Przykład WD pokazuje, że nie możemy polegać na dyskach samoszyfrujących

Przykład WD pokazuje, że nie możemy polegać na dyskach samoszyfrujących21.10.2015 11:49
Redakcja

Niektórzy producenci zapewniają nas, że ich urządzenia są bezpieczne i mogą ochronić nasze dane. Takie zapewnienia dotyczą w teorii przenośnych dysków Western Digital z serii My Passport, a także My Book, które oferują szyfrowanie zgromadzonych na nich informacji. W praktyce jest znacznie gorzej, analiza ich działania pokazała, że poleganie na mechanizmach producentów nie jest zbyt rozsądnym podejściem.

Wspomnianym nośnikom postanowiło przyjrzeć się kilku specjalistów zajmujących się bezpieczeństwem komputerowym. Sama oferta jest nad wyraz kusząca: kupując napędy typu SED (self encrypting devices), użytkownik nie musi samodzielnie zabezpieczać danych, wszystkim zajmuje się kontroler dysku i w efekcie konieczne jest jedynie ustawienie własnego hasła. Sprzętowe wsparcie dla AES wygląda na ulotkach bardzo dobrze, niestety jak się okazuje, implementacja jest zrealizowana w fatalny sposób i jeżeli ktoś będzie chciał zdobyć nasze dane, zrobi to bez sięgania po miliardowe budżety i całe klastry obliczeniowe.

Analiza wykazała szereg uchybień, naukowcy stworzyli także kilka metod ataku, które umożliwiają odzyskanie teoretycznie zabezpieczonych danych. Podstawowe zastrzeżenie dotyczy generatora liczb losowych wykorzystywanego przy tworzeniu klucza szyfrującego dane (oznaczanego jako klucz DEK). Wykorzystano w nim czas zbliżony do tego, w jakim dysk został wyprodukowany – biorąc pod uwagę to, że informacje takie znajdziemy na plakietce umieszczonej na nośniku, atak staje się bardzo łatwy do wykonania. Jeżeli zdecydujemy się na wykorzystanie komendy erase, wymazanie zawartości dysku i zresetowanie DEK, kontroler wykorzysta aktualny czas z komputera, do którego jest podłączony: teoretycznie dane losowe mają 32 bajty, w praktyce jednak wartość czasu jest powtarzana, co daje już tylko 32 bity. W tym przypadku możliwe jest już łatwe wykonanie ataku siłowego.

Standardowa konfiguracja dysków WD My Passport
Standardowa konfiguracja dysków WD My Passport

Oprócz tego wykorzystywane są dane z kontrolera, ale i tutaj rozwiązanie pozostawia wiele do życzenia: umożliwia on wygenerowanie jedynie 255 unikatowych 4-bajtowych wartości, a to stanowczo za mało, aby w ogóle mówić o losowości. Kolejny problem to swoisty „backdoor” zaszyty w niektóych dyskach – możliwość odczytania klucza szyfrującego nawet bez znajomości hasła ustawionego przez użytkownika. Badania wykazały także, że w sytuacji, gdy użytkownik zmieni domyślne hasło tylko raz po zakupie, to klucz służący do szyfrowania danych i tak będzie zabezpieczony tym domyślnym ustawionym przez producenta. W tym przypadku nie ma więc mowy o bezpieczeństwie, bo dane mogą uzyskać nie tylko różne instytucje, ale także znacznie mniej zasobni w fundusze atakujący.

Do samych dysków można przyczepić się także pod innym względem: oprogramowanie dostarczane przez WD jest kompatybilne z Windows i OS X, niestety użytkownicy Linuksa muszą korzystać z narzędzi stworzonych przez zewnętrznych deweloperów. W przypadku osób, które nawet nie potrzebują szyfrowania, istnieje dodatkowy problem. W razie awarii elektroniki dysku jej wymiana nic nam nie da. Dane zapisane na talerzach są zaszyfrowane, a informacje niezbędne do ich uzyskania są dostępne w kontrolerze. Pod tym względem tego typu napędy mogą przynieść użytkownikowi więcej kłopotów, aniżeli pożytku wynikającego z szyfrowania, tym bardziej że jak dowiedli naukowcy, jego implementacja nie zapewnia w tym przypadku bezpieczeństwa.

Oczywiście WD nie jest osamotnione w tworzeniu napędów typu SED. Na rynku SSD znajdziemy coraz więcej urządzeń, które pozwalają na wykorzystanie sprzętowego szyfrowania: dane i tak są zabezpieczone, od nas zależy, czy zdecydujemy się na zabezpieczenie klucza. Niestety i w tym przypadku implementacje wyglądają różnie i nie każda firma dostarcza szczegółowych, klarownych informacji dotyczących procesu szyfrowania. Zalety płynące ze stosowania takiego mechanizmu są natomiast nad wyraz kuszące: możemy chronić dane, a zarazem uniknąć spadku wydajności, który towarzyszy wykorzystaniu metod programowych.

W tej sytuacji korzystanie z SED stoi pod znakiem zapytania i można je przyrównać do bezpieczeństwa zapewnianego przez BitLockera: teoretycznie wszystko gra, w praktyce może być (choć wcale nie musi) jednak zupełnie inaczej. Pewne jest, że nie powinniśmy polegać na rozwiązaniach producentów. Zamiast tego skorzystajmy z otwartych i pewnych aplikacjach, które na dodatek pozwolą nam korzystać z zabezpieczonych danych niezależnie od używanego systemu operacyjnego. Koronnym przykładem jest tutaj aplikacja VeraCrypt, którą znajdziecie w bazie naszego serwisu.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na