Versleutelde data op Verbatim ssd-schijf via beveiligingslek te achterhalen
Onderzoekers hebben in een draagbare ssd-schijf van Verbatim verschillende kwetsbaarheden ontdekt, waardoor het mogelijk is voor een aanvaller om versleutelde data op het apparaat te achterhalen. Voor twee van de vier gevonden beveiligingslekken heeft Verbatim in juli een update uitgebracht. In het beveiligingsbulletin staan deze kwetsbaarheden echter niet specifiek vermeld.
De Verbatim Store 'n' Go Secure Portable SSD is een draagbare usb-schijf met hardwarematige AES 256-bit encryptie en een ingebouwde keypad voor het invoeren van een passcode. Bij twintig mislukte inlogpogingen zou de ssd-schijf moeten worden vergrendeld en geformatteerd. De beveiligingsmaatregel blijkt echter niet naar behoren te werken. Na twintig mislukte inlogpogingen wordt de schijf namelijk niet gewist. Daardoor kan een aanvaller meer inlogpogingen doen (CVE-2022-28386) dan bedoeld.
Verder vond onderzoeker Matthias Deeg van het Duitse securitybedrijf SySS dat de ssd-schijf door een "onveilig ontwerp" kwetsbaar is voor een offline bruteforce-aanval, waardoor het mogelijk is om ongeautoriseerde toegang tot de versleutelde data te krijgen (CVE-2022-28384). Dit impact van dit lek is als 'high' bestempeld en door Verbatim verholpen.
Daarnaast kan een aanvaller met fysieke toegang tot de ssd-schijf malafide firmware uploaden waardoor er altijd een AES-key van de aanvaller wordt gebruikt voor het versleutelen van de data. Deze kwetsbaarheid is voor "interdiction" te misbruiken, waarbij een apparaat onderweg naar de beoogde gebruiker door bijvoorbeeld een inlichtingendienst wordt onderschept en aangepast. Voor dit probleem (CVE-2022-28383) kwam Verbatim niet met een oplossing.
Verder maakte Verbatim gebruik van een onveilige AES-mode voor de versleuteling. Daardoor zou een aanvaller, door het observeren van bepaalde patronen, informatie aan de hand van de versleutelde data kunnen achterhalen. Voor deze kwetsbaarheid (CVE-2022-28386) is Verbatim wel met een update gekomen.
Bij een model dat niet met een pin maar met een vingerafdruk werkt moet een tweede programma gedraaid worden om de pincode en vingerafdruk opnieuw in te stellen. Dat staat op de net geïnitialiseerde schijf en initialiseert hem opnieuw. Hoewel de update-handleiding alleen een beschrijving voor Windows bevat blijkt de ISO-file die in de upgrade zit ook een MacOS-versie te bevatten.
Dat laatste laat zien dat Verbatim inderdaad, zoals het op de productpagina's beweert, Windows en Mac ondersteunt. Voor update-tool zelf zie ik echter alleen een versie voor Windows staan.
Dit alles wekt bij mij de indruk dat Verbatim niet erg grondig te werk gaat. Men heeft zich duidelijk onvoldoende in cryptografie en aanvalsvectoren verdiept bij het ontwikkelen van deze ssd's, gezien de fouten die erin zitten. Het ontbreken van een update-tool voor Mac doet vermoeden dat ze niet al bij het lanceren van deze producten rekening hielden met de mogelijkheid dat dit soort updates nodig zouden zijn, dan hadden ze de code ervoor namelijk al van te voren kunnen ontwikkelen. Daar moet dan nog de nieuwe firmware-image aan toe worden gevoegd en worden gezorgd dat de juiste waarschuwingen worden getoond - in dit geval dat de update de inhoud van de schijf vernietigt en dat een backup maken noodzakelijk is (die waarschuwing wordt door de Windows-versie getoond). Maar alles eromheen kan je makkelijk al klaar hebben staan als je vooraf bedenkt dat je het geheid een keer nodig gaat hebben en dat je dan opeens haast hebt. Dan was de Mac-versie van de update-tool er nu ook geweest.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
