ה”דיסק-און-קי” הזה הוגדר ”בלתי ניתן לפריצה”, ואז קרה בדיוק מה שחשבתם שיקרה

קמפיין הקיקסטארטר הבטיח שאף אחד מלבדכם לא יכול לגשת לכונן של eyeDisk, אבל חוקר אבטחה לקח את ההצהרה כזאת כאתגר, וגילה שהפריצה למכשיר פשוטה יותר מכפי שדמיין

תמונה: eyeDisk

בחודש נובמבר האחרון עלה לאוויר פרויקט מימון המונים בשם eyeDisk עם הבטחה מגניבה למדי: דיסק און קי בלתי ניתן לפריצה. אחרי שנים של שימוש בהתקני אחסון נוחים אבל פריצים, ה-eyeDisk מבטיח להגן על המידע שאתם מאחסנים בו באמצעות סריקת קשתית (Iris Scan) המקודדת ב-AES 256-bit. רק לאחר שהכונן מזהה שאתם אלו שמסתכלים עליו, הוא נפתח לשימוש, כך שגם אם תאבדו אותו או מישהו אחר יניח את ידיו עליו, הוא לא יוכל לגשת למידע שעל גביו. היוצרים שלו קראו לו ״בלתי ניתן לפריצה״ והצליחו לגייס למעלה מפי שניים מהסכום שביקשו, אבל אז חוקרי אבטחה הניחו עליו את ידיהם.

פירוק של המכשיר הוכיח שהכוח שלו נמצא בכלל בתוכנה


Pen Test Partners, חברת אבטחה בריטית המתמחה במבדקי אבטחה למוצרים ושירותים, לקחה את ה-eyeDisk כאתגר, והחליטה לראות האם באמת מדובר בבשורה של ממש. בתחילה, הכל היה נראה מבטיח וניסיונות שונים הכוללים צילום של עיני המשתמש לא הצליחו להועיל בתהליך הפריצה. לאחר שדיוויד לודג׳, חוקר בחברה, פירק את המכשיר, הוא הבין שמדובר בסופו של דבר בדיסק און קי סטנדרטי עם מצלמה, וכי כל שאר התהליך מתבצע ברמת התוכנה. אז נחשו לאן הוא פנה כדי לבדוק את הטענה שמדובר במכשיר מאובטח ב-100%?

באדום: הסיסמה של המשתמש. תמונה: Pen Test Partners

לודג׳ השתמש בתוכנת “רחרחן” (Sniff) בשם Wireshark כדי לעקוב אחרי תהליך ההזדהות אל מול המכשיר ותעבורת הנתונים הנשלחת ממנו ואליו. בצורה לא מפתיעה, גם ל-eyeDisk יש אפשרות גיבוי למקרה שבו משהו קרה לעיניים שלכם או שרכיב המצלמה כשל, והוא מאפשר לכם להזין סיסמת גיבוי שתאפשר לכם להפעיל את הכונן. לודג׳ גילה שבכל פעם שהוא הזין את סיסמת הגיבוי, או גרוע מכך, אפילו סיסמה לא נכונה, התוכנה מציגה בצורה ברורה את הסיסמה הנכונה ומשווה אותה לקלט של המשתמש, כך שכל אחד עם תוכנה דומה ופשוט יכול לראות בטקסט ברור את סיסמת הגיבוי. משמע, ברגע שמישהו עם כוונות רעות מניח את ידיו על eyeDisk, הוא יכול פשוט למצוא את סיסמת הגיבוי שלכם בקלות, ולגשת למידע שעל גביו תוך דקות ספורות.

מעכשיו גיקטיים גם בטלגרם מעכשיו גיקטיים גם בטלגרם להצטרפות לערוץ הטלגרם שלנו לחץ כאן

החוקר: תפסיקו להגיד שהמכשירים שלכם בלתי ניתנים לפריצה

כנהוג, לודג׳ דיווח על התגלית שלו לחברה המפתחת ב-4 באפריל, וקיבל מהם תגובה מיידית. ב-9 באפריל החברה אישרה כי היא עובדת על פתרון, אך ללא תאריך יעד לשחרורו. החברה לא ענתה לבקשתו של לודג׳ לדווח ללקוחות אודות הבעיה ולהפסיק את הפצת המוצר עד למציאת פתרון. לטענת לודג׳, החברה פשוט לא ענתה לו בשנית, והוא החליט לשחרר את כל פרטי הפריצה כדי להזהיר את לקוחות החברה. בינתיים, הוא ממליץ למשתמשים לא להסתמך על המכשיר ולכל הפחות להצפין את המידע שהם מעתיקים אליו. לבסוף, הוא מבקש להעביר הודעה לכל היצרנים שטוענים שהמכשירים שלהם בלתי ניתנים לפריצה, ואומר להם להפסיק לצאת בהצהרות שכאלו, כיוון שמדובר ב״חד-קרן״.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

7 תגובות על "ה”דיסק-און-קי” הזה הוגדר ”בלתי ניתן לפריצה”, ואז קרה בדיוק מה שחשבתם שיקרה"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
איליה
Guest

גאוני

רברבני
Guest

מזכיר לי כתבת תחקיר שעשו על דלת ב80,000 שמכרו אותה כ”בילתי פריצה”
הביאו פורץ מלומד שהתלונן שבאמת קשה לו- לקח לו חצי שעה…

אבי
Guest

כמו לבנות כספת עם דלת עבה מטיטניום אבל קירות מגבס. פשוט בדיחה.

יוסף
Guest

פשוט טעות של טירונים, תמיד צריך להשוות את זה לחלק מוצפן מסוים עם קוד קבוע, כך שהסיסמה נשלחת להצפנה ואז מושוות לקוד המוצפן, כמו שיש בכרטיסי אשראי.. SSL, וכאלה..

מישהו
Guest

תודה קפטן

סתם דביל
Guest

הצפנת ופענוח אחסון תמיד נעשה ע”י זה שאם המשתמש לא יודע את הסיסמא הוא פשוט יקבל זבל לא קריא ורק המשתמש עצמו יוכל להבחין שאין שום דבר קריא

הכל ניתן לפריצה
Guest
הכל ניתן לפריצה

אין כבר כזה לא ניתן לפריצה.
אפשר לפרוץ גם לפורט נוקס, השאלה כמה מאמץ משקיעים

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל