Spoločnosť Microsoft nedávno vydala bezpečnostné odporúčanie (ADV180028) varovanie pre používateľov samošifrovaných diskov SSD (SSD) pomocou Bitlocker šifrovacie systémy.
Toto bezpečnostné poradenstvo prišlo po tom, čo dvaja holandskí bezpečnostní výskumníci, Carlo Meijer a Bernard van Gastel, vydali návrh dokumentu, v ktorom popísali zraniteľné miesta, ktoré odhalili. Tu je abstrakt zhrnutie problému:
Analyzovali sme hardvérové šifrovanie celého disku niekoľkých diskov SSD reverzným inžinierstvom ich firmvéru. Teoreticky sú bezpečnostné záruky poskytované hardvérovým šifrovaním podobné alebo lepšie ako implementácie softvéru. V skutočnosti sme zistili, že veľa hardvérových implementácií má kritické bezpečnostné slabiny, pretože mnohé modely umožňujú úplné zotavenie údajov bez znalosti tajomstva.
Ak ste príspevok videli, môžete si prečítať o všetkých rôznych zraniteľnostiach. Sústredím sa na dve hlavné.
Zabezpečenie hardvérového šifrovania SSD
Microsoft vedel, že nastal problém s SSD. Takže v prípade samošifrovaných SSD by Bitlocker umožnil
šifrovanie ktoré používajú disky SSD na prevzatie. Pre spoločnosť Microsoft to, bohužiaľ, problém nevyriešilo. Viac od Meijera a van Gastela:BitLocker, šifrovací softvér zabudovaný do systému Microsoft Windows, sa bude spoliehať výlučne na hardvérové šifrovanie celého disku, ak ho podporuje podpora SSD. Preto sú u týchto diskov ohrozené aj údaje chránené nástrojom BitLocker.
Zraniteľnosť znamená, že každý útočník, ktorý si môže prečítať používateľskú príručku k serveru SED, má prístup do servera hlavné heslo. Získaním prístupu k hlavnému heslu môžu útočníci obísť heslo vygenerované používateľom a získať prístup k údajom.
- SÚVISIACE: 4 najlepší šifrovaný softvér na zdieľanie súborov pre Windows 10
Oprava zraniteľnosti hlavného hesla
V skutočnosti by sa táto zraniteľnosť javila ako celkom ľahko opraviteľná. Po prvé, užívateľ môže nastaviť svoje vlastné hlavné heslo, ktoré nahradí heslo vygenerované dodávateľom SED. Toto heslo vygenerované používateľom by potom nebolo prístupné útočníkovi.
Zdá sa, že ďalšou možnosťou je nastaviť funkciu hlavného hesla na „maximum“, čím sa hlavné heslo úplne deaktivuje.
Bezpečnostné upozornenie samozrejme vychádza z predpokladu, že priemerný používateľ sa domnieva, že SED by bol pred útočníkmi bezpečný, tak prečo by ktokoľvek robil niektorú z týchto vecí.
Heslá používateľov a kľúče na šifrovanie disku
Ďalšou chybou zabezpečenia je, že medzi heslom používateľa a šifrovacím kľúčom disku (DEK) použitým na šifrovanie hesla neexistuje kryptografická väzba.
Inými slovami, niekto by sa mohol pozrieť do čipu SED, aby našiel hodnoty DEK, a potom tieto hodnoty použiť na ukradnutie miestnych údajov. V takom prípade by útočník na získanie prístupu k údajom nevyžadoval heslo používateľa.
Existujú aj ďalšie chyby zabezpečenia, ale po vedení skoro všetkých ostatných vám iba poskytnem odkaz na server návrhový papier, a môžete si o nich prečítať všetky.
- SÚVISIACE: 6 z najväčších pevných diskov SSD, ktoré sa dajú kúpiť v roku 2018
Nie všetky disky SSD môžu byť ovplyvnené
Chcel by som však poukázať na dve veci. Najskôr Meijer a van Gastel testovali iba zlomok všetkých SSD. Urobte si prieskum na vašom SSD a zistite, či nemá problém. Tu sú disky SSD, ktoré dvaja výskumníci testovali:
Útočníci potrebujú miestny prístup
Upozorňujeme tiež, že to vyžaduje miestny prístup k jednotke SSD, pretože útočníci musia mať prístup k firmvéru a manipulovať s ním. To znamená, že váš disk SSD a dáta, ktoré obsahuje, sú teoreticky bezpečné.
To však neznamená, že by sa s touto situáciou malo zaobchádzať ľahkovážne. Posledné slovo nechám na Meijera a van Gastela,
Táto [správa] spochybňuje názor, že hardvérové šifrovanie je lepšie ako šifrovanie softvérové. Dospeli sme k záveru, že by sme sa nemali spoliehať iba na hardvérové šifrovanie poskytované jednotkami SSD.
Skutočne múdre slová.
Objavili ste neuvedený SSD disk, ktorý má rovnaký bezpečnostný problém? Dajte nám vedieť v komentároch nižšie.
SÚVISIACE PRÍSPEVKY NA KONTROLU:
- 5 antivírusov s najvyššou mierou detekcie, vďaka ktorým získate záludný malware
- Pre používateľov služby Outlook.com je teraz k dispozícii komplexné šifrovanie
- 5+ najlepších bezpečnostných softvérov na obchodovanie s kryptami na zabezpečenie vašej peňaženky