Kort anmeldelse af Blockmaster Safestick
Jeg fik en gratis Blockmaster Safestick af IT-sikkerhedsfirmaet C-cure til test.
Efter at have leget lidt med den i forskellige systemer, var jeg klar til noget skarp kritik af den manglende operativsystemkompabilitet.
Tilfældigt opdagede jeg at QpoX allerede havde blogget om dette, så jeg vil nøjes med at give ham fuldstændig ret på det område.
Blockmaster Safestick virker ikke i Linux, BSD eller OSX, eller noget somhelst andet, udover Microsoft. (Min personlige holdning er at man ikke bør håndtere fortrolige eller hemmelige oplysninger ukrypteret på et Microsoftsystem overhoved. Søg evt. efter antallet af sikkerhedsproblemer, hvis du er i tvivl.)
På bagsiden af pappet står den virker i VMware i Linux og OSX, men det er helt forkert. VMware er et program til at virtualisere, og køre operativsystemer gennem, ikke til at anvende USB-sticks i.
Nå, QpoX har helt ret. Lad os i stedet kigge på andre dele af Blockmaster Safestick, og se om det mon ikke er bedre.
I brevet fra C-cure.dk står bl.a. “Ingen andre produkter kombinerer organisatoriske sikkerheds- og fleksibilitetskrav som SafeStick”.
Hvis du er en smule erfaren udi IT-sikkerhed og operativsystemer, kan du holde det op imod at Blockmaster Safestick kun virker i Windows.
At brevet så er underskrevet et firma der hedder IT2Trust, og der ikke står C-cure nogen steder øger blot min forvirring.
Vil det være en god blackhat business case at opsnappe USB-stick-bestillinger, annullere dem, og så selv sende en malwarefyldt USB-stick afsted?
Nå pyt, vi stoler på hinanden. 
Rent fysisk er Blockmaster Safestick primært lavet i metal, hvilket gør den robust og flot. Bagsiden er dog af plastik, hvilket resulterede i at den gik fra hinanden da jeg trak i den. Det er enormt dumt. 
Det ville være et fysisk flot og holdbart produkt hvis det var ren aluminium det hele.
Intensionen bag Blockmaster Safestick er rigtig flot. Krypteringen er ikke til at se i dybten, så jeg skal ikke kunne sige om den er sikker eller ej. Hvis de har implementeret en AES256 og RSA1024 på en fornuftig måde, er det jo i sig selv rigtig fint.
Det er også meget flot af C-cure at de sender et eksemplar til gratis test. Det blev jeg positivt overrasket over og glad for. Tak for det.
Men jeg er generelt ret skuffet over Blockmaster Safestick, og kan slet ikke anbefale det til professionelt brug.
Det er måske egnet til virksomheder der ikke interesserer sig for IT-sikkerhed, og dem er der også rigtig mange af. Desværre har de så næppe interesse for et produkt der netop bør øge sikkerheden.
Nu har jeg takket og primært uddelt negativ kritik. Der må kunne skabes noget godt ud af historien også.
Jeg sidder og tænker lidt over en lignende løsning der er fleksibel.
Hardwareuafhængig, så den kan bruges på alle billige USB-sticks, og USB-harddiske. Software til flere forskellige operativsystemer, samt naturligvis åbne implementationer af sikkerhedsmekanismerne, så alle kunder selv har muligheden for at verificere sikkerheden.
Gode ideer og inputs modtages!
Hoho, jeg har også prøvet den. Jeg gad ikke engang skrive om den…
Men du skal huske på at der er penge i alt til windows, også selv om det er noget møg.
Det er bare trist det kommer fra et såkaldt “sikkerheds”firma.
Et godt forslag til full disk encryption som virker på flere platforme vil være Truecrypt.
Det er opensource, så de kan ikke gemme bagdøre deri
Kunne du ikke tage og kigge på TrueCrypt samtidig?
“I brevet fra C-cure.dk står bl.a. “Ingen andre produkter kombinerer organisatoriske sikkerheds- og fleksibilitetskrav som SafeStick”.”
og hvis man tænker lidt over den sætning vil man sagtens kunne se det som positiv omtale af konkurrenten
Nu ligner c-cure jo heller ikke ligefrem noget professionelt.
Se deres captcha på bestillings siden. Den har allerede været diskuteret på irc for længe siden. lol
Madsen, Jesper og sig: Nu er jeg selv glad for små spirende firmaer og iværksættere med ildsjæl, så jeg vil ikke træde på c-cure. Men vi kan da blive enige om at de måske blir anset sejere, hvis de finder nogle smartere produkter at føre.
Lad os være positivt kreative:
Truecrypt er måske en løsning ja. Det virker ikke på BSD, vel? Og det er nogle diskussioner om enorm kildekode og potentielle bagdøre rundt omkring. Men det er stadig det mest oplagte jeg også selv kan komme på, hvis det skal være cross platform.
Et alternativ kunne være en lille bitte BSD eller Linux, der kører inden i en Qemu (eller tilsvarende) emulator, direkte fra USB-sticken. Men det bliver sikkert bøvlet, og helt sikkert langsomt at starte op.
Nensome er forhandler af sikkerhedsprodukter i konkurrence med bl.a. C-Cure. Efter nogen overvejelse har jeg besluttet mig for også at ville tilbyde Safestick fra Blockmaster. Årsagen er, at kryptering og organisering er Common Criteria – godkendt.
IT-sikkerhedsbranchen er belastet af troværdigheds- og kvalitetsproblemer hele tiden. Forhandlere som vi er nødt til at stole på vores producenter og leverandører. Vi er på skideren, hvis vi bliver snydt.
Læs Bruce Schneiers artikel: http://www.nensome.dk/note/default.asp?Dok=129
Kryptering af dimser er et must, hvis firmaer, hvor dimserne kommer ind i hullerne, ønsker at overholde persondataloven og beskytte sig mod misbrug og industrispionage.
Alternativet er at gøre det selv. Vælger man en gør-det-selv-løsning, har firmaerne en udfordring til: De skal tage stilling til, om de vil styre kryptering af dimser fra en konsol, så de kan tilbagekalde medarbejdernøgler.
Og så er der altså: administrationsbyrden.
Vi forhandler Kingstons krypterede produkter – og Blockmasters, fordi det er FIPS- og ISO-godkendt.
Windows er – om man vil det eller ej – de facto monopolet i erhvervslivet.
Venlig hilsen
Mikael Hertig
Direktør
Nensome
Jeg bliver nød til at skriver det her, det er skevet med et glemit i øet, men jeg syntes der er sandhed i det.
Din anbefaling er “Safestick anbefales ikke”.
Hvorfor? fordi den kun virker i windows og den har en platik-dims i den ene ende.
Men det som er vigtigt, altså virker den, kan den brydes. Er din kommentar “så jeg skal ikke kunne sige om den er sikker eller ej”.
Du må meget undskylde, du lider af anti-microsoft.;-) Jeg læser dig “dræbe” safestick pga. microsoft, og ikke fordi den ikke virker. Er det 90% eller mere der bruger microsoft.
Uden jeg kender noget til dig, men så har du samme problem som andre unix nørder. I vil bare ikke acceptere at næsten alle bruger microsoft. Jeg er sku ikke fan dem, men jeg er afhængig af dem. Og så snart der kommer et alternativ, som er lige så bruger venligt, så er jeg på.
Sorry
PS: hvis safestick er sikker kan jeg godt bruge den. Men jeg er altid skeptisk ved sådan produkter.
Thomas Petersen:
“Jeg læser dig “dræbe” safestick pga. microsoft, ”
Du skal hellere læse det som at jeg dræber Safestick fordi den er en dims pakket ind i kommercielle hemmeligheden, der ødelægger følelsen af “sikkerhed”.
Helt nøgternt kunne en alm. USB-stick jo blot anvendes i stedet, og så med en brugerapplikation oven på, som f.eks. TrueCrypt som flere har nævnt.
Det er ikke det faktum at den er låst til lige netop Microsoft der går mig på, i så høj grad som det at den er låst til et enkelt OS, på grund af at softwaren skal være hæmlig, og produktet derfor bliver for “crippled” til jeg kan bruge det til noget.
“Er det 90% eller mere der bruger microsoft.”
Nogle steder i produktionen, ja.
Personligt bruger jeg Windows hver dag, også til “fortrolige” handlinger som at tjekke email. Men mine mere fortrolige data holder jeg på en FreeBSD med geli/gbde, hvor jeg føler at kunne stole på systemet.
“PS: hvis safestick er sikker kan jeg godt bruge den.”
Selve algoritmerne er jo sikre “nok” (AES og RSA), men hvis firmaet selv har implementeret dem, kræver det at vi stoler på deres programmørers evner. Vi skal yderligere stole på resten af firmaet, og pga. deres OS-valg, skal vi også stole på vores Windowsmiljø.