Kingston, SanDisk a Verbatim prodávají velmi podobné USB Flash disky s hardwarovým kódováním AES 256-bit, která by měla splňovat nejpřísnější bezpečnostní standardy. To je podloženo FIPS 140-2 Level 2 certifikací poskytnou americkým Národním Institutem pro Standardizaci a Technologie (NIST), který tyto disky ověřil pro používání s citlivými vládními daty. Bezpečnostní společnost SySS však nalezla velmi jednoduchý způsob, jak přistoupit ke kódovaným datům dokonce i bez vyžadovaného hesla.
Zmiňované USB flash disky kódují ukládaná dat pomocí prakticky neproniknutelného algoritmu AES 256. Takže hlavní vektor útoku je přes zadávání hesla pro de kryptování obsahu disku. Při analýze Windows programu, SySS bezpečnostní expert našel hrubou chybu, které si testeři nevšimli. Během úspěšné autorizační procedury program posílá stejné znaky disku po provedení různých kryptovacích operací - a to je případ všech těchto USB flash disků.
Přístup k diskům je tak velmi jednoduchý. SySS experti napsali malý program pro aktivní zadání hesla, který vždy zajistí, že je správný řetězec odeslán disku, nehledě na zadané heslo. Výsledkem je pak okamžitý přístup k disku. Touto chybou jsou zatížené disky jako Kingston DataTraveler BalckBox, SanDisk Cruzer Enterprise FIPS Edition a Verbatim Corporate Secure FIPS Edition.
Když byli výrobci informování o nejhorším možném scénáři, zachovali se každý jinak. Kingston začal odebírat příslušné produkty z trhu, zatímco SanDisk a Verbatim upozornili bezpečnostním buletinem na "potencionální narušení přístupu v ovládací aplikaci" a poskytl aktualizaci software. Když byli dotazování heise Security, Verbatim Europe prohlásil, že žádný z těchto disků nebyl prodáván v Evropě - a že nebude prodáván dokud chyba nebude opravena.
Skutečná otázka zůstala však nezodpovězena - jak mohli USB Flash disky obsahující tak závažnou bezpečnostní chybu získat jeden z nejvyšších bezpečnostních certifikátů pro kryptografické zařízení? A ještě jedna mnohem důležitější - jaká je hodnota certifikace, která selže při detekci takto zásadní chyby?
