Non Sempre i Programmi per Proteggere le Chiavette USB Proteggono le Chiavette USB

Qualche mese fa affrontai il problema di quei programmi che promettono di proteggere le cartelle con una password, mettendo in evidenza il fatto che il problema vero non è “mettere una password” ma proteggere i dati con la crittografia. I programmi che mettono al sicuro le cartelle senza altri meccanismi di cifratura sono destinati a fallire il loro scopo.

La protezione dei dati avviene tramite cifratura. Possibilmente utilizzando algoritmi affidabili e collaudati come AES. AES è un algoritmo attualmente ragionevolmente sicuro, non craccabile.
Ma se un algoritmo è sicuro, non è detto che lo sia anche l’applicazione che lo utilizza.

Negli ultimi anni la diffusione della chiavette USB ha portato anche alla diffusione di programmi per proteggerne i contenuti. Uno dei primi programmi utilizzati per cifrare dati su chiavi USB è stato Yadadisk.

Yadadisk permette di cifrare i contenuti di una cartella utilizzando un AES a 128 bit. Il procedimento è semplicissimo. Si copia Yadadisk.exe (che non necessita di installazione) nella cartella di cui si vuole cifrare il contenuto, quindi si esegue il programma stesso, inserire una password. Il programma elimina i file originali e lascia al loro posto un unico file archivio cifrato. Apparentemente impeccabile.

Faccio un esperimento. Prendo una chiavetta USB, creo una cartella apposita con all’interno Yadadisk.exe. Di seguito:

1. Creo un file di testo, “segreto.txt” e dentro ci scrivo “ciao”
2. Lo salvo e avvio YadaDisk
3. Metto la password
4. YadaDisk cifra e mi chiede se rimuovere il file originale “segreto.txt”
5. YadaDisk elimina il file originale.
6. Nella cartella non c’è più il file “segreto.txt”, al suo posto trovo yadadiskimage.yda, cifrato con AES

Come attaccarlo? L’AES lo lascio stare. Quello che mi interessa è il punto più debole. Analizzando la procedura salta all’occhio un passaggio critico: l’eliminazione del file originale ai punti 4. e 5.

Domanda: Yadadisk elimina i file originali in modo sicuro, sovrascrivendoli?
Vediamo:

1. Eseguo Undelete PLUS
2. Undelete PLUS trova nella cartella di YadaDisk un file cancellato: _EGRETO.TXT
3. Recupero il file e lo salvo in una cartella temporanea
4. Apro il file: contiene la scritta “ciao”
5. Il file recuperato  è il “fantasma” del file cifrato

La risposta alla domanda di prima è no: Yadadisk non elimina i file originali in modo sicuro sovrascrivendoli. Se avessi perso la mia chiavetta USB i dati sensibili sarebbero stati recuperabili con l’ausilio di un programma come Undelete PLUS o simili.

Il problema si risolve utilizzando un programma per l’eliminazione sicura dei file (come Eraser), evitando di far eliminare il file da Yadadisk provvedendo manualmente. Oppure non utilizzando Yadadisk. Ottima alternativa è TrueCrypt .