Hulp
Boekenmaker (uitschakelen)

Research and Development 1/^Archief/2007-2008/projecten/Beveiliging USB-sticks/Onderzoeksplan

Uit Werkplaats
Ga naar: navigatie, zoeken

Onderzoeksplan

Probleemstelling

Onderzoeksvraag

Aan wat voor beveiliging is behoefte voor USB-sticks?

Draft-update: Maken (door ons gekozen) bedrijven en instellingen gebruik van adequate beveiliging op hun mobiele opslagmedia ?

'bedrijven en instellingen' : nog te kiezen. De politie wilde niet meewerken. We zijn onder andere nog bezig uit te zoeken of de gemeente aan ons onderzoek wil meedoen.
'adequaat' : Op dit moment niet bekend gekraakt, gebruiksvriendelijk genoeg en niet binnen een paar weken zomaar te omzeilen. Nog preciezer te definiëren.
'mobiele opslagmedia' : bijvoorbeeld USB-sticks, cd's, floppy, externe HD. Laptops vallen er niet onder.

Beschrijving van het product

Een literatuuronderzoek naar de werking en theorieën, met misschien een praktijktest, over de veiligheid van biometrisch beveiligde USB-sticks.

Verantwoording

Veel bedrijven en instelling vertrouwen op biometrisch beveiligde USB-sticks om de veiligheid van gevoelige gegevens te waarborgen. Maar is dat wel verstandig? Na veel media-aandacht over het verlies van onbeveiligde USB-sticks door, bijvoorbeeld, Defensie, zijn veel instellingen en bedrijven overgestapt op zulke biometrisch beveiligde USB-sticks; welke een stuk veiliger zouden zijn. Maar is die gedachte wel gegrond? Omdat er steeds meer gebruik van wordt gemaakt en gevoelige gegevens, waaronder mogelijk zelfs die van u en mijzelf, op het spel staan, leek het ons interessant om deze methode van beveiligen eens onder een vergrootglas te leggen.

Theoretisch Kader

Datadragers zoals USB-sticks worden steeds meer toegepast om gemakkelijk data mee te nemen, opdat er onderweg of thuis aan gewerkt kan worden. Om gevoelige data uit de handen van derden te houden zijn verschillende beveiligingsmethoden ontwikkeld, teneinde de opgeslagen informatie te beschermen. Drie verschillende beveiligingsmethoden die momenteel populair zijn, zijn:

  • Wachtwoorden: hierbij krijgt een gebruiker pas toegang tot de USB-stick als een wachtwoord is ingevoerd.
  • Encryptie: de bestanden op de USB-stick hebben een bepaalde encryptie, waarvoor speciale programma's nodig zijn om ze te decrypten. Een gebruiker kan de bestanden op de USB-stick dus alleen lezen als hij of zij beschikking heeft over het juiste programma.
  • Biometrie: beveiliging door middel van biometrische methoden, zoals vingerafdrukscans en irisscans. De bedoeling is dat de USB-stick een vingerafdruk o.i.d. herkend en toegang verleend. Alleen gebruikers die in het systeem staan worden dus doorgelaten.

Sinds het uitkomen van de beveiligde USB-sticks zijn er verschillende instanties en mensen geweest die hebben geprobeerd de beveiliging van deze sticks te testen. Vaak was hierbij de conclusie dat de sticks helemaal niet zo veilig zijn als de fabrikanten beweren. Sommigen zijn zelfs zeer eenvoudig te kraken, door in de software op de sticks slechts 1 byte te veranderen.

Methode

Onderzoeksfunctie

Met ons onderzoek willen we erachter komen of de huidige markt voldoet aan de vraag naar beveiliging voor USB-sticks. Als deze niet voldoet, komen we erachter wat er aan schort. Dat kan liggen aan de beveiligingsontwerpen die bestaan of aan de betrouwbaarheid van bepaalde systemen. Mocht uit ons onderzoek bijvoorbeeld blijken dat veel mensen gevoelige data toevertrouwen en makkelijk kraakbare systemen, dan is dat belangrijke informatie voor veel bedrijven en voor de mensen die het bewuste systeem gebruiken. Mocht uit ons onderzoek bijvoorbeeld blijken dat voor bepaalde doelen geen handige beveiliging bestaat, dan is dat belangrijke informatie voor fabrikanten.

Deelvragen

* Waarom willen mensen beveiliging op een USB-stick?

  • Wat is een adequate beveiliging voor dit doel?
  • Hoe zit een biometrisch beveiligde USB-stick in elkaar?
  • Hoe werkt, in theorie, de biometrische beveiliging op zulke USB-sticks?
  • Wat houdt deze beveiliging in praktijk in?
    • Welke procedure wordt gevolgd bij normaal gebruik?
    • Hoe accuraat is een vingerafdruklezer op zo'n USB-stick?
    • Op welk niveau, hard- of software, vind de ontgrendeling plaats?
    • Zitten er gevolgen aan mislukte ontgrendelpogingen?
  • Kan deze beveiliging mogelijk om de tuin geleid worden?


  • Voor welke data worden door het bedrijf/de instelling draagbare opslagmedia gebruikt?
  • Welke beveiliging(en) wordt/worden gebruikt voor deze data?
  • Is de prijs van de beveiliging acceptabel voor de (gevoeligheid van de) bewuste data?
  • Kan iedereen die de beveiliging(en) gebruikt er goed mee omgaan?
  • Is de extra moeite die de beveiliging kost acceptabel?
  • Op welke manieren kan/kunnen de beveiliging(en) falen?
  • Is dat acceptabel voor de bewuste data?\

Afgeleide enquêtevragen:


  • Voor welke data gebruiken jullie draagbare opslagmedia?
  • Welke beveiliging(en) wordt/worden gebruikt voor deze data?
  • Kunt u goed met de beveiliging(en) omgaan?
  • Verwacht u dat alle gebruikers van de beveiliging er goed mee omgaan?
  • Vindt u de extra moeite die de beveiliging kost acceptabel?
  • Op welke manieren kan/kunnen de beveiliging(en) falen?
  • Wat zijn de gevolgen als de data in kwestie uitlekt?
  • Wat is de prijs van de gebruikte beveiliging(en)?
  • Verwacht u dat dat acceptabel is voor de (gevoeligheid van de) bewuste data?

We weten al dat AT Computing meewerkt met het onderzoek en dat ze geen officieel reglement hebben over de beveiliging die wij onderzoeken. We verwachten dat het UMC dat wel heeft, en het lijkt ons leuk het reglement te bemachtigen en te gaan uitzoeken of de medewerkers zich er ook aan houden. Als dat niet lukt zullen we minstens vragen of de medewerkers op de hoogte zijn van de regels.

Onderzoeksmethode

  1. Een enquête onder goed uitgekozen groepen mensen (medici in het UMC, ICT'ers*), waarin we erachter willen komen wat de beveiligingswensen zijn
  2. Een literatuuronderzoek waarin we erachter willen komen wat adequate beveiligingsmethoden zijn voor de gevonden wensen
  3. Een onderzoek (het liefst een eigen praktijktest) waarin we erachter willen komen of de bestaande geschikt lijkende beveiligingen ook daadwerkelijk effectief zijn

Tijd en faseringsschema

Zie de Globale planning

Literatuur

Overgenomen van "https://lab.cs.ru.nl/algemeen/index.php?title=Research_and_Development_1/%5EArchief/2007-2008/projecten/Beveiliging_USB-sticks/Onderzoeksplan&oldid=89546"