Microsoft je nedavno izdao sigurnosni savjet (ADV180028) upozorenje za korisnike samošifriranih SSD diskova koji koriste Bitlocker sustavi šifriranja.
Ovaj savjet za sigurnost uslijedio je nakon što su dvojica istraživača sigurnosti iz Nizozemske, Carlo Meijer i Bernard van Gastel, izdali nacrt rada u kojem su izložili ranjivosti koje su otkrili. Evo sažetka rezimirajući problem:
Analizirali smo hardversku enkripciju punog diska nekoliko SSD-ova reverznim inženjeringom njihovog firmware-a. U teoriji, sigurnosna jamstva koja nudi hardverska enkripcija slična su ili bolja od softverskih implementacija. U stvarnosti smo otkrili da mnoge hardverske implementacije imaju kritične sigurnosne slabosti, jer mnogi modeli omogućuju potpuni oporavak podataka bez znanja o bilo kojoj tajni.
Ako ste vidjeli članak, možete pročitati o svim različitim ranjivostima. Koncentrirat ću se na dvije glavne.
Sigurnost SSD hardverskog šifriranja
Microsoft je znao da postoji problem sa SSD-ovima. Dakle, u slučajevima samošifriranih SSD-ova, Bitlocker bi dopustio
šifriranje koriste SSD-ovi za preuzimanje. Nažalost, za Microsoft to nije riješilo problem. Više od Meijera i van Gastela:BitLocker, softver za šifriranje ugrađen u Microsoft Windows oslanjat će se isključivo na hardversku enkripciju s punim diskom ako SSD oglašava da je podržana. Stoga su za ove pogone ugroženi i podaci zaštićeni BitLockerom.
Ranjivost znači da svaki napadač koji može pročitati korisnički priručnik za SED može pristupiti glavna lozinka. Dobivanjem pristupa glavnoj lozinci, napadači mogu zaobići korisničku lozinku i pristupiti podacima.
- POVEZANO: 4 najbolja šifrirana softvera za dijeljenje datoteka za Windows 10
Ispravite ranjivosti glavne lozinke
U stvarnosti bi se činilo da je ovu ranjivost prilično lako popraviti. Prvo, korisnik može postaviti vlastitu glavnu lozinku, zamjenjujući onu koju generira dobavljač SED-a. Ova lozinka koju generiraju korisnici tada ne bi bila dostupna napadaču.
Čini se da bi druga opcija bila postaviti mogućnost glavne lozinke na 'maksimum', čime bi se glavna lozinka u potpunosti onemogućila.
Naravno, sigurnosno savjetovanje dolazi iz pretpostavke da prosječni korisnik vjeruje da bi SED bio siguran od napadača, pa zašto bi itko radio bilo koju od ovih stvari.
Korisničke lozinke i ključevi za šifriranje diska
Druga je ranjivost što ne postoji kriptografsko vezanje između korisničke lozinke i ključa za šifriranje diska (DEK) koji se koristi za šifriranje lozinke.
Drugim riječima, netko bi mogao pogledati unutar SED čipa kako bi pronašao vrijednosti DEK-a, a zatim pomoću tih vrijednosti ukrao lokalne podatke. U ovom slučaju, napadač ne bi trebao korisničku lozinku za pristup podacima.
Postoje i druge ranjivosti, ali slijedeći vodstvo gotovo svih ostalih, samo ću vam dati vezu do nacrt papira, a o svima njima možete čitati o njima.
- POVEZANO: 6 najvećih SSD tvrdih diskova za kupnju u 2018. godini
Nisu to pogođeni svim SSD diskovima
Međutim, želio bih istaknuti dvije stvari. Prvo, Meijer i van Gastel testirali su samo djelić svih SSD-ova. Istražite svoj SSD i provjerite ima li možda problema. Evo SSD-ova koje su dva istraživača testirala:
Napadačima je potreban lokalni pristup
Također imajte na umu da ovo treba lokalni pristup SSD-u jer napadači trebaju pristupiti upravljanom softveru i manipulirati njime. To znači da su vaš SSD i podaci koje posjeduje teoretski sigurni.
Rekavši to, ne mislim da se prema ovoj situaciji treba postupati olako. Zadnju ću riječ prepustiti Meijeru i van Gastelu,
Ovo [izvješće] osporava stav da je hardverska enkripcija poželjnija od softverske. Zaključujemo da se ne treba oslanjati samo na hardversku enkripciju koju nude SSD-ovi.
Doista mudre riječi.
Jeste li otkrili nenavedeni SSD koji ima isti sigurnosni problem? Javite nam u komentarima ispod.
POVEZANE OBJAVE ZA PROVJERU:
- 5 antivirusnih programa s najvećom stopom otkrivanja za uklanjanje skrivenog zlonamjernog softvera
- Šifriranje od kraja do kraja sada je dostupno korisnicima Outlook.com
- 5+ najboljih sigurnosnih softvera za kripto trgovanje kako biste osigurali novčanik
