Memorias USB certificadas según FIPS 140-2 Nivel 2 vulneradas

Hola,

A mediados de semana pudimos comprobar como determinados pen drives con mecanismos de cifrado resultaban ser vulnerables. El problema afecta a numerosas unidades de los conocidos fabricantes SanDisk, Kingston y Verbatim.

De este incidente se pueden sacar al menos tres conclusiones principales:

  • AES-256 sigue siendo un método de cifrado prácticamente irrompible. El problema no es AES, sino cómo estos fabricantes han implementado los mecanismos de autenticación necesarios para articular las operaciones criptográficas. Todo se basa en que ante un evento de autenticación correcta, independientemente de la clave de cifrado, se envía siempre la misma cadena de texto al dispositivo, con lo que los especialistas, con gran tenacidad, han desarrollado un programa que envía dicha cadena con independencia de la corrección de la clave, lo que el dispositivo entiende como una autenticación correcta, permitiendo por ende el acceso a los datos en claro.
  • Tal y como dice Schneier, la segunda conclusión es valorar cómo pueden obtener una certificación de tan alto nivel unos dispositivos con un problema de diseño (y a la postre de seguridad) tan elemental y comprometedor. ¿Sirve realmente de algo certificar un producto según FIPS 140-2? ¿Se trata sólo un caso aislado?
  • La tercera conclusión es que es mejor tener una llave USB cuyo cifrado puede ser eventualmente vulnerado que tener una llave USB, un disco externo, un portátil, un móvil, una PDA o cualquier otro elemento susceptible de pérdida o robo sin cifrar. En el primer caso podemos contactar con el fabricante y tratar de resolver el problema reemplazando las unidades vulnerables. En los demás, sólo nos quedará rezar por que el autor del robo o aquel que se encuentre el dispositivo no ponga en una red P2P, en Megaupload o en las manos de una mafia nuestros datos. Hoy en día, todo aquel que no cifre un dispositivo móvil susceptible de pérdida o robo que contenga datos sensibles, sea del tipo que sea, comete una gravísima negligencia que como mínimo debería hacerle reconsiderar si entiende o no lo que significa seguridad de la información.

Para aquellos que tengáis llaves USB con soporte de cifrado de estos fabricantes, se consideran vulnerables los siguientes modelos:

SanDisk:

* Cruzer® Enterprise USB flash drive, CZ22 – 1GB, 2GB, 4GB, 8GB
* Cruzer® Enterprise FIPS Edition USB flash drive, CZ32 – 1GB, 2GB, 4GB, 8GB
* Cruzer® Enterprise with McAfee USB flash drive, CZ38 – 1GB, 2GB, 4GB, 8GB
* Cruzer® Enterprise FIPS Edition with McAfee USB flash drive, CZ46 – 1GB, 2GB, 4GB, 8GB

Kingston:

* DataTraveler BlackBox (DTBB)
* DataTraveler Secure – Privacy Edition (DTSP)
* DataTraveler Elite – Privacy Edition (DTEP)

Verbatim:

* Verbatim Corporate Secure USB Flash Drive 1GB, 2GB, 4GB, 8GB
* Verbatim Corporate Secure FIPS Edition USB Flash Drives 1GB, 2GB, 4GB, 8GB

Un saludo,

Ataques sobre conexiones inalámbricas WPA/TKIP

Buenas,

El viernes me pasó el amigo Alberto un enlace en el que se venía a contar que se había conseguido romper el cifrado WPA. Desde el viernes, se han sucedido las noticias en las que se habla del asunto, ampliando la información inicialmente publicada.

wifi

Wi-Fi Protected Access (WPA) es un modo de protección de redes inalámbricas que surgió para mejorar la seguridad del mecanismo WEP, el cual ha sido repetidamente doblegado.

Lo más relevante es que, a día de hoy, WPA no ha sido roto. Este tipo de titulares son incorrectos a todas luces e inducen a una confusión que ni necesitamos, ni que hace honor a la verdad. Lo que ha pasado es que unos investigadores han logrado encontrar un vector de ataque efectivo para conexiones inalámbricas WPA apoyadas en protección criptográfica TKIP, pero WPA sigue siendo seguro, eso sí, cuando se apoya en criptografía robusta.

Se pueden encontrar detalles en el paper Practical attacks against WEP and WPA, elaborado por integrantes del aircrack-ng. También en este artículo de Arstechnica Battered, but not broken: understanding the WPA crack. También merece una lectura el blog de Raúl Siles, que explica en su artículo WPA/TKIP ChopChop Attack todos los detalles relacionados con este tipo de ataque.

Es importante destacar que este ataque es el tercer paso en una carrera constante por doblegar WPA en todos sus modos de operación. Primero fueron los ataques de diccionario, y luego los intentos de ataque en implementaciones Radius. Ahora aparece este tercer modo, que invita a pensar que la carrera por la seguridad inalámbrica WPA/WPA2 no ha hecho más que comenzar, y que es de prever que este tipo de ataques se siga produciendo en el futuro, siendo cada vez más refinados.

Yo coincido con Siles: para mí el problema no es WPA, sino en que se apoye en TKIP. TKIP apareció para paliar las deficiencias de WEP, concretamente, la reutilización de claves, y trajo bazo el brazo controles de integridad de mensajes (MIC) para ser más robusto. También se pensó para poder reutilizar el hardware existente, sin provocar reemplazos masivos. En ningún caso TKIP apareció para perdurar, sino para servir de transición hacia métodos más seguros.

Salvo que alguien indique lo contrario, apoyar WPA en AES es, en la actualidad, la solución más efectiva para prevenir ataques. Y si nos vamos a WPA2, mejor que mejor. Mi recomendación personal es migrar de inmediato.

Un saludo,