Η Microsoft εξέδωσε πρόσφατα μια Συμβουλευτική Ασφάλεια (ADV180028) προειδοποίηση για τους χρήστες των αυτο-κρυπτογραφημένων μονάδων στερεάς κατάστασης (SSD) που χρησιμοποιούν Bitlocker συστήματα κρυπτογράφησης.
Αυτή η συμβουλευτική για την ασφάλεια ήρθε μετά από δύο ερευνητές ασφαλείας από τις Κάτω Χώρες, τον Carlo Meijer και τον Bernard van Gastel, που εξέδωσαν ένα προσχέδιο εγγράφου που περιγράφει τις ευπάθειες που ανακάλυψαν. Εδώ είναι η περίληψη συνοψίζοντας το πρόβλημα:
Έχουμε αναλύσει την κρυπτογράφηση πλήρους δίσκου υλικού πολλών SSDs με την αντίστροφη σχεδίαση του υλικολογισμικού τους. Θεωρητικά, οι εγγυήσεις ασφαλείας που προσφέρει η κρυπτογράφηση υλικού είναι παρόμοιες ή καλύτερες από τις εφαρμογές λογισμικού. Στην πραγματικότητα, διαπιστώσαμε ότι πολλές εφαρμογές υλικού έχουν κρίσιμες αδυναμίες ασφαλείας, για πολλά μοντέλα που επιτρέπουν την πλήρη ανάκτηση των δεδομένων χωρίς γνώση μυστικού.
Εάν έχετε δει το χαρτί, μπορείτε να διαβάσετε για όλες τις διαφορετικές ευπάθειες. Θα επικεντρωθώ στα δύο κύρια.
Ασφάλεια κρυπτογράφησης υλικού SSD
Η Microsoft γνώριζε ότι υπήρχε πρόβλημα με τα SSD. Έτσι, σε περιπτώσεις αυτοκρυπτογραφημένων SSD, το Bitlocker θα επέτρεπε το κρυπτογράφηση χρησιμοποιείται από τους SSD για να αναλάβει. Δυστυχώς, για τη Microsoft, αυτό δεν έλυσε το πρόβλημα. Περισσότερα από τους Meijer και van Gastel:
BitLocker, το λογισμικό κρυπτογράφησης που είναι ενσωματωμένο στα Microsoft Windows θα βασίζεται αποκλειστικά σε κρυπτογράφηση πλήρους δίσκου υλικού, εάν οι διαφημίσεις SSD υποστηρίζονται για αυτό. Έτσι, για αυτές τις μονάδες δίσκου, τα δεδομένα που προστατεύονται από το BitLocker διακυβεύονται επίσης.
Η ευπάθεια σημαίνει ότι οποιοσδήποτε εισβολέας μπορεί να διαβάσει το εγχειρίδιο χρήσης των SED, μπορεί να έχει πρόσβαση στο κύριος κωδικός πρόσβασης. Με την πρόσβαση στον κύριο κωδικό πρόσβασης, οι εισβολείς μπορούν να παρακάμψουν τον κωδικό πρόσβασης που δημιουργείται από τον χρήστη και να αποκτήσουν πρόσβαση στα δεδομένα.
- ΣΧΕΤΙΖΟΜΑΙ ΜΕ: 4 καλύτερα κρυπτογραφημένα λογισμικά κοινής χρήσης αρχείων για τα Windows 10
Επιδιόρθωση ευπάθειας κύριου κωδικού πρόσβασης
Στην πραγματικότητα, αυτή η ευπάθεια φαίνεται να είναι αρκετά εύκολο να διορθωθεί. Πρώτον, ο χρήστης μπορεί να ορίσει τον δικό του κύριο κωδικό πρόσβασης, αντικαθιστώντας αυτόν που δημιουργήθηκε από τον προμηθευτή SED. Αυτός ο κωδικός πρόσβασης που δημιουργείται από τον χρήστη δεν θα είναι προσβάσιμος από έναν εισβολέα.
Η άλλη επιλογή φαίνεται να είναι να ορίσετε την ικανότητα κύριου κωδικού πρόσβασης σε «μέγιστο», απενεργοποιώντας έτσι τον κύριο κωδικό πρόσβασης.
Φυσικά, η συμβουλή ασφαλείας προέρχεται από την υπόθεση ότι ο μέσος χρήστης πιστεύει ότι ένα SED θα ήταν ασφαλές από επιτιθέμενους, οπότε γιατί να κάνει κάποιος από αυτά τα πράγματα;
Κωδικοί πρόσβασης χρήστη και κλειδιά κρυπτογράφησης δίσκων
Μια άλλη ευπάθεια είναι ότι δεν υπάρχει κρυπτογραφική σύνδεση μεταξύ του κωδικού πρόσβασης χρήστη και του κλειδιού κρυπτογράφησης δίσκου (DEK) που χρησιμοποιείται για την κρυπτογράφηση του κωδικού πρόσβασης.
Με άλλα λόγια, κάποιος θα μπορούσε να κοιτάξει μέσα στο τσιπ SED για να βρει τις τιμές του DEK και στη συνέχεια να χρησιμοποιήσει αυτές τις τιμές για να κλέψει τα τοπικά δεδομένα. Σε αυτήν την περίπτωση, ο εισβολέας δεν θα απαιτούσε τον κωδικό πρόσβασης χρήστη για να αποκτήσει πρόσβαση στα δεδομένα.
Υπάρχουν και άλλες ευπάθειες, αλλά ακολουθώντας το προβάδισμα σχεδόν όλων των άλλων, θα σας δώσω τον σύνδεσμο προς το πρόχειρο χαρτίκαι μπορείτε να τα διαβάσετε όλα εκεί.
- ΣΧΕΤΙΖΟΜΑΙ ΜΕ: 6 από τους μεγαλύτερους σκληρούς δίσκους SSD για αγορά το 2018
Μπορεί να μην επηρεάζονται όλα τα SSD
Ωστόσο, θα ήθελα να επισημάνω δύο πράγματα. Πρώτον, οι Meijer και van Gastel δοκίμασαν μόνο ένα κλάσμα όλων των SSD. Κάντε την έρευνα του SSD σας και δείτε εάν μπορεί να έχει κάποιο πρόβλημα. Εδώ είναι τα SSD που δοκιμάστηκαν από τους δύο ερευνητές:
Οι επιτιθέμενοι χρειάζονται τοπική πρόσβαση
Σημειώστε επίσης ότι αυτό απαιτεί τοπική πρόσβαση στο SSD, καθώς οι εισβολείς πρέπει να έχουν πρόσβαση και να χειρίζονται το υλικολογισμικό. Αυτό σημαίνει ότι το SSD και τα δεδομένα που διαθέτει είναι, θεωρητικά, ασφαλή.
Τούτου λεχθέντος, δεν εννοώ ότι αυτή η κατάσταση πρέπει να αντιμετωπίζεται ελαφρά. Θα αφήσω την τελευταία λέξη στους Meijer και van Gastel,
Αυτή η [αναφορά] αμφισβητεί την άποψη ότι η κρυπτογράφηση υλικού είναι προτιμότερη από την κρυπτογράφηση λογισμικού. Καταλήγουμε στο συμπέρασμα ότι δεν πρέπει να βασίζεστε αποκλειστικά στην κρυπτογράφηση υλικού που προσφέρεται από SSD.
Σοφά λόγια.
Ανακαλύψατε ένα μη καταχωρημένο SSD που έχει το ίδιο πρόβλημα ασφαλείας; Ενημερώστε μας στα σχόλια παρακάτω.
ΣΧΕΤΙΚΕΣ ΘΕΣΕΙΣ ΓΙΑ ΕΞΕΤΑΣΗ:
- 5 προγράμματα προστασίας από ιούς με το υψηλότερο ποσοστό ανίχνευσης για την ύπαρξη ύπουλου κακόβουλου λογισμικού
- Η κρυπτογράφηση από άκρο σε άκρο είναι πλέον διαθέσιμη για τους χρήστες του Outlook.com
- 5+ καλύτερο λογισμικό ασφαλείας για κρυπτογράφηση για την προστασία του πορτοφολιού σας
