Het lek geeft aanvallers toegang tot versleutelde gegevens op een usb-stick door de wachtwoordsoftware op de computer waar de stick in zit te omzeilen. Dat is mogelijk door een fout in de AES 256-bits encryptie in de software, schrijft Computerworld. "Het is een stomme encryptiefout en ze hebben een blunder begaan. Ze moeten zich hiervoor doodschamen", aldus beveiligingsexpert Bruce Schneier.

Het probleem doet zich voor met de Cruzer Enterprise-serie van SanDisk en Verbatims Corporate Secure en Corporate Secure FIPS Edition. Beide bedrijven hebben patches gepubliceerd. Volgens SanDisk en Verbatim geldt het beveiligingsprobleem alleen voor de applicatie die op de computer draait, niet voor de usb-drive en zijn firmware zelf. Kingston riep vorige week zijn usb-flashdrives van het type DataTraveler terug vanwege het euvel.

Gecertificeerd

De drie fabrikanten stellen dat hun usb-drives waren gecertificeerd door de Federal Information Processing Standard (FIPS) 140-2. Dat is een Amerikaanse overheidsstandaard voor apparaten met encryptie. "Deze certificaties gaan meer over marketing dan over echte beveiliging", vindt Schneier echter.

Het beveiligingslek werd ontdekt door het Duitse bedrijf SySS, dat een aanval bedacht waarbij de software die op de host-pc draait zo werd aangepast dat elk ingevoerd wachtwoord werd goedgekeurd. Het bedrijf publiceerde eind december twee papers over het probleem.

Het National Institute of Standards and Technology (NIST), die over de FIPS-certificatie gaat, onderzoekt de kwestie. NIST stelt tegenover Computerworld dat de certificatie slechts gaat over de cryptografische module. "Het lijkt er echter op dat de software die decryptie toestaat de bron is van de kwetsbaarheid. Desalniettemin onderzoeken we of er veranderingen in het certificatieproces nodig zijn vanwege deze kwestie."