Secustick-muistitikku luo väärän turvallisuuden tunteen

Tietoturva on tärkeä asia ja tärkeitä tietoja voi joutua vääriin käsiin, kun pieni muistitikku häviää. Markkinoilla onkin muistitikkuja, jotka lupaavat tietoturvaa ja suojaa muistilla oleville tärkeille tiedoille. Valitettavasti kaikki ei aina ole sitä mitä tuotetiedotteessa lukee ja markkinamiesten puheissa kuulee.

Tweakers.net -sivusto on testannut Secustick -muistitikkua, jota markkinoidaan tietoturvallisena. Sipal Internationalin Secustickin turvaominaisuus ei perustu tiedon salaukseen, vaan itsetuho-mekanismiin, jos väärä salasana annetaan riittävän monta kertaa. Yrityksen tiedotteen mukaan muistitikku on Ranskan turvallisuuspalvelun hyväksymä ja lisäksi käytössä puolustus- ja pankkimaailmassa.

Muistitikun tietoturva joutuikin heti koville, kun Tweakers.net avasi tikun kuoret, juotti pienen johtimen piirille ja sai näin rajattoman mahdollisuuden syöttää vääriä salasanoja. Seuraavaksi oli vuorossa muistitikun käyttöön tarvittavan ohjelmiston tutkiminen. Ajamalla debuggeria ja muuttamalla muistipaikan arvoja, saatiin muistitikun sisältö luettavaksi ilman oikean salasanan syöttämistä. Tikun niin sanotun tietoturvan murtamiseen ei tarvinnut käyttää edes salasanan murtamista.

Salasanan tarkastaminen ja muistitikun sisällön avaaminen suoritettiin kahdessa eri prosessissa ja kokonaan tietokoneen puolella, joka on vakava suunnitteluvirhe. Turvallisimmat muistitikut suorittavat sekä salauksen että avaamisen muistitikun piirillä. Jutun mukaan muistitikulta ei myöskään löytynyt mitään ylimääräistä laitetta (itsetuho -mekanismia), joka olisi syöttänyt muistille enemmän jännitettä kuin piiri kestäisi ja näin tuhonnut muistin käyttökelvottomaksi.

Kaikilla tietotekniikan käyttäjillä ei välttämättä ole tietoa ja taitoa murtaa edes näinkään yksinkertaista suojausmenetelmää, mutta tälläisen suojauksen kiertämiseen ei paljoa taitoa tarvita. 130 euron hintainen 1GB Secustick on tietoturvaominaisuuksiensa suhteen turhaan tuhlattua rahaa. Yrityksen mukaan markkinoille on tulossa paranneltu versio muistitikusta ja tarjolla on myös tietoturvallisempia vaihtoehtoja.

Käyttäjän näkökulmasta normaali muistitikku ja ohjelmallisesti esimerkiksi TrueCryptillä toteutettu salaus on parempi ja luotettavampi vaihtoehto.

Aiheeseen liittyvät kirjoitukset

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *