A Microsoft emitiu recentemente um Aviso de Segurança (ADV180028) aviso para usuários de unidades de estado sólido autocriptografadas (SSDs) usando Bitlocker sistemas de criptografia.
Este comunicado de segurança veio depois que dois pesquisadores de segurança da Holanda, Carlo Meijer e Bernard van Gastel, publicaram um rascunho de documento descrevendo as vulnerabilidades que descobriram. Aqui está o resumo resumindo o problema:
Analisamos a criptografia de disco completo de hardware de vários SSDs por meio da engenharia reversa de seu firmware. Em teoria, as garantias de segurança oferecidas pela criptografia de hardware são semelhantes ou melhores do que as implementações de software. Na realidade, descobrimos que muitas implementações de hardware têm falhas críticas de segurança, para muitos modelos, permitindo a recuperação completa dos dados sem conhecimento de nenhum segredo.
Se você leu o jornal, pode ler sobre todas as diferentes vulnerabilidades. Vou me concentrar nos dois principais.
Segurança de criptografia de hardware SSD
A Microsoft sabia que havia um problema com SSDs. Portanto, em casos de SSDs autocriptografados, o Bitlocker permitiria o criptografia usado pelos SSDs para assumir o controle. Infelizmente, para a Microsoft, isso não resolveu o problema. Mais de Meijer e van Gastel:
BitLocker, o software de criptografia integrado ao Microsoft Windows, dependerá exclusivamente da criptografia de disco completo de hardware se o SSD anunciar suporte para ela. Portanto, para essas unidades, os dados protegidos pelo BitLocker também estão comprometidos.
A vulnerabilidade significa que qualquer invasor que possa ler o manual do usuário SEDs pode acessar o senha mestra. Ao obter acesso à senha mestre, os invasores podem ignorar a senha gerada pelo usuário e acessar os dados.
- RELACIONADO: 4 melhores softwares de compartilhamento de arquivos criptografados para Windows 10
Corrigir vulnerabilidades de senha mestra
Na realidade, essa vulnerabilidade parece ser muito fácil de corrigir. Em primeiro lugar, o usuário pode definir sua própria senha mestra, substituindo a gerada pelo fornecedor SED. Essa senha gerada pelo usuário não estaria acessível a um invasor.
A outra opção parece ser definir a capacidade da senha mestra para 'máximo', desativando a senha mestra por completo.
Obviamente, o aviso de segurança parte do pressuposto de que o usuário médio acredita que um SED estaria protegido contra invasores, então por que alguém faria qualquer uma dessas coisas.
Senhas de usuário e chaves de criptografia de disco
Outra vulnerabilidade é que não há ligação criptográfica entre a senha do usuário e a chave de criptografia de disco (DEK) usada para criptografar a senha.
Em outras palavras, alguém poderia olhar dentro do chip SED para encontrar os valores da DEK e então usar esses valores para roubar os dados locais. Nesse caso, o invasor não exigiria a senha do usuário para obter acesso aos dados.
Existem outras vulnerabilidades, mas seguindo o exemplo de quase todo mundo, vou apenas fornecer o link para o projecto de documento, e você pode ler sobre todos eles lá.
- RELACIONADO: 6 dos maiores discos rígidos SSD para comprar em 2018
Nem todos os SSDs podem ser afetados
No entanto, gostaria de destacar duas coisas. Em primeiro lugar, Meijer e van Gastel testaram apenas uma fração de todos os SSDs. Faça uma pesquisa em seu SSD e veja se ele pode ter algum problema. Aqui estão os SSDs que os dois pesquisadores testaram:
Os invasores precisam de acesso local
Observe também que isso precisa de acesso local ao SSD, pois os invasores precisam acessar e manipular o firmware. Isso significa que seu SSD e os dados que ele contém são, teoricamente, seguros.
Dito isso, não quero dizer que esta situação deva ser tratada levianamente. Vou deixar a última palavra para Meijer e van Gastel,
Este [relatório] desafia a visão de que a criptografia de hardware é preferível à criptografia de software. Concluímos que não se deve confiar apenas na criptografia de hardware oferecida por SSDs.
Palavras sábias, de fato.
Você descobriu um SSD não listado que tem o mesmo problema de segurança? Deixe-nos saber nos comentários abaixo.
POSTS RELACIONADOS PARA VERIFICAR:
- 5 antivírus com a maior taxa de detecção para detectar malware sorrateiro
- A criptografia de ponta a ponta agora está disponível para usuários do Outlook.com
- 5+ melhor software de segurança para criptografia para proteger sua carteira