„Šifrované“ klíčenky Kingston, Sandisk, Verbatim nešifrují!
Je to něco přes půl roku, co jsem se v článku Ochrana přenášených dat zamýšlel nad tím, jak moc důvěryhodné je tzv. hardwarové šifrování přítomné na některých USB flashdiscích. No prosím, a už tu máme praktickou ukázku: Německá bezpečnostní firma SySS těsně před vánoci oznámila nalezení závažné bezpečnostní díry v šifrovaných USB discích firem Kingston a Sandisk (a přebarvených verzích téhož, např. pod značkou Verbatim). Jak závažné? Tak, že útočník může celkem jednoduše přistupovat k datům, aniž by znal heslo.
Podrobnosti o útoku jsou (v němčině) popsány ve dvou studiích: SySS knackt SanDisk USB Stick a SySS knackt Kingston USB Stick, v angličtině jejich nález shrnuje web The H Security. V případě obou výrobců jde o to, že u nich – narozdíl od skutečně bezpečných softwarových implementací – buď nejsou data šifrována vůbec, nebo sice šifrována jsou, ale jedním univerzálním šifrovacím klíčem společným pro všechny flashdisky (!). Z publikovaných údajů těžko odhadnout, co z toho, tipnul bych si spíš na druhou možnost (například Kingston svoje produkty propaguje jako „100% šifrované“ a nechce se mi věřit, že by aspoň nějaké, i když úplně hloupé, šifrování nedělala a vystavovala se tak soudním sporům).
Jak tedy probíhá „dešifrování“? Uživatel spustí speciální přihlašovací aplikaci a vloží do ní svoje heslo. Aplikace toho heslo zkonvertuje do požadovaného tvaru (převede na WideString, prožene funkcí MD5 atd.) a výsledek nepoužije jako klíč pro přístup k datům na čtečce, jak by to udělal inteligentní člověk, ale zašifruje s ním pevně daný blok dat; výsledek tohoto šifrování porovná se stejným blokem dat na flashdisku a v případě, že zjistí shodu, pošle flashdisku příkaz „odemkni se“. Základní problémy jsou dva. První je, že útočník může celou ověřovací fázi přeskočit a rovnou klíčence poslat odemykací příkaz, který na heslu nijak nezávisí. Druhý je ještě děsivější: Všechny klíčenky mají tento odemykací příkaz stejný. Výsledek je jednoduchý: Postižené klíčenky jako kdyby šifrovány nebyly.
Zajímavé také je, jakým způsobem firmy na odhalení reagovaly: Kingston postižené klíčenky stahuje s tím, že je uživatelům nějak zaktualizuje. Sandisk a Verbatim problém bagatelizují s tím, že jde jen o problém autentizační aplikace a hardware samotný není postižen a nabízejí ke stažení update autentizační aplikace; to je naprostá blbost a výmysl, jak si můžete v popisu autentizace snadno ověřit – nikde v průběhu odemykání útočník autentizační aplikaci nepotřebuje! To je mimochodem konzistentní s mým zjištěním, jak se Sandiskovský U3Launcher zachová, když chcete změnit heslo ke klíčence – celý proces změny hesla netrvá ani sekundu, tudíž není čas na přešifrování celého flashdisku, tudíž je evidentní, že šifrovací klíč zůstal i při změně hesla stejný.
Podobná nevyrovnanost je i v tom, které produkty jsou chybou postiženy. V případě Kingstonu jde o produkty Blackbox, Secure Privacy Edition a Elite Privacy Edition, tedy vesměs „nejvyšší“ produkty, v nichž je šifrován celý obsah klíčenky; nižší modely, které vesměs šifrují jen uživatelem definovatelnou část, přitom postiženy nejsou. Jsem nakloněn tomu věřit, opět je to konzistentní s chováním mého DataTraveler Secure při pokusu o změnu hesla, které trvá dost dlouho na to, aby přešifrování celé klíčenky proběhnout mohlo. Podle Verbatimu a Sandisku jsou postiženy jen „enterprise“ modely, takže například můj Sandisk Cruzer Contour by měl být bezpečný. Jo, tomu určitě věřím!
Zajímavé je, že asi nejuznávanější výrobce šifrovaných flashdisků, IronKey, zatím nijak napaden nebyl. Zřejmě budu muset svoje dřívější rozhodnutí o tom, že problémy s nákupem IronKey jsou příliš velké, než aby mi stály za to, přehodnotit. Každopádně si Sandisk i Verbatim dávám na blacklist – ani ne tak pro jejich implementaci, jakkoliv je příšerná (Kingston má ve svých „Privacy Edition“ klíčenkách skoro stejnou), jako pro jejich přístup k nalezené závadě. A českých zpravodajských webů bych se zeptal: Čím to, že jsem nezaznamenal vůbec žádnou informaci o tom, že k takto závažnému odhalení došlo?
A druhý problém: Dejme tomu, že PIN skutečně jde vyresetovat jen jednou (nevím, proč by měl, ale jak říkám, dejme tomu). Problém je, že aby to vůbec šlo třeba jen jednou, tak nemůže být žádný přímý vztah mezi šifrovacím klíčem a PINem. V nejlepším případě to znamená, že flashdisk je zašifrován náhodným klíčem a PIN slouží pro jeho uvolnění; v horším případě to znamená, že ten klíč není náhodný, ale že je jen jeden. Každopádně to ale znamená, že případný útočník vůbec nemusí zkoušet nějaké klíče – stačí mu, když zfalšuje signál „byl zadán správný PIN“. Rád bych se pletl, ale obávám se, že to nebude nic těžkého.
Jo, ale to ještě nic netušil o červnovém „problému“ s tím, že jde PIN vyresetovat, aniž by to smazalo i data. Corsair tvrdí, že to jde udělat jen jednou, takže stačí, když ten reset provede právoplatný majitel, ale kdo má tomu zařízení věřit, když obsahuje takovouhle díru, že…
Corsair se svým Padlock 2: Bruce Schneier (světová kapacita na informační bezpečnost) zmírňuje a píše „So, not nearly as bad as I thought it was.“… Jinak pro běžné zabezpečení proti náhodné krádeži je to myslím dostatečné.
Dalším kandidátem na pranýř je firma Corsair se svým Padlock 2. Bruce Schneier (světová kapacita na informační bezpečnost) tento flashdisk označuje za Crypto Implementation Failure.
Vyjádření firmy IronKey k celému problému. Obsahuje i srozumitelného vysvětlení, co mají postižené klíčenky za problém, jak to funguje, a co dělá IronKey proti tomu, aby tím postižen nebyl.
S tým súhlasím, asi by ma zabilo keby sa aj tu objavil článok typu NOD vs AVG a typické komentáre k tomu typu „Avast je shit“.
„Enterprise edice“ je prostě jeden z modelů, stejně jako je model Cruzer Contour apod. Nevím, jestli se v našich končinách prodává, možná že ne – ale rozhodně nevěřím tomu, že Cruzer Contour je na tom významně lépe než Cruzer Enterprise.
TrueCrypt pro flashku potřebuje buď přímo admin práva, nebo aby byl TrueCrypt na příslušném počítači nainstalovaný adminem (v takovém případě už pro použití samotné admin potřeba není).
S bezpečností nehodlám končit, jen musí vždycky přijít nějaké vhodné téma – nebudu přeci psát blbosti jenom proto, že už jsem dlouho do škatulky „bezpečnost“ nepsal…
Perfektný článok, ktorý skutočne len potvrdil, to čo si už písal v minulosti! Že dáta nie sú šifrované vôbec, tomu proste neverím, že by si to skutočne renomovaná firma dovolila, ale že implementácia šifrovania stojí za (s prepáčením) hovno, tomu by som už schopný uveriť bol. Preto som aj ku kúpe tej FLASHKY (cruzer contour) tak pristupoval, že hardwarové šifrovanie bola jedna z požiadaviek, ale že by som sa naň spoliehal to rozhodne nie. Cena tej flashky ale bola k pomeru rýchlosť/kapacita celkom priaznivá. Hardwarové šifrovanie tam mám ako základnú ochranu možno na nejaké wordy, filmy a programy (to tiež nemusí každý kto nájde flashku predsa vidieť), ale skutočné dôležité veci ako napríklad Keepass databázu s heslami (ktorá samotná je istená master heslom + spúšťacím súborom) mám ešte zašifrovanú cez ten Sandisk synchronizačný soft (128 bit AES) a spúšťací kľúč ku Keepass databáze tam mám zašifrovaný v Truecrypt kontajnerí). Síce sa teoereticky k databáze asi nedostaneme ak počítač nebude mať admin prístup, ale tak často zas nepoužívam tú flasku na cudzom kompe bez admin prístupu.
Ešte by som sa spýtal, čo je u Sandisku tá „enterprise edícia“, ešte som s ňou do styku neprišiel. A druhá vec, truecrypt má pre flashky aj ten portable mód, ten tiež potrebuje admin práva?
PS: som rád, že už tu články o bezpečnosti nekomentujem len ja, bál som sa že s tým skončíš, pritom ich považujem za veľmi kvalitné.
No, to je otázka, jestli to opravdu stačí – pokud je kompromitované heslo, je dost možné, že útočník už získal i šifrovací klíč, a v tu chvíli je mi celá změna hesla úplně k ničemu, pokud neproběhne i přešifrování kontejneru. Ale budiž, TrueCrypt taky funguje tímhle způsobem a má to své oprávnění. Jenže u těch klíčenek nemám šanci ten klíč přegenerovat, ani kdybych chtěl, a to už je velký problém.
To, že změna hesla trvá jen sekundu, by samo o sobě nemuselo znamenat takovejhle průser. Například u LUKSu taky změníš heslo za pár sekund i na mnohaGiB svazku. (Proč? Disk je šifrován dlouhým náhodným klíčem, kterej je pak sám zašifrován klíčem odvozeným PBDKF z hesla, takže stači přešifrovat jen ten superblok.)
Toto je ale rozhodne mensi problem, nez slabe (nebo vubec) zasifrovana klicenka.
TrueCrypt a ostatní softwarová řešení mají ovšem jeden zásadní problém: na Windows potřebují administrátorská práva (přinejmenším jednou při instalaci). Pokud tato práva nemáš a přesto dotyčnému počítači důvěřuješ, tak jinou možnost než použít HW šifrovanou klíčenku nemáš.
Jak jsme u nas spravne predpokladali, neni dobre se spolehat na takto „sifrovane“ klicenky. TrueCrypt a silne heslo to jisti. Sice pripravit takto 32GB klicenku uz je trosku delsi (i kdyz je to rychlejsi verze), ale vyplati se to. Software co na ni byl z vyroby pro sifrovani byl takovy nejaky zmateny.