Artikel top billede

Ifølge sikkerheds-bulletinen har der siden december fulgt opdateringer med samtlige Cruzer Enterprise USB flash drives. Foto: SanDisk.com

'Forkastelig' sårbarhed i krypterede USB-nøgler

Krypterede USB-nøgler, der burde kunne holde dine data sikre, tilbagekaldes nu af adskillige producenter på grund af en alvorlig sårbarhed.

Computerworld News Service: Adskillige hardware-krypterede USB-nøgler bliver lige nu tilbagekaldt på verdensplan eller kræver sikkerhedsopdateringer, da de indeholder en fejl, der kan gøre det muligt for hackere at få adgang til eventuelt følsomme oplysninger på USB-hukommelsesnøglerne.

Da producenten SanDisk først modtog tilbagemeldinger om problemet i sidste måned, udsendte virksomheden en sikkerheds-bulletin, der advarede kunderne om, at Cruzer Enterprise-serien af USB-flashdrev indeholdte en sårbarhed i adgangskontrol-mekanismen.

SanDisk tilbød en online-produktopdatering for at løse problemet og gjorde et nummer ud af at fremhæve, at problemet kun havde at gøre med software-applikationen til at tilgå USB-nøglen og altså ikke havde noget at gøre med hverken hardwaren eller firmwaren.

Nu har Kingston offentliggjort en lignende advarsel, sandsynligvis fordi virksomhedens USB-drev benytter den samme kode som SanDisk.

Kingstons advarsel informerer kunderne om, at "en dygtig person med de rette værktøjer og med fysisk adgang til drevene muligvis vil være i stand til at skaffe sig uautoriseret adgang til data" på de ramte USB-nøgler.

Kingston tilbagekalder de ramte USB-nøgler og opfordrer kunderne til at indlevere dem. Også USB-nøgleproducenten Verbatim har offentliggjort en lignende advarsel.

Låste drev op uanset kodeord

De ramte USB-nøgler er udstyret med AES 256-bit hardwarekryptering, som er designet efter de strengeste krav til professionel sikkerhed. Men penetrations-testere fra det tyske sikkerhedsfirma SySS fandt frem til en sårbarhed, der udnytter den måde, hvorpå flash-drevene håndterer kodeord.

Ingen af producenternes sikkerhedsadvarsler giver præcise detaljer om sårbarheden, men ifølge en artikel i sikkerhedsmagasinet The H "er det kodeords-mekanismen, der er hovedangrebsvektoren til at få adgang til data i ren tekst fra drevet."

Testere fra SySS fandt en fejl, der gjorde dem i stand til at udvikle et værktøj, der låste drevet op med den samme streng af tegn, uanset hvad kodeordet var.

Der er risiko for, at også andre drev indeholder fejlen, og derfor er det muligt, at der er flere tilbagekaldelser på vej, advarer Graham Cluley, der er senior-teknologi-konsulent hos Sophos.

"Det er bestemt en foruroligende sårbarhed, som sandsynligvis vil føre til, at flere hackere udforsker mulighederne for at skaffe sig adgang til hvad, der tidligere blev anset for at være 'sikkert krypterede' data," bemærker Cluley.

"Jeg ved ikke, om der også er andre producenter, der benytter SanDisks kode, men selv hvis de ikke gør, vil de gøre klogt i at undersøge deres egne produkter og tænke længe og grundigt over, om de måske også er sårbare overfor lignende angreb. Selvom det er en pinlig affære at skulle tilbagekalde et produkt, så er det langt værre at have et produkt på markedet, der er sårbart over for angreb af denne slags."

Cluley, som også har blogget om dette problem, kalder det "forkasteligt" og siger, at sikkerhedschefer burde være i stand til sikre en ordentlig kryptering på USB-nøgler, der kan indeholde et væld af følsomme oplysninger. Han opfordrer også erhvervslivet til at tage de forholdsregler, der er nødvendige for at opdage og blokere for uautoriseret brug af flytbare lagerenheder.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere