Fontos lehet a pendrive foltozás

A Biztonságportálon nem régen számoltunk be arról, hogy a Kingston egyes adattárolóiról kiderült, hogy a rajtuk őrzött, titkosított adatok speciális megoldások révén, a jelszó ismerete nélkül is visszafejthetővé válhatnak. Így jogosulatlan kezekbe kerülve nem biztos, hogy maradéktalanul képesek ellátni a védelemmel kapcsolatos feladataikat. Mostanra azonban az is beigazolódott, hogy nemcsak a Kingston termékei gyengélkednek a titkosítást illetően, hanem a SanDisk és a Verbatim egyes adattorló eszközei is.

A Verbatim a közleményében a Verbatim Corporate Secure és a Corporate Secure FIPS Edition szériájú pendrive-jait jelölte meg sérülékenynek, míg a SanDisk tájékoztatójából az derül ki, hogy a Cruzer Enterprise adattárlók egyes típusai érintettek a sebezhetőség által. Mindkét cég szoftveres frissítéseket adott ki a hibajavításhoz, amelyek telepítésével a sérülékenység egyszerűen orvosolható. A Kingston ügyfeleinek nem ilyen egyszerű a helyzetük, ugyanis számukra nem érhető el publikus javítás, így az érintett pendrive-okat vissza kell küldeniük a céghez egy gyári frissítésre.

A pendrive-ok vizsgálatai során kiderült, hogy tulajdonképpen nem is a kis adattárolókkal van a probléma, hanem az azokat kezelő - hoszt számítógépen futó - alkalmazásokkal. Önmagukban a pendrive-ok és az azokon alkalmazott hardveralapú titkosítás nem tartalmaz biztonsági hibát, viszont a meghajtókhoz készített szoftverek egy-két trükk bevetésével hozzájárulhatnak az adatok jogosulatlan megszerzéséhez és felhasználásához.

A sebezhetőséget elsőként a SySS német biztonsági cég jelezte. A SySS szakértői a fent említett pendrive-ok mindegyikéhez összeállítottak olyan kódokat, amelyek felhasználásával képesek a biztonsági hiba kihasználására. A módszer a számítógéphez csatlakoztatott pendrive-okról betöltődő, titkosítást lehetővé tevő szoftvereket veszi célba, és ezek memóriában tárolt összetevőit manipulálja. Ennek hatására a jelszavak ismerete nélkül is hozzáférést lehet szerezni a védett adatokhoz. A Kingston közleményéből pedig az derül ki, hogy a cég adattárolóiban a jelszavak feldolgozása okozza a problémát.

A hardveresen titkosítható pendrive-okkal kapcsolatban felmerült sebezhetőségek többek között azért is keltettek ekkora visszhangot, mert a legtöbb, érintett eszköz Federal Information Processing Standard (FIPS) 140-2 megfelelőséggel rendelkezik. Bruce Schneier titkosítási és információbiztonsági kutató szerint "sok tanúsítvány létezik, amelyek mind másról szólnak. De a FIPS 140 sokkal több, mint egy marketingeszköz, hiszen tényelegesen a biztonságról szól." Ezért aztán joggal merülhet fel a kérdés, hogy miként felelhettek meg a FIPS követelményeinek ezek a sérülékeny adattárolók. Az amerikai Computerworld értesülései szerint ennek az egyik magyarázata az lehet, hogy a FIPS 140-2 a titkosítást végző modulra vonatkozóan tartalmaz előírásokat, míg a mostani hiba elsősorban az authentikációs komponenseket érinti.

A sebezhetőség felbukkanása után az IronKey hangsúlyozta, hogy az általa gyártott, titkosított pendrive-okat nem érinti a rendellenesség. Ennek leginkább az az oka, hogy a cég eszközei a jelszókezelést és az ehhez kapcsolódó authentikációs funkciókat is a pendrive-okon valósítják meg. "Nem bízhatunk meg a számítógépekben. Azokon kártékony programok lehetnek, vagy hekkerek férhetnek hozzájuk. A mi biztonsági modellünkben a számítógépek teljes mértékben megbízhatatlannak tekintendők" - mondta David Jevans, az IronKey egyik alelnöke. A szakember hozzátette, hogy a FIPS nem mondja meg a gyártóknak, hogy pontosan miként készítsék el a biztonsági termékeiket. "Amikor beszéltem a FIPS elemzőivel, akkor azt mondták, hogy már régóta ismert számukra ez a sérülékenység." – árulta el Jevans. Amiért a FIPS az előírásaival nem védekezik ez ellen a sebezhetőség ellen az az, hogy vállalati környezetekben szükség van több száz vagy akár több ezer USB-eszköz egyetlen adminisztrátori jelszóval való kezelhetőségére. Az előírások szigorításával pedig minden bizonnyal ez a funkció csorbulna.

A sebezhetőség által érintett adattárolók:

SanDisk:
Cruzer Enterprise USB CZ22 - 1GB, 2GB, 4GB, 8GB
Cruzer Enterprise FIPS Edition USB CZ32 - 1GB, 2GB, 4GB, 8GB
Cruzer Enterprise with McAfee USB CZ38 - 1GB, 2GB, 4GB, 8GB
Cruzer Enterprise FIPS Edition with McAfee USB CZ46 - 1GB, 2GB, 4GB, 8GB

Verbatim:
Verbatim Corporate Secure - 1GB, 2GB, 4GB, 8GB:
Verbatim Corporate Secure FIPS Edition - 1GB, 2GB, 4GB, 8GB:

Kingston:
DataTraveler BlackBox (DTBB)
DataTraveler Secure - Privacy Edition (DTSP)
DataTraveler Elite - Privacy Edition (DTEP)

A hír a Computerworld biztonság oldalán jelent meg.