Microsoft gir sikkerhetsrådgivning om SSD-maskinvarekryptering

Microsoft utstedte nylig en sikkerhetsrådgivning (ADV180028) advarsel for brukere av selvkrypterte solid state-stasjoner (SSD-er) som bruker Bitlocker krypteringssystemer.

Denne sikkerhetsrådgivningen kom etter at to sikkerhetsforskere fra Nederland, Carlo Meijer og Bernard van Gastel, utga et utkast til papir som skisserte sårbarheter de oppdaget. Her er det abstrakte oppsummerer problemet:

Vi har analysert maskinvarens full-disk-kryptering av flere SSD-er ved å reverse engineering av firmware. I teorien er sikkerhetsgarantiene som tilbys av maskinvarekryptering lik eller bedre enn programvareimplementeringer. I virkeligheten fant vi ut at mange maskinvareimplementeringer har kritiske sikkerhetssvakheter, for mange modeller som gir fullstendig gjenoppretting av dataene uten kjennskap til noen hemmelighet.

Hvis du har sett papiret, kan du lese om alle de forskjellige sårbarhetene. Jeg vil konsentrere meg om de to viktigste.

SSD Hardware Encryption Security

Microsoft visste at det var et problem med SSD-er. Så i tilfeller av selvkrypterte SSD-er, ville Bitlocker tillate

kryptering brukt av SSD-ene til å ta over. Dessverre løste dette ikke problemet for Microsoft. Mer fra Meijer og van Gastel:

BitLocker, krypteringsprogramvaren innebygd i Microsoft Windows vil utelukkende stole på maskinvarekryptering hvis harddisken reklamerer for det. For disse stasjonene er data som er beskyttet av BitLocker også kompromittert.

Sårbarheten betyr at enhver angriper som kan lese SEDs brukerhåndbok, kan få tilgang til hovedpassord. Ved å få tilgang til hovedpassordet kan angripere omgå det brukergenererte passordet og få tilgang til dataene.

• I SLEKT: 4 beste krypterte fildelingsprogramvare for Windows 10

Løs sikkerhetsproblemer med hovedpassord

I virkeligheten synes denne sårbarheten å være ganske enkel å fikse. For det første kan brukeren angi sitt eget hovedpassord, og erstatte det som genereres av SED-leverandøren. Dette brukergenererte passordet vil da ikke være tilgjengelig for en angriper.

Det andre alternativet ser ut til å være å sette hovedpassordkapasiteten til 'maksimum', og dermed deaktivere hovedpassordet helt.

Selvfølgelig kommer sikkerhetsrådgivningen fra antagelsen om at den gjennomsnittlige brukeren tror at en SED ville være trygg mot angripere, så hvorfor skulle noen gjøre noen av disse tingene.

Brukerpassord og platekrypteringstaster

En annen sårbarhet er at det ikke er kryptografisk binding mellom brukerpassordet og platekrypteringsnøkkelen (DEK) som brukes til å kryptere passordet.

Med andre ord, noen kan se inne i SED-brikken for å finne verdiene til DEK og deretter bruke disse verdiene til å stjele lokale data. I dette tilfellet vil angriperen ikke kreve brukerpassordet for å få tilgang til dataene.

Det er andre sårbarheter, men etter ledelsen til stort sett alle andre, vil jeg bare gi deg lenken til kladdepapir, og du kan lese om dem alle der.

• I SLEKT: 6 av de største SSD-harddiskene å kjøpe i 2018

Ikke alle SSD-er kan påvirkes

Imidlertid vil jeg påpeke to ting. For det første testet Meijer og van Gastel bare en brøkdel av alle SSD-er. Gjør undersøkelsen av SSD-en din og se om den kan ha et problem. Her er SSD-ene de to forskerne testet:

Angripere trenger lokal tilgang

Vær også oppmerksom på at dette trenger lokal tilgang til SSD ettersom angripere trenger tilgang til og manipulerer fastvaren. Dette betyr at SSD-en din og dataene den har er, teoretisk, trygg.

Når det er sagt, mener jeg ikke at denne situasjonen skal behandles lett. Jeg vil overlate det siste ordet til Meijer og van Gastel,

Denne [rapporten] utfordrer synet på at maskinvarekryptering er å foretrekke fremfor programvarekryptering. Vi konkluderer med at man ikke bare bør stole på maskinvarekryptering som tilbys av SSD-er.

Kloke ord.

Har du oppdaget en unotert SSD som har samme sikkerhetsproblem? Gi oss beskjed i kommentarene nedenfor.

RELATERTE POSTER FOR Å KONTROLLERE:

• 5 antivirusprogrammer med høyest gjenkjenningshastighet for å snike malware
• End-to-end-kryptering er nå tilgjengelig for brukere av Outlook.com
• 5+ beste sikkerhetsprogramvare for kryptohandel for å sikre lommeboken din