Bezpečnost | Šifrování | Heslo

Údajně „nehacknutelný“ šifrovaný flash disk eyeDisk se podařilo hacknout

  • Dalo se čekat, že „nehacknutelný“ flash disk přitáhne pozornost
  • Nepřekvapilo, že se ho bezpečnostním expertům povedlo hacknout
  • Značným překvapením byl ale přenos hesla v čitelné podobě

Je celkem pochopitelné, že pokud je něco deklarováno jako „nehacknutelné“, přitáhne to pozornost bezpečnostních expertů. Řada z nich považuje takové označení za výzvu, kterou je nutné pokořit. To je i příběh „nehacknutelného“ flash disku eyeDisk, do kterého během loňské kampaně na KickStarteru investovalo bezmála 250 zájemců.

Výrobce sliboval, že se uživatelé nemusí obávat o data uložená na eyeDisku, neboť jsou chráněna 256bitovým šifrováním AES a k ověření je používán sken oční duhovky. Firma se přitom chlubila vlastním algoritmem pro rozpoznávání oka.

Výrobce tak získal více než 21 tisíc dolarů (asi 480 tisíc korun), které použil k rozjetí výroby. V březnu tohoto roku byly první kousky dodány zákazníkům, což otevřelo dveře k pokusům o prolomení. Úspěch nakonec slavila britská bezpečnostní firma Pen Test Partners, konkrétně její zaměstnanec David Lodge. S dosaženým úspěchem se pochlubila na svém blogu.

„Nehacknutelný“? Ale kde že!

Lodge flashdisk rozebral a pojal podezření, že řídící čip je příliš „hloupý“ na to, aby zvládl to, co zařízení slibuje. Na základě inspekce útrob došel k závěru, že se v podstatě jedná o běžný flash disk s připojeným rozbočovačem a fotoaparátem. To znamenalo, že tajemství bude ukryto v softwaru, na který se následně zaměřil.

Software byl však napsán ve Visual C++, který není snadné dekompilovat. Expert na to šel tedy z jiné strany – byl přesvědčen, že v určitém okamžiku po přihlášení musí zařízení předat nějaký příkaz k odemknutí zabezpečeného svazku. Použil tedy nástroj Wireshark s podporou USBPcap, který umí zachytávat pakety v USB komunikaci.

Klepněte pro větší obrázek 
V probíhající komunikaci objevil záložní heslo

Tímto způsobem v probíhající komunikaci objevil záložní heslo, které má sloužit pro přístup k datům v případě selhání zařízení nebo nefunkčnosti technologie skenování duhovky.  Heslo „SecretPass“, které Lodge nastavil jako záložní, lze vidět na snímku obrazovky označené červeným rámečkem.

Heslo v čitelné podobě

Heslo je přenášeno v nešifrované podobě a je tedy po odchycení „snifferem“ snadno čitelné bez nutnosti provádět jakékoli další kroky. V modrém rámečku je pak vidět hash, který neodpovídá heslu, takže se pravděpodobně jedná o hash duhovky.

Ještě horší z hlediska bezpečnosti je fakt, že se záložní heslo objeví i v případě, kdy někdo zadá špatné přihlašovací údaje. Expert to vysvětluje tak, že flash disk nejprve odkryje své heslo, aby ho mohl porovnat s tím, které bylo právě zadáno uživatelem.

Lodge na blogu konstatuje: „Dovolte mi, abych to shrnul: toto „nehacknutelné“ zařízení odemyká zabezpečený svazek odesláním hesla v podobě čitelného textu.“ To považuje za velmi špatný přístup, který zásadně narušuje bezpečnost zařízení.

Zahodit? Ne! Stačí šifrovat

Lodge doporučuje uživatelům, kteří si bezpečný flash disk pořídili, aby svá data před uložením šifrovali. Mohou tak učinit prostřednictvím nástrojů třetích stran. Případný útočník se tak sice dostane přes zabezpečení hardwaru, ale čeká ho další překážka.

Pen Test Partners oznámili 4. dubna veškeré podrobnosti o svém zjištění výrobci eyeDisku. Ten o pět dnů později přislíbil opravu, kterou však dosud nevydal. Na žádosti zahraničních médií o vyjádření žádným způsobem nereagoval.

Diskuze (11) Další článek: První zaměstnanci Applu už začali dostávat novou kreditní kartu s nakousnutým jablkem

Témata článku: Bezpečnost, Hacking, Šifrování, USB, Heslo, Kickstarter, Bezpečnostní expert, Test Partners, AES, Flash disk, Wireshark, Expert, PEN test Partners, Zařízení, Duhovka, Disk


Určitě si přečtěte

Velká datová loupež. Proč mají disky nižší kapacitu, než uvádějí?

Velká datová loupež. Proč mají disky nižší kapacitu, než uvádějí?

** Na disk nikdy neuložíte tolik dat, jak tvrdí výrobce ** Ajťáci si vymysleli vlastní jednotky jako mebibajt ** Zmatky vznikají i kvůli různým výjimkám

Lukáš Václavík | 110

Co přijde po Netflixu a Amazonu? Tohle jsou streamovací služby, na které v Česku čekáme

Co přijde po Netflixu a Amazonu? Tohle jsou streamovací služby, na které v Česku čekáme

** Rozhodujete se mezi Netflixem a HBO Go? Věřte, bude hůř ** Na trhu je mnohem víc ambicióznějších streamovacích služeb ** Některé by mohly do ČR zamířit ještě letos

Lukáš Václavík | 45

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

Nejlepší programy z roku 2000: Podívejte se, bez čeho jste tehdy vůbec nemohli fungovat!

** Dnes už skoro všechno uděláte ve webovém prohlížeči a na mobilu ** Před dvaceti lety to ale bylo jiné ** Zavzpomínejte na legendy, které jste pravděpodobně také používali

Jakub Čížek | 126

Apple vychrlil novinky: Nové operační systémy a příprava na vlastní procesory

Apple vychrlil novinky: Nové operační systémy a příprava na vlastní procesory

** Apple dnes představuje novinky ** Tradiční keynote v rámci konference WWDC probíhá jen online ** Nové operační systémy, ale i něco navíc

David Polesný | 109

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

Čím nahradit Total Commander: 11 správců souborů nejen pro profíky

** Total Commander je fernomén mezi správci souborů ** Našli jsme 11 povedených alternativ ** Zvládnou to samé a ke všemu jsou většinou zadarmo

Karel Kilián | 87


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11