой компьютер ставим ПО производителя. Смотрим в флешку "неправильным" глазом. При этом Wiresharkом получаем правильный пароль. Открываем флешку паролем, без глаза.
Наверняка так же можно сэмулировать handshake и тогда ПО производителя не понадобится.
Самое интересное, что в случае ввода неправильного пароля или сканирования произвольной радужной оболочки глаза программа посылает на устройство в точности тот же пакет данных, получая такой же ответ.т.е. эти мегаизобретатели отсылают пароль на компьютер по usb в открытом виде, даже если снять не тот глаз
А еще можно разобрать флешку, выпаять чип NAND-памяти и прочитать на безымянном китайском адаптере-контроллере. Но это не точно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
«Невзламываемый» eyeDisk защищён сканом радужной оболочки глаза, но передаёт пароль в открытом виде