Specjaliści z firmy SySS wykryli lukę w oprogramowaniu szyfrującym dane na pendrive'ach, które otrzymały certyfikat FIPS 140 poświadczający, że są one bezpieczne i nadają się do przechowywania poufnych informacji. Tymczasem dostęp do nich można uzyskać, nie znając hasła.

Na atak podatne są urządzenia takich firm, jak Kingston, SanDisk i Verbatim. Do szyfrowania danych wykorzystują one mocny 256-bitowy algorytm AES. Niektóre modele uzyskały też certyfikat FIPS 140-2 Level 2 wydawany przez NIST (National Institute of Standards and Technology), co pozwala na używanie ich przez organy administracji rządowej w Stanach Zjednoczonych.

Błąd znaleziony przez specjalistów z firmy SySS okazał się trywialny. Niezależnie od ustawionego hasła, po udanej operacji uwierzytelniania, oprogramowanie wysyła zawsze ten sam ciąg znaków. Eksperci napisali program, który umożliwia uzyskanie dostępu do danych bez znajomości właściwego hasła.

Problem dotyczy m.in. następujących modeli:

* Kingston DataTraveler BlackBox
* SanDisk Cruzer Enterprise FIPS Edition
* Verbatim Corporate Secure FIPS Edition

Pełne wykazy podatnych urządzeń można znaleźć na stronach producentów - Kingston, SanDisk i Verbatim opublikowali już stosowne oświadczenia.

Odpowiedzi na pytanie, jakim cudem powyższe urządzenia uzyskały certyfikaty NIST, udziela konsultant ds. bezpieczeństwa Piotr Konieczny, który w serwisie Niebezpiecznik.pl pisze: Muszę was trochę rozczarować - certyfikacja FIPS 140 sprawdza tylko poprawność wykorzystania algorytmu szyfrującego. Zarządzanie kluczami jest poza obiektem zainteresowań tej certyfikacji, podobnie jak mechanizmy uwierzytelniania, w których leży błąd (na marginesie, bardziej wymagającą certyfikacją związaną z kryptografią jest Common Criteria).