id: Гость   вход   регистрация
текущее время 09:24 14/11/2019
Владелец: SATtva (создано 07/01/2010 15:14), редакция от 07/01/2010 15:14 (автор: SATtva) Печать
Категории: инфобезопасность, политика, защита дисков, хард, аппаратное шифрование, разграничение доступа, сертификация
https://www.pgpru.com/Новости/2010/СертифицированныеШифрующиеUSB-накопителиОказалисьСЛёгкостьюВзломаны
создать
просмотр
редакции
ссылки

07.01 // Сертифицированные шифрующие USB-накопители оказались с лёгкостью взломаны


Производимые компаниями Kingston, SanDisk и Verbatim USB-накопители с собственным аппаратным шифрованием и сертифицированные NIST на соответствие FIPS 140-2 Level 2 и одобренные для хранения секретной государственной информации оказались с лёгкостью взломаны сотрудниками ИБ-фирмы SySS.


USB-брелоки содержат встроенный криптомодуль, реализующий алгоритм AES-256, шифрующий все сохраняемые в накопителе данные. Атаковать непосредственно шифр бесполезно, поэтому исследователи сосредоточились на механизме парольной аутентификации. Изучив поставляемую Windows-программу для аутентификации пользователя устройству, они обнаружили совершенно удивительную проблему.


Оказалось, что в случае успешной аутентификации программа передаёт USB-устройтву определённую команду, причём команда не зависит от используемого пароля и идентична для всех устройств этого типа. В итоге, всё, что потребовалось исследователям, — это написать утилиту, которая заставляет программу аутентификации всегда посылать нужную команду вне зависимости от того, введён правильный пароль или нет.


Уязвимые устройства включают Kingston DataTraveler BlackBox, SanDisk Cruzer Enterprise FIPS Edition и Verbatim Corporate Secure FIPS Edition. После уведомления о проблеме Kingston объявил об отзыве затронутых устройств; SanDisk и Verbatim назвали проблему "потенциальной уязвимостью в программе контроля доступа" и выпустили программное обновление.


Главные же вопросы остались без ответа: как USB-накопители с высочайшей оценкой криптографической защищённости могли оказаться настолько бесполезны и в чём вообще ценность процесса сертификации, если он не способен отловить столь вопиющие проблемы?


Источник: http://www.h-online.com/securi.....-cracked-895308.html


 
Много комментариев (18) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3