Bezpečnost | Heslo | Šifrování

Údajně „nehacknutelný“ šifrovaný flash disk eyeDisk se podařilo hacknout

  • Dalo se čekat, že „nehacknutelný“ flash disk přitáhne pozornost
  • Nepřekvapilo, že se ho bezpečnostním expertům povedlo hacknout
  • Značným překvapením byl ale přenos hesla v čitelné podobě

Je celkem pochopitelné, že pokud je něco deklarováno jako „nehacknutelné“, přitáhne to pozornost bezpečnostních expertů. Řada z nich považuje takové označení za výzvu, kterou je nutné pokořit. To je i příběh „nehacknutelného“ flash disku eyeDisk, do kterého během loňské kampaně na KickStarteru investovalo bezmála 250 zájemců.

Výrobce sliboval, že se uživatelé nemusí obávat o data uložená na eyeDisku, neboť jsou chráněna 256bitovým šifrováním AES a k ověření je používán sken oční duhovky. Firma se přitom chlubila vlastním algoritmem pro rozpoznávání oka.

Výrobce tak získal více než 21 tisíc dolarů (asi 480 tisíc korun), které použil k rozjetí výroby. V březnu tohoto roku byly první kousky dodány zákazníkům, což otevřelo dveře k pokusům o prolomení. Úspěch nakonec slavila britská bezpečnostní firma Pen Test Partners, konkrétně její zaměstnanec David Lodge. S dosaženým úspěchem se pochlubila na svém blogu.

„Nehacknutelný“? Ale kde že!

Lodge flashdisk rozebral a pojal podezření, že řídící čip je příliš „hloupý“ na to, aby zvládl to, co zařízení slibuje. Na základě inspekce útrob došel k závěru, že se v podstatě jedná o běžný flash disk s připojeným rozbočovačem a fotoaparátem. To znamenalo, že tajemství bude ukryto v softwaru, na který se následně zaměřil.

Software byl však napsán ve Visual C++, který není snadné dekompilovat. Expert na to šel tedy z jiné strany – byl přesvědčen, že v určitém okamžiku po přihlášení musí zařízení předat nějaký příkaz k odemknutí zabezpečeného svazku. Použil tedy nástroj Wireshark s podporou USBPcap, který umí zachytávat pakety v USB komunikaci.

Klepněte pro větší obrázek 
V probíhající komunikaci objevil záložní heslo

Tímto způsobem v probíhající komunikaci objevil záložní heslo, které má sloužit pro přístup k datům v případě selhání zařízení nebo nefunkčnosti technologie skenování duhovky.  Heslo „SecretPass“, které Lodge nastavil jako záložní, lze vidět na snímku obrazovky označené červeným rámečkem.

Heslo v čitelné podobě

Heslo je přenášeno v nešifrované podobě a je tedy po odchycení „snifferem“ snadno čitelné bez nutnosti provádět jakékoli další kroky. V modrém rámečku je pak vidět hash, který neodpovídá heslu, takže se pravděpodobně jedná o hash duhovky.

Ještě horší z hlediska bezpečnosti je fakt, že se záložní heslo objeví i v případě, kdy někdo zadá špatné přihlašovací údaje. Expert to vysvětluje tak, že flash disk nejprve odkryje své heslo, aby ho mohl porovnat s tím, které bylo právě zadáno uživatelem.

Lodge na blogu konstatuje: „Dovolte mi, abych to shrnul: toto „nehacknutelné“ zařízení odemyká zabezpečený svazek odesláním hesla v podobě čitelného textu.“ To považuje za velmi špatný přístup, který zásadně narušuje bezpečnost zařízení.

Zahodit? Ne! Stačí šifrovat

Lodge doporučuje uživatelům, kteří si bezpečný flash disk pořídili, aby svá data před uložením šifrovali. Mohou tak učinit prostřednictvím nástrojů třetích stran. Případný útočník se tak sice dostane přes zabezpečení hardwaru, ale čeká ho další překážka.

Pen Test Partners oznámili 4. dubna veškeré podrobnosti o svém zjištění výrobci eyeDisku. Ten o pět dnů později přislíbil opravu, kterou však dosud nevydal. Na žádosti zahraničních médií o vyjádření žádným způsobem nereagoval.

Diskuze (11) Další článek: První zaměstnanci Applu už začali dostávat novou kreditní kartu s nakousnutým jablkem

Témata článku: Bezpečnost, USB, Hacking, Heslo, Šifrování, Kickstarter, AES, Zařízení, Duhovka, Wireshark, Bezpečnostní expert, Flash disk, Test Partners, Disk, PEN test Partners, Expert


Určitě si přečtěte

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

Jak funguje kontroverzní program, který ženám krade plavky. Mají se čeho bát?

** Strojové učení ještě nepřitáhlo takový zájem jako na začátku prázdnin ** Ne, umělá inteligence nenašla lék na rakovinu ** Naučila se svlékat ženy nejen z plavek

Jakub Čížek | 35

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

Měření rychlosti internetu: Populární Speedtest.net neřekne o skutečné rychlosti internetu téměř nic

** Speedtest stále častěji měří jen rychlost na poslední míli ** Ta však ale neodpovídá reálnému surfování ** Jak se tedy pokusit změřit tu skutečnou?

Jakub Čížek | 85

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

USA rozdávají chudým dotované telefony s Androidem. Jsou z Číny a plné virů

** Chudí Američané mohou dosáhnout na dotovaný mobil ** Jeden takový rozdává třeba tamní Virgin Mobile ** Má to jeden háček. Je prošpikovaný malwarem

Jakub Čížek | 42

Co všechno se spouští se startem Windows a proč by vás to mělo zajímat

Co všechno se spouští se startem Windows a proč by vás to mělo zajímat

** Společně s operačním systémem se spouští řada aplikací a služeb ** Mohou mít negativní dopad na celkovou dobu startu Windows ** Jak získat kontrolu nad automaticky spouštěnými programy?

Karel Kilián | 60



Aktuální číslo časopisu Computer

Test 9 bezdrátových reproduktorů

Jak ovládnout Instagram

Test levných 27" herních monitorů

Jak se zbavit nepotřebných věcí na internetu