Nie tylko Kingston ma luki w zabezpieczeniach pendrive'ów

Kilka dni temu firma Kingston Technology opublikowała alert, w którym ostrzegła właścicieli pendrive'ów z serii DataTraveler BlackBox, DataTraveler Secure-Privacy oraz DataTraveler Elite-Privacy, że w zastosowanym w nich oprogramowaniu znajduje się błąd umożliwiający uzyskanie nieautoryzowanego dostępu do danych. Teraz okazało się, że podobny kłopot mają również firmy SanDisk oraz Verbatim Corp.

We wszystkich trzech przypadkach problem wydaje się podobny - w module odpowiedzialnym za autoryzowanie dostępu do danych zaszyfrowanych z wykorzystaniem standardu AES 256-bit wykryto błąd, który może pozwolić nieautoryzowanemu użytkownikowi na odczytanie danych z pendrive'a (który teoretycznie powinien być zabezpieczony przed taką operacją). Można to zrobić odpowiednio obchodząc zabezpieczenia w oprogramowaniu desktopowym dołączonym do pamięci flash.

"To naprawdę żenujące. To głupi błąd kryptograficzny - producenci schrzanili sprawę i naprawdę powinni się mocno wstydzić" - komentuje Bruce Schneier, jeden z najlepszych na świecie specjalistów od szyfrowania.

Z informacji dostarczonych przez firmę Verbatim wynika, że problem dotyczy urządzeń z serii Verbatim Corporate Secure oraz Corporate Secure FIPS Edition. W przypadku produktów SanDiska chodzi o pendrive'y z serii Cruzer Enterprise. Dodajmy, że obie firmy udostępniły klientom odpowiednie poprawki. Z produktami Kingstona jest inaczej - firma prosi klientów o przesyłanie pendrive'ów do centrum serwisowego, w którym zostaną naprawione.

Wszyscy trzej producenci twierdzą, że ich "bezpieczne" pendrive'y spełniają wszelkie kryteria amerykańskiego rządowego standardu FIPS 140-2 (Federal Information Processing Standard 140-2). Został on stworzony przez National Institute of Standards and Technology (NIST) i dotyczy zarówno sprzętu jak i oprogramowania - certyfikat gwarantuje, że oznaczone nim urządzenia są odpowiednie do zastosowania w instytucjach rządowych. FIPS 140 wyróżnia cztery różne poziomy bezpieczeństwa.

Problem w tym, że mało kto orientuje się, co dokładnie oznaczają takie certyfikaty. "Certyfikatów jest mnóstwo, a każdy dotyczy czegoś zupełnie innego. W tej chwili stanowią one bardziej wartość marketingową, niż informacyjną" - mówi Schneier. Specjalista zwraca uwagę, że producenci pendrive'ów często chwalą się, że ich produkty spełniają kryteria FIPS... ale zapominają dodać, że amerykańskie instytucje rządowe już dawno zabroniły swoim pracownikom korzystania z pendrive'ów (z uwagi na problemy z odpowiednim ich zabezpieczeniem).

"Co to właściwie znaczy, że jakiś produkt ma certyfikat ustanowiony przez NIST? Czy to znaczy, że jest bezpieczny czy nie? Jeśli bliżej przyjrzymy się specyfikacji FIPS, dowiemy się tylko, że dane urządzenie jest po prostu w pewnym stopniu zabezpieczone przed nieautoryzowanym dostępem. I nic więcej..." - tłumaczy Schneier.

Warto odnotować, że błąd, który zmusił Kingstona, Sandiska i Verbatima do naprawiania swoich produktów, wykryła niemiecka firma SySS GmbH - lukę znaleziono podczas rutynowych testów zabezpieczeń pendrive'ów. Okazało się, że istnieje metoda zmuszenia aplikacji klienckiej do uznania dowolnego ciągu znaków za prawidłowe hasło dostępu do danych.

Przedstawiciele National Institute of Standards and Technology na razie nie komentują tych doniesień - organizacja poinformowała jedynie, że analizuje doniesienia o problemach z bezpieczeństwem danych na pendrive'ach spełniających kryteria certyfikatu FIPS 140-2.