WIRED, Ticaret Departmanının Sanayi ve Güvenlik Bürosuna ulaştığında, bir sözcü, BIS’in belirli şirketler hakkında basına yorum yapmasının kanunen kısıtlandığını ve bir şirketin listelenmemiş yan kuruluşunun – Initio gibi – teknik olarak Varlıktan etkilenmediğini yanıtladı. Listedeki yasal kısıtlamalar. Ancak sözcü, “genel bir konu olarak, Kuruluş Listesindeki bir tarafla bağlantının ‘tehlike işareti’ olarak değerlendirilmesi gerektiğini” ekledi.
Hualan’ın Initio yongaları, bir USB parmak sürücü veya harici sabit sürücüdeki verileri şifrelemek ve şifresini çözmek için bir depolama aygıtındaki USB bağlantısı ile bellek yongaları veya manyetik sürücü arasında oturan köprü denetleyicileri olarak adlandırılan şifreli depolama aygıtlarında kullanılır. Güvenlik araştırmacılarının araştırmaları, Lenovo, Western Digital, Verbatim ve Zalman gibi depolama cihazı üreticilerinin her zaman Initio tarafından satılan şifreleme yongalarını kullandıklarını göstermiştir.
Ancak özellikle daha az bilinen üç sabit disk üreticisi de Initio yongalarını entegre ediyor ve Batılı hükümet, ordu ve istihbarat teşkilatlarını müşteri olarak listeliyor. Birleşik Krallık merkezli sabit disk üreticisi iStorage, Middlesex, web sitesinde NATO ve Birleşik Krallık Savunma Bakanlığı da dahil olmak üzere müşterilerini listeliyor. South Pasadena, California merkezli SecureDrive, ABD Ordusu ve NASA’yı müşteri olarak listeliyor. Ve ABD federal satın alma kayıtları, Poway, California merkezli Apricorn’un, Initio çiplerini kullanan şifreli depolama ürünlerini NASA’ya, Donanmaya, FAA’ya ve DEA’ya ve diğerlerine sattığını gösteriyor.
Bu sürücülerdeki Initio yongaları tarafından etkinleştirilen şifreleme özellikleri, sürücülere fiziksel olarak erişilmesi, kaybolması veya çalınması durumunda verilerini tehlikeye karşı korumak için tasarlanmıştır. Ancak kriptografi uzmanları, bu şifreleme özelliğinin güvenliğinin esasen çipin tasarımcısına güvenmeye bağlı olduğu konusunda uyarıyor. Çiplerde gizli bir güvenlik açığı veya kasıtlı bir arka kapı olsaydı, onları kullanan herhangi bir sürücüye el koyan herkesin -sürücüler genellikle “sahada” kullanılmak üzere pazarlanır- bu özelliği yenmesine izin verirdi. Kriptograflar, bu arka kapının en yakın incelemede bile tespit edilmesinin çok ama çok zor olabileceğini belirtiyor.
Initio yongalarını analiz eden Alman siber güvenlik firması Syss’te güvenlik araştırmacısı olan Matthias Deeg, “Sonuçta, tüm hassas verileriniz konusunda bu satıcıya ve bileşenlerine gerçekten güvenip güvenmemeniz bir güven meselesidir” diyor. “Bu tür mikrodenetleyiciler, benim ve bu cihazın nasıl çalıştığını anlamaya çalışan diğer tüm araştırmacılar için bir kara kutu.”
Geçen yıl Deeg, bir Initio çipi kullanan bir Verbatim güvenli USB parmak sürücüsünün ilk donanım yazılımını inceledi ve birden çok güvenlik açığı buldu: Biri, sürücülerdeki bir parmak izi okuyucuyu veya PIN’i hızla atlamasına ve ayarlanmış herhangi bir “yönetimsel” parolaya erişmesine olanak sağladı. sürücüler için, BT yöneticilerinin kullanıcıların cihazlarının şifresini çözmesine izin vermek için tasarlanmış bir ana parola özelliği. Başka bir kusur, sürücülerin şifre çözme anahtarını “kaba kuvvetle” kullanmasına ve içeriğine en fazla 36 saat içinde erişmesi için anahtarı türetmesine izin verdi.
Deeg, Initio’nun o zamandan beri bu güvenlik açıklarını düzelttiğini söylüyor. Ancak daha da rahatsız edici olan, cihazların donanım yazılımının bu analizini yapmanın ne kadar zor olduğunu söylüyor. Kodun kamuya açık bir belgesi yoktu ve Hualan, onun daha fazla bilgi taleplerine yanıt vermedi. Deeg, şeffaflık eksikliğinin, fiziksel tasarımlarında gizlice şifre çözmeye izin vermek için gizlenmiş küçük bir bileşen gibi, donanım tabanlı bir arka kapı bulmanın ne kadar zor olacağına işaret ettiğini söylüyor.