Usb-minnen utgör ett praktiskt media för portabel datahantering. De är enkla att använda och smidiga i sitt fysiska format. Samtidigt utgör dessa egenskaper också en potentiell säkerhetsrisk när enheterna hanteras i offentliga miljöer.
Ett exempel på detta är incidenten i Norrköping förra året, där en tonårspojken hittade ett usb-minne på en karusell. Enhetens innehåll avslöjade att minnet tillhörde kommunens socialförvaltning. Alla känsliga uppgifter på enheten var lagrade i klartext utan någon kryptering.
Den typen av händelse hade kunnat förbyggas genom användning av kallade säkra usb-minnen som krypterar sitt innehåll. Dessa typer av usb-minnen bygger i allmänhet på standarden FIPS 140-2, som garanterar att en viss säkerhet finns inbyggd, till exempel kryptering, ett svåröppnat ytterhölje och försvarsmekanismer som raderar innehållet vid angrepp. Standarden säger dock ingenting om hur säkerheten implementeras utan endast att vissa säkerhetskomponenter finns med.
Bristande implementation
Det tyska it-säkerhetsföretaget Syss Gmbh upptäckte december 2009 att vissa FIPS-certifierade usb-minnen var sårbara för ett relativt enkelt angrepp som helt kringgick krypteringsskyddet från flera tillverkare. Veriferingsprocessen för lösenord och autentisering lagrades i datorerna på ett sätt som visade sig gå att läsa av steg för steg. Via detta var det möjligt att manipulera kommunikationen mellan minnet och den klientmjukvara som hanterade lösenorden för att komma åt innehållet. De berörda produkterna från Verbatim, Sandisk och Kingston har sedan dess uppdaterats för att täppa till luckorna.
Frågan kvarstod dock gällande huruvida samtliga aktörer i branschen tagit till sig lärdomen från detta. Dessvärre är svaret inte ett självklart nej. Samma it-säkerhetsföretag följde nämligen upp säkerheten med nya penetrationstester. Resultatet från en rapport den 11 februari 2011 visar att åtminstone en tillverkare, Trek Technology, lyckats skapa svagheter i implementeringen av skyddet för sin Thumbdrive Crypto.
När den medföljande mjukvaran securelogin.exe startas upp för att hantera åtkomst till innehållet i Thumbdrive Crypto kopieras konfigurationsdata inklusive lösenord, till den dator som enheten är ansluten till. En avläsning av kopieringsprocessen visade att endast delar av informationen krypterades. Resten var i klartext. Dessutom var den krypteringen svag till skillnad från den 256-bitars aes-kryptering som skyddade själva lagringsdelen av minnet, uppger Syss.
Syss knäcker minnet i en proof-of-concept. Bildkälla: Syss Gmbh
It-säkerhetsföretaget utvecklade därför en mjukvara i demonstrationssyfte som plockade fram lösenordet med ett enda musklick. Trek Technology har sedan dess åtgärdat bristen.
Även om krypteringen i allmänhet kan betraktas som säker kan det vara värt att notera att standarder som FIPS 140-2 i sig inte garanterar en säker implementation (utan endast att vissa komponenter ingår) Risken finns att tekniskt kunniga angripare kan hitta nya svaga punkter i länken mellan dator och usb-minne som öppnar för attacker.
Betydande är också säkerhetspraxis för hur dessa minnen hanteras av rent fysiskt. En produkt som är jämförbar med en cigaretttändare i storlek kan lätt tappas bort utan att det märks. Grundtipset är därför att komplettera säkerheten med en konsekvensanalys av de risker som finns med att lagra känsliga data i dessa typer av media.