Ürününüzün "kırılmaz" olduğunu iddia etmek, son zamanlarda tam olarak eyeDisk USB sürücüsünün yaptığı gibi güvenlik araştırmacılarının dikkatini çekmek için garantili bir yol.
eyeDisk de böyle yaparak Kickstarter kampanyasında iris tanıma teknolojisi ve AES-256 şifrelemeye dayalı "dijital verilerinizi kilitli ve güvende tutan, yalnızca size erişim sağlayan" "kırılmaz - hack'lenemez" bir USB flash sürücü geliştirdiğini iddia etti. Şirket, USB sürücüsünün Kickstarter sayfasında bilgisayar korsanlığı denemelerini nasıl engelleyebileceği konusunda daha fazla ayrıntı sundu: "Kendi iris tanıma algoritmamızı geliştirdik, böylece saldırganlar iris modelinize sahip olsalar bile USB sürücünüze giremez. Tanımlama için kullanılan kişisel iris verileriniz, USB'niz kaybolsa bile asla alınmayacak veya kopyalanmayacaktır."
Pen Test Partners araştırmacısı David Lodge'a göreyse, eyeDisk'in "hack'lenemez" iddiası yetersiz. Zira Lodge, cihazdan kendisi için bir tane edindikten sonra oldukça hızlı bir şekilde güvenlik önlemlerini kolaylıkla atlatabildiğini belirtiyor. Lodge, cihazdaki testlerine USB sürücüsünün bir USB kamera, salt okunur bir flaş sesi ve çıkarılabilir bir medya sesi olarak göründüğü bir Windows sanal makinesine bağlayarak başladı.
Araştırmacı öncelikle dahili iris tarayıcısının cihazın kilidini açmak üzere kullanılıp kullanılamayacağını görmek için test etti ve bu özellik kabaca üç kullanımda iki kez başarılı olarak çalışma vaadini yerine getirebildi. Lodge, bunun ardından cihaz kilidini açmak için çocuğunun bir resmini (benzer bir iris taraması olan) kullanarak cihazı kandırmaya çalıştı ve cihaz bir kez daha amaçlandığı gibi veri güvenliğini sağladı.
Bununla birlikte, araştırmacı eyeDisk'in yazılım ve donanım kurulumunu incelemeye başladığında, asıl sorunun cihazın temel olarak "kamera takılı bir USB çubuğu" olmasında yattığını gördü. eyeDisk sürücüsünde depolanan cihaz içeriklerinin kilidi doğrulayıcı elemanın kontrol yazılımı ile birlikte şifreyi bir mesaj ile göndermesi sayesinde açılıyordu.
Lodge, açık kaynaklı paket analizörü Wireshark'ı cihazdan gönderilen USB paketlerini çıkarabildiğini kanıtlamak için kullandı. Araştırmacı, kısa süre içerisinde "kırılmaz" cihazın bu şifreleri açık metin olarak göndererek kilidini açtığını anladı. Bu, yalnızca eyeDisk'ten gönderilen USB trafiğini koklayarak şifreyi / hash'ı açık metinle elde etmenin mümkün olduğu anlamına geliyordu.
eyeDisk için buradaki asıl ders, "kırılmaz" terimini kullanmaktan kaçınmanın en mantıklı hareket olması. Zira aksi takdirde bu tür bir iddia, güvenlik araştırmacıları, hacker'lar ve korsanlara yeteneklerini sergilemeleri adına açık bir davetten farksız. Kısacası çok da iddialı konuşmamak, her zaman daha iyi...