A flash meghajtó gyártóinak állítása szerint.
Graham Cluley, a Sophos vezető biztonsági tanácsadójának blogjából
A következőkben olyan hírekről lesz szó, amelyek aggodalommal tölthetik el a hardveresen titkosított USB memóriakulcsok tulajdonosainak egy részét.
Számos vállalat és egyén használ hardveres-alapú titkosítással rendelkező USB kulcsokat érzékeny adataik biztosítása céljából. Ez egy eléggé érzékeny téma, mivel már eddig is rengeteg eset került napvilágra páciensek titkos adatait, iskolás gyerekek adatait és Afganisztánban és Irakban szolgálatot teljesítő amerikai katonák adatait tartalmazó USB kulcsok elvesztéséről.
Még titkos csapatmozgások terveit tartalmazó memóriakulcsot is elvesztettek egy éjszakai szórakozóhely padlóján.
Valójában ha egy bizonyos személyes érzékeny információtípust elképzel - minden esély megvan rá, hogy valaki, valahol elvesztette egy USB kulcson.
Ebből következően jó ötletnek tűnik, ha valaki olyan pendrive-val rendelkezik, amely automatikusan titkosítja az a rajta levő adatokat, mivel ez azt jelenti, még ha el is veszti az USB kulcsát egy taxi hátsó ülésén, akkor az azonosságtolvajok nem lesznek képesek semmit sem csinálni a rajta levő érzékeny adatokkal.
Ami bizonyos aggodalomra adhat okot az IT csapatok között az, hogy a SanDisk kiadott egy biztonsági tájékoztatót, mely szerint saját Cruzer Enterprise flash meghajtójuk olyan sérülékenységet tartalmaz, amelynek „hála" jogosulatlan egyének hozzáférhetnek az USB kulcsokon található titkosított adatokhoz. A SanDisk riasztása megmutatta, hogy a hiba nem a meghajtó hardverében vagy firmware-ében található, hanem abban a vele járó kódban, amely a felhasználó számítógépén fut.
A Kingston Technology szintén előjött saját biztonsági ajánlásával (valószínűsíthetően ugyanazon sérülékenység apropóján), mely szerint a hackerek hozzáférhetnek a titkosított adatokhoz néhány USB kulcsukon. A Kingston ajánlása nem ad több információt annál, hogy javasolja az érintett felhasználóknak, hogy vegyék fel a technikai támogatásukkal a kapcsolatot a frissítés miatt, de elmagyarázzák, hogy „egy képzett személy a megfelelő eszközökkel hozzáférhet a meghajtókhoz és jogosulatlanul hozzáférhetnek az adatokhoz is".
A Verbatim is hasonló figyelmeztetést tett közzé.
A The H jelentésére hivatkozva, a sérülékenységet a SySS cég fedezte fel, amely egy német behatolás tesztelő cég, és szerintük egy alapvető hézagról van szó azzal kapcsolatosan, ahogyan a flash meghajtók kezelik a jelszavakat.
A SySS felfedezte, a használt jelszótól függetlenül, hogy a Windows hozzáférési ellenőrzési programja végsősoron ugyanazokat a byte-szekvenciákat küldi el a meghajtónak a feloldásához. Emiatt a SySS képes volt olyan programot írni, amely a „feloldó" kódot függetlenül a beírt jelszótól elküldte, és azonnal hozzáfért a flash meghajtó teljes tartalmához.
Őszintén szólva, igencsak szégyenletes, hogy ezek a biztonságosnak mondott meghajtók sérülékenyek lehetnek ilyen jellegű támadásokra. Beszéljünk nyíltan: ha valaki az Ön vállalatánál, vagy egy az Ön vállalatát megcélzó támadó abban érdekelt, hogy titkosított USB kulcsokon található érzékeny információkat akar olvasni, akkor ez egy igen kívánatos támadási mód a részére (amennyiben fizikailag is hozzá tud férni az eszközhöz, persze).
Eddig a következő meghajtók érintettek a sérülékenység által:
Cruzer Enterprise USB flash drive, CZ22 (1GB, 2GB, 4GB, 8GB)
Cruzer Enterprise FIPS Edition USB flash drive, CZ32 (1GB, 2GB, 4GB, 8GB)
Cruzer Enterprise with McAfee USB flash drive, CZ38 (1GB, 2GB, 4GB, 8GB)
Cruzer Enterprise FIPS Edition with McAfee USB flash drive, CZ46 (1GB, 2GB, 4GB, 8GB)
Kingston DataTraveler BlackBox (DTBB)
Kingson DataTraveler Secure - Privacy Edition (DTSP)
Kingson DataTraveler Elite - Privacy Edition (DTEP)
Verbatim Corporate Secure USB Flash Drive (1GB, 2GB, 4GB, 8GB)
Verbatim Corporate Secure FIPS Edition USB Flash Drives (1GB, 2GB, 4GB, 8GB)
Senki sem tagadja, hogy az USB kulcsok hasznosak. De ha érzékeny információkat hordoznak rajtuk, akkor megfelelő biztonságos titkosítást kell használni. És ha ezt még nem tette meg, léptessen életbe olyan szabályzatot, amely képes észlelni és blokkolni a hordozható tárolóeszközök jogosulatlan használatát.