Microsoft nesen izdeva drošības konsultāciju (ADV180028) brīdinājums paššifrētu cietvielu disku (SSD) lietotājiem, izmantojot Bitlocker šifrēšanas sistēmas.
Šī drošības konsultācija notika pēc tam, kad divi drošības pētnieki no Nīderlandes - Karlo Meijers un Bernards van Gastels - izdeva dokumenta projektu, kurā izklāstītas viņu atklātās vājās vietas. Šeit ir abstrakts apkopojot problēmu:
Mēs esam analizējuši vairāku SSD aparatūras pilna diska šifrēšanu, pārveidojot to programmaparatūru. Teorētiski aparatūras šifrēšanas piedāvātās drošības garantijas ir līdzīgas vai labākas par programmatūras ieviešanu. Patiesībā mēs atklājām, ka daudzām aparatūras ieviešanām ir kritiski drošības trūkumi, daudziem modeļiem ļauj pilnībā atgūt datus, nezinot par noslēpumu.
Ja esat redzējis šo dokumentu, varat izlasīt par visām atšķirīgajām ievainojamībām. Es koncentrēšos uz diviem galvenajiem.
SSD aparatūras šifrēšanas drošība
Korporācija Microsoft zināja, ka ar SSD ir problēma. Tātad paššifrētu SSD gadījumos Bitlocker ļautu
šifrēšana ko SSD izmanto pārņemšanai. Diemžēl Microsoft tas problēmu neatrisināja. Vairāk no Meijera un van Gastela:BitLocker, šifrēšanas programmatūra, kas iebūvēta Microsoft Windows, paļausies tikai uz aparatūras pilna diska šifrēšanu, ja SSD reklamē to atbalstītu. Tādējādi šiem diskiem tiek apdraudēti arī dati, kurus aizsargā BitLocker.
Neaizsargātība nozīmē, ka jebkurš uzbrucējs, kurš var izlasīt SED lietotāja rokasgrāmatu, var piekļūt galvenā parole. Iegūstot piekļuvi galvenajai parolei, uzbrucēji var apiet lietotāja izveidoto paroli un piekļūt datiem.
- SAISTĪTĀS: 4 labākā šifrētā failu koplietošanas programmatūra operētājsistēmai Windows 10
Novērst galveno paroles ievainojamību
Patiesībā šķiet, ka šo ievainojamību ir diezgan viegli novērst. Pirmkārt, lietotājs var pats iestatīt galveno paroli, aizstājot SED pārdevēja ģenerēto paroli. Šī lietotāja ģenerētā parole tad nebūtu pieejama uzbrucējam.
Šķiet, ka otra iespēja ir iestatīt galveno paroles iespēju uz “maksimāli”, tādējādi pilnībā atspējot galveno paroli.
Protams, drošības konsultācijas nāk no pieņēmuma, ka vidusmēra lietotājs uzskata, ka SED būtu pasargāts no uzbrucējiem, kāpēc gan kāds darītu kādu no šīm lietām.
Lietotāju paroles un disku šifrēšanas atslēgas
Vēl viena ievainojamība ir tā, ka starp lietotāja paroli un paroles šifrēšanai izmantoto diska šifrēšanas atslēgu (DEK) nav kriptogrāfijas saistīšanas.
Citiem vārdiem sakot, kāds varētu ielūkoties SED mikroshēmā, lai atrastu DEK vērtības, un pēc tam izmantot šīs vērtības, lai nozagtu vietējos datus. Šajā gadījumā uzbrucējam nav nepieciešama lietotāja parole, lai piekļūtu datiem.
Ir arī citas ievainojamības, taču, sekojot gandrīz visu citu vadībai, es jums došu tikai saiti uz papīra melnraksts, un jūs varat lasīt par viņiem visiem.
- SAISTĪTĀS: 6 no lielākajiem SSD cietajiem diskiem, ko iegādāties 2018. gadā
Ne visi SSD var tikt ietekmēti
Tomēr es gribētu norādīt uz divām lietām. Pirmkārt, Meijers un van Gastels pārbaudīja tikai daļu no visiem SSD diskiem. Veiciet sava SSD izpēti un pārbaudiet, vai tam var būt problēmas. Šeit ir SSD, kurus abi pētnieki pārbaudīja:
Uzbrucējiem nepieciešama vietēja piekļuve
Ņemiet vērā arī to, ka tam nepieciešama vietēja piekļuve SSD, jo uzbrucējiem ir jāpiekļūst programmaparatūrai un ar to jārīkojas. Tas nozīmē, ka jūsu SSD un tajā glabātie dati teorētiski ir droši.
To sakot, es nedomāju, ka pret šo situāciju vajadzētu izturēties vieglprātīgi. Es atstāšu pēdējo vārdu Meijeram un van Gastelam,
Šis [ziņojums] apstrīd viedokli, ka aparatūras šifrēšana ir vēlama, nevis programmatūras šifrēšana. Mēs secinām, ka nevajadzētu paļauties tikai uz aparatūras šifrēšanu, ko piedāvā SSD.
Gudri vārdi patiešām.
Vai esat atklājis neiekļautu SSD, kuram ir tāda pati drošības problēma? Informējiet mūs zemāk esošajos komentāros.
SAISTĪTIE PĀRBAUDES POSTI:
- 5 antivīruss ar visaugstāko atklāšanas ātrumu, lai piesaistītu sneaky ļaunprātīgu programmatūru
- Tagad Outlook.com lietotājiem ir pieejama pilnīga šifrēšana
- 5+ labākā drošības programmatūra kriptogrāfijas tirdzniecībai, lai aizsargātu jūsu maku
