Berta Sándor
Feltörhető a hardveres titkosítású USB-kulcsok védelme
A SySS cég egyik munkatársának sikerült három hardveres titkosítást használó pendrive adataihoz is hozzáférnie.
Egyre több gyártó kínál olyan USB-kulcsokat elsősorban üzletembereknek, cégvezetőknek, de akár átlagos felhasználóknak is, amelyeknél hardveres titkosítás garantálja a tárolt adatok biztonságát. Nos, úgy tűnik, hogy a korábban betonbiztosnak hitt megoldás közel sem megoldás. Matthias Deeg, a SySS cég szakértője ugyanis megvizsgálta a SanDisk, a Kingston és a Verbatim egy-egy termékét és az eredmények lesújtóak. Külön érdekessége a dolognak, hogy a SanDisk és a Kingston megoldásai FIPS-140-2 minősítésűek, így azokat az amerikai kormány és az amerikai fegyveres erők is használják.
A szakembernek sikerült egy egyszerű módon megkerülnie az USB-kulcsok védelmét és másodperceken belül rekonstruálnia tudta a tárolt adatokat, azokhoz hozzáférhetett, lementhette vagy lemásolhatta őket. Mindhárom cég a termékein az AES 256 bites hardveres titkosítást alkalmazza, ami megfelel az amerikai National Institute of Standards and Technology (NIST) FIPS 140-2 másodszintű minősítésének. A gyenge pontot a jelszavak jelentették. Matthias Deeg ugyanis rájött arra, hogy a Windows operációs rendszereken elérhető jelszóprogram egyetlen hibája miatt a hardveres védelem gyakorlatilag semmit sem ér.
A szoftver a sikeres titkosítási eljárások utáni bejelentkezéskor mindig ugyanazt a kódsort küldi el minden pendrivenak. A SySS munkatársa ezért egy olyan kis alkalmazást készített, ami a jelszóprogram memóriájában gondoskodott arról, hogy ez a kódsor a titkosítási eljárás lefuttatása nélkül is eljusson az USB-kulcsokhoz. A trükk működött és Deeg máris hozzáférhetett többek között a tesztelt Kingston DataTraveler BlackBox, a SanDisk Cruzer Enterprise FIPS Edition és a Verbatim Corporate Secure FIPS Edition tartalmához.
A SySS által értesített cégek különböző módon reagáltak. A Kingston azonnal visszahívta az összes DataTraveler BlackBox termékét, míg a SanDisk és a Verbatim elintézte annyival a dolgot, hogy egy biztonsági jegyzetet, illetve egy szoftverfrissítést adott ki. A Verbatim Europa egyik munkatársa a heise Security online IT-lapnak annyit mondott, hogy az érintett termékből még egyetlen darabot sem adtak el és a hiba kijavításáig bárki hiába is keresné a boltok polcain a Verbatim Corporate Secure FIPS Editiont.
A kérdés persze adott: miként kaphatták meg ezek a termékek a NIST FIPS 140-2 minősítést és ami még fontosabb: mennyit ér ezek után ez a minősítés?
Egyre több gyártó kínál olyan USB-kulcsokat elsősorban üzletembereknek, cégvezetőknek, de akár átlagos felhasználóknak is, amelyeknél hardveres titkosítás garantálja a tárolt adatok biztonságát. Nos, úgy tűnik, hogy a korábban betonbiztosnak hitt megoldás közel sem megoldás. Matthias Deeg, a SySS cég szakértője ugyanis megvizsgálta a SanDisk, a Kingston és a Verbatim egy-egy termékét és az eredmények lesújtóak. Külön érdekessége a dolognak, hogy a SanDisk és a Kingston megoldásai FIPS-140-2 minősítésűek, így azokat az amerikai kormány és az amerikai fegyveres erők is használják.
A szakembernek sikerült egy egyszerű módon megkerülnie az USB-kulcsok védelmét és másodperceken belül rekonstruálnia tudta a tárolt adatokat, azokhoz hozzáférhetett, lementhette vagy lemásolhatta őket. Mindhárom cég a termékein az AES 256 bites hardveres titkosítást alkalmazza, ami megfelel az amerikai National Institute of Standards and Technology (NIST) FIPS 140-2 másodszintű minősítésének. A gyenge pontot a jelszavak jelentették. Matthias Deeg ugyanis rájött arra, hogy a Windows operációs rendszereken elérhető jelszóprogram egyetlen hibája miatt a hardveres védelem gyakorlatilag semmit sem ér.
A szoftver a sikeres titkosítási eljárások utáni bejelentkezéskor mindig ugyanazt a kódsort küldi el minden pendrivenak. A SySS munkatársa ezért egy olyan kis alkalmazást készített, ami a jelszóprogram memóriájában gondoskodott arról, hogy ez a kódsor a titkosítási eljárás lefuttatása nélkül is eljusson az USB-kulcsokhoz. A trükk működött és Deeg máris hozzáférhetett többek között a tesztelt Kingston DataTraveler BlackBox, a SanDisk Cruzer Enterprise FIPS Edition és a Verbatim Corporate Secure FIPS Edition tartalmához.
A SySS által értesített cégek különböző módon reagáltak. A Kingston azonnal visszahívta az összes DataTraveler BlackBox termékét, míg a SanDisk és a Verbatim elintézte annyival a dolgot, hogy egy biztonsági jegyzetet, illetve egy szoftverfrissítést adott ki. A Verbatim Europa egyik munkatársa a heise Security online IT-lapnak annyit mondott, hogy az érintett termékből még egyetlen darabot sem adtak el és a hiba kijavításáig bárki hiába is keresné a boltok polcain a Verbatim Corporate Secure FIPS Editiont.
A kérdés persze adott: miként kaphatták meg ezek a termékek a NIST FIPS 140-2 minősítést és ami még fontosabb: mennyit ér ezek után ez a minősítés?