Computerworld News Service: Adskillige hardware-krypterede USB-nøgler bliver lige nu tilbagekaldt på verdensplan eller kræver sikkerhedsopdateringer, da de indeholder en fejl, der kan gøre det muligt for hackere at få adgang til eventuelt følsomme oplysninger på USB-hukommelsesnøglerne.
Da producenten SanDisk først modtog tilbagemeldinger om problemet i sidste måned, udsendte virksomheden en sikkerheds-bulletin, der advarede kunderne om, at Cruzer Enterprise-serien af USB-flashdrev indeholdte en sårbarhed i adgangskontrol-mekanismen.
SanDisk tilbød en online-produktopdatering for at løse problemet og gjorde et nummer ud af at fremhæve, at problemet kun havde at gøre med software-applikationen til at tilgå USB-nøglen og altså ikke havde noget at gøre med hverken hardwaren eller firmwaren.
Nu har Kingston offentliggjort en lignende advarsel, sandsynligvis fordi virksomhedens USB-drev benytter den samme kode som SanDisk.
Kingstons advarsel informerer kunderne om, at "en dygtig person med de rette værktøjer og med fysisk adgang til drevene muligvis vil være i stand til at skaffe sig uautoriseret adgang til data" på de ramte USB-nøgler.
Kingston tilbagekalder de ramte USB-nøgler og opfordrer kunderne til at indlevere dem. Også USB-nøgleproducenten Verbatim har offentliggjort en lignende advarsel.
Låste drev op uanset kodeord
De ramte USB-nøgler er udstyret med AES 256-bit hardwarekryptering, som er designet efter de strengeste krav til professionel sikkerhed. Men penetrations-testere fra det tyske sikkerhedsfirma SySS fandt frem til en sårbarhed, der udnytter den måde, hvorpå flash-drevene håndterer kodeord.
Ingen af producenternes sikkerhedsadvarsler giver præcise detaljer om sårbarheden, men ifølge en artikel i sikkerhedsmagasinet The H "er det kodeords-mekanismen, der er hovedangrebsvektoren til at få adgang til data i ren tekst fra drevet."
Testere fra SySS fandt en fejl, der gjorde dem i stand til at udvikle et værktøj, der låste drevet op med den samme streng af tegn, uanset hvad kodeordet var.
Der er risiko for, at også andre drev indeholder fejlen, og derfor er det muligt, at der er flere tilbagekaldelser på vej, advarer Graham Cluley, der er senior-teknologi-konsulent hos Sophos.
"Det er bestemt en foruroligende sårbarhed, som sandsynligvis vil føre til, at flere hackere udforsker mulighederne for at skaffe sig adgang til hvad, der tidligere blev anset for at være 'sikkert krypterede' data," bemærker Cluley.
"Jeg ved ikke, om der også er andre producenter, der benytter SanDisks kode, men selv hvis de ikke gør, vil de gøre klogt i at undersøge deres egne produkter og tænke længe og grundigt over, om de måske også er sårbare overfor lignende angreb. Selvom det er en pinlig affære at skulle tilbagekalde et produkt, så er det langt værre at have et produkt på markedet, der er sårbart over for angreb af denne slags."
Cluley, som også har blogget om dette problem, kalder det "forkasteligt" og siger, at sikkerhedschefer burde være i stand til sikre en ordentlig kryptering på USB-nøgler, der kan indeholde et væld af følsomme oplysninger. Han opfordrer også erhvervslivet til at tage de forholdsregler, der er nødvendige for at opdage og blokere for uautoriseret brug af flytbare lagerenheder.
Oversat af Thomas Bøndergaard
