
Microsoft ने हाल ही में एक सुरक्षा सलाह जारी की है (एडीवी180028) स्व-एन्क्रिप्टेड सॉलिड स्टेट ड्राइव्स (SSDs) का उपयोग करने वाले उपयोगकर्ताओं के लिए चेतावनी BitLocker एन्क्रिप्शन सिस्टम।
यह सुरक्षा सलाह नीदरलैंड के दो सुरक्षा शोधकर्ताओं कार्लो मीजर और बर्नार्ड वैन गैस्टेल द्वारा खोजी गई कमजोरियों को रेखांकित करते हुए एक मसौदा पत्र जारी करने के बाद आई है। यहाँ सार है समस्या का सारांश:
हमने कई एसएसडी के हार्डवेयर पूर्ण-डिस्क एन्क्रिप्शन का विश्लेषण उनके फर्मवेयर को रिवर्स इंजीनियरिंग द्वारा किया है। सिद्धांत रूप में, हार्डवेयर एन्क्रिप्शन द्वारा दी जाने वाली सुरक्षा गारंटी सॉफ़्टवेयर कार्यान्वयन के समान या उससे बेहतर है। वास्तव में, हमने पाया कि कई हार्डवेयर कार्यान्वयन में महत्वपूर्ण सुरक्षा कमजोरियां हैं, कई मॉडलों के लिए बिना किसी रहस्य के ज्ञान के डेटा की पूर्ण पुनर्प्राप्ति की अनुमति देता है।
यदि आपने पेपर देखा है, तो आप सभी विभिन्न कमजोरियों के बारे में पढ़ सकते हैं। मैं दो मुख्य बातों पर ध्यान दूंगा।
एसएसडी हार्डवेयर एन्क्रिप्शन सुरक्षा
Microsoft जानता था कि SSDs में कोई समस्या है। तो स्व-एन्क्रिप्टेड एसएसडी के मामलों में, बिटलॉकर अनुमति देगा
एन्क्रिप्शन SSDs द्वारा अधिग्रहण करने के लिए उपयोग किया जाता है। दुर्भाग्य से, Microsoft के लिए, इसने समस्या का समाधान नहीं किया। मीजर और वैन गैस्टेल की अन्य फ़िल्में-टीवी शो:बिटलॉकर, माइक्रोसॉफ्ट विंडोज में निर्मित एन्क्रिप्शन सॉफ्टवेयर विशेष रूप से हार्डवेयर पूर्ण-डिस्क एन्क्रिप्शन पर निर्भर करेगा यदि एसएसडी इसके लिए समर्थित विज्ञापन करता है। इस प्रकार, इन ड्राइवों के लिए, BitLocker द्वारा संरक्षित डेटा से भी समझौता किया जाता है।

भेद्यता का मतलब है कि कोई भी हमलावर जो एसईडी उपयोगकर्ता मैनुअल पढ़ सकता है, उस तक पहुंच सकता है मास्टर पासवर्ड. मास्टर पासवर्ड तक पहुंच प्राप्त करके, हमलावर उपयोगकर्ता द्वारा बनाए गए पासवर्ड को बायपास कर सकते हैं और डेटा तक पहुंच सकते हैं।
- सम्बंधित: विंडोज 10 के लिए 4 सर्वश्रेष्ठ एन्क्रिप्टेड फाइल शेयरिंग सॉफ्टवेयर
मास्टर पासवर्ड कमजोरियों को ठीक करें
वास्तव में, इस भेद्यता को ठीक करना काफी आसान प्रतीत होगा। सबसे पहले, उपयोगकर्ता अपना स्वयं का मास्टर पासवर्ड सेट कर सकता है, जो एसईडी विक्रेता द्वारा उत्पन्न एक को बदल देता है। यह उपयोगकर्ता-जनित पासवर्ड तब हमलावर के लिए सुलभ नहीं होगा।
दूसरा विकल्प मास्टर पासवर्ड क्षमता को 'अधिकतम' पर सेट करना प्रतीत होता है, इस प्रकार मास्टर पासवर्ड को पूरी तरह से अक्षम कर देता है।
बेशक, सुरक्षा सलाह इस धारणा से आती है कि औसत उपयोगकर्ता का मानना है कि एक SED हमलावरों से सुरक्षित रहेगा, इसलिए कोई भी इनमें से कोई भी काम क्यों करेगा।
उपयोगकर्ता पासवर्ड और डिस्क एन्क्रिप्शन कुंजी
एक और भेद्यता यह है कि उपयोगकर्ता पासवर्ड और पासवर्ड को एन्क्रिप्ट करने के लिए उपयोग की जाने वाली डिस्क एन्क्रिप्शन कुंजी (DEK) के बीच कोई क्रिप्टोग्राफ़िक बंधन नहीं है।
दूसरे शब्दों में, कोई व्यक्ति DEK के मूल्यों को खोजने के लिए SED चिप के अंदर देख सकता है और फिर उन मूल्यों का उपयोग स्थानीय डेटा चोरी करने के लिए कर सकता है। इस मामले में, हमलावर को डेटा तक पहुंच प्राप्त करने के लिए उपयोगकर्ता पासवर्ड की आवश्यकता नहीं होगी।
अन्य कमजोरियां हैं, लेकिन बाकी सभी के नेतृत्व का अनुसरण करते हुए, मैं आपको इसका लिंक देने जा रहा हूं प्रारूप पत्र, और आप उन सभी के बारे में वहां पढ़ सकते हैं।
- सम्बंधित: 2018 में खरीदने के लिए सबसे बड़ी SSD हार्ड ड्राइव में से 6
सभी एसएसडी प्रभावित नहीं हो सकते हैं
हालांकि, मैं दो बातें बताना चाहूंगा। सबसे पहले, Meijer और van Gastel ने केवल सभी SSD के एक अंश का परीक्षण किया। अपने एसएसडी का शोध करें और देखें कि क्या इसमें कोई समस्या हो सकती है। यहां एसएसडी हैं जिन्हें दो शोधकर्ताओं ने परीक्षण किया था:

हमलावरों को स्थानीय पहुंच की आवश्यकता है
यह भी ध्यान दें कि इसके लिए एसएसडी तक स्थानीय पहुंच की आवश्यकता होती है क्योंकि हमलावरों को फर्मवेयर तक पहुंचने और हेरफेर करने की आवश्यकता होती है। इसका मतलब है कि आपका एसएसडी और उसके पास मौजूद डेटा सैद्धांतिक रूप से सुरक्षित है।
ऐसा कहने के बाद, मेरा मतलब यह नहीं है कि इस स्थिति को हल्के में लिया जाना चाहिए। मैं आखिरी शब्द मीजेर और वैन गैस्टेल को छोड़ दूंगा,
यह [रिपोर्ट] इस दृष्टिकोण को चुनौती देता है कि सॉफ्टवेयर एन्क्रिप्शन पर हार्डवेयर एन्क्रिप्शन बेहतर है। हम यह निष्कर्ष निकालते हैं कि किसी को केवल एसएसडी द्वारा पेश किए गए हार्डवेयर एन्क्रिप्शन पर भरोसा नहीं करना चाहिए।
वास्तव में बुद्धिमान शब्द।
क्या आपने एक असूचीबद्ध SSD की खोज की है जिसमें समान सुरक्षा समस्या है? नीचे टिप्पणी करके हमें बताएं।
संबंधित पोस्ट चेक आउट करने के लिए:
- स्नीकी मैलवेयर को पकड़ने के लिए उच्चतम डिटेक्शन रेट वाले 5 एंटीवायरस
- एंड-टू-एंड एन्क्रिप्शन अब Outlook.com उपयोगकर्ताओं के लिए उपलब्ध है
- अपने वॉलेट को सुरक्षित करने के लिए क्रिप्टो-ट्रेडिंग के लिए 5+ सर्वश्रेष्ठ सुरक्षा सॉफ्टवेयर