Przejdź na

Przykład WD pokazuje, że nie możemy polegać na dyskach samoszyfrujących

Niektórzy producenci zapewniają nas, że ich urządzenia są bezpieczne i mogą ochronić nasze dane. Takie zapewnienia dotyczą w teorii przenośnych dysków Western Digital z serii My Passport, a także My Book, które oferują szyfrowanie zgromadzonych na nich informacji. W praktyce jest znacznie gorzej, analiza ich działania pokazała, że poleganie na mechanizmach producentów nie jest zbyt rozsądnym podejściem.

Obraz
Redakcja

Wspomnianym nośnikom postanowiło przyjrzeć się kilku specjalistów zajmujących się bezpieczeństwem komputerowym. Sama oferta jest nad wyraz kusząca: kupując napędy typu SED (self encrypting devices), użytkownik nie musi samodzielnie zabezpieczać danych, wszystkim zajmuje się kontroler dysku i w efekcie konieczne jest jedynie ustawienie własnego hasła. Sprzętowe wsparcie dla AES wygląda na ulotkach bardzo dobrze, niestety jak się okazuje, implementacja jest zrealizowana w fatalny sposób i jeżeli ktoś będzie chciał zdobyć nasze dane, zrobi to bez sięgania po miliardowe budżety i całe klastry obliczeniowe.

Analiza wykazała szereg uchybień, naukowcy stworzyli także kilka metod ataku, które umożliwiają odzyskanie teoretycznie zabezpieczonych danych. Podstawowe zastrzeżenie dotyczy generatora liczb losowych wykorzystywanego przy tworzeniu klucza szyfrującego dane (oznaczanego jako klucz DEK). Wykorzystano w nim czas zbliżony do tego, w jakim dysk został wyprodukowany – biorąc pod uwagę to, że informacje takie znajdziemy na plakietce umieszczonej na nośniku, atak staje się bardzo łatwy do wykonania. Jeżeli zdecydujemy się na wykorzystanie komendy erase, wymazanie zawartości dysku i zresetowanie DEK, kontroler wykorzysta aktualny czas z komputera, do którego jest podłączony: teoretycznie dane losowe mają 32 bajty, w praktyce jednak wartość czasu jest powtarzana, co daje już tylko 32 bity. W tym przypadku możliwe jest już łatwe wykonanie ataku siłowego.

Standardowa konfiguracja dysków WD My Passport
Standardowa konfiguracja dysków WD My Passport

Oprócz tego wykorzystywane są dane z kontrolera, ale i tutaj rozwiązanie pozostawia wiele do życzenia: umożliwia on wygenerowanie jedynie 255 unikatowych 4-bajtowych wartości, a to stanowczo za mało, aby w ogóle mówić o losowości. Kolejny problem to swoisty „backdoor” zaszyty w niektóych dyskach – możliwość odczytania klucza szyfrującego nawet bez znajomości hasła ustawionego przez użytkownika. Badania wykazały także, że w sytuacji, gdy użytkownik zmieni domyślne hasło tylko raz po zakupie, to klucz służący do szyfrowania danych i tak będzie zabezpieczony tym domyślnym ustawionym przez producenta. W tym przypadku nie ma więc mowy o bezpieczeństwie, bo dane mogą uzyskać nie tylko różne instytucje, ale także znacznie mniej zasobni w fundusze atakujący.

Do samych dysków można przyczepić się także pod innym względem: oprogramowanie dostarczane przez WD jest kompatybilne z Windows i OS X, niestety użytkownicy Linuksa muszą korzystać z narzędzi stworzonych przez zewnętrznych deweloperów. W przypadku osób, które nawet nie potrzebują szyfrowania, istnieje dodatkowy problem. W razie awarii elektroniki dysku jej wymiana nic nam nie da. Dane zapisane na talerzach są zaszyfrowane, a informacje niezbędne do ich uzyskania są dostępne w kontrolerze. Pod tym względem tego typu napędy mogą przynieść użytkownikowi więcej kłopotów, aniżeli pożytku wynikającego z szyfrowania, tym bardziej że jak dowiedli naukowcy, jego implementacja nie zapewnia w tym przypadku bezpieczeństwa.

Oczywiście WD nie jest osamotnione w tworzeniu napędów typu SED. Na rynku SSD znajdziemy coraz więcej urządzeń, które pozwalają na wykorzystanie sprzętowego szyfrowania: dane i tak są zabezpieczone, od nas zależy, czy zdecydujemy się na zabezpieczenie klucza. Niestety i w tym przypadku implementacje wyglądają różnie i nie każda firma dostarcza szczegółowych, klarownych informacji dotyczących procesu szyfrowania. Zalety płynące ze stosowania takiego mechanizmu są natomiast nad wyraz kuszące: możemy chronić dane, a zarazem uniknąć spadku wydajności, który towarzyszy wykorzystaniu metod programowych.

W tej sytuacji korzystanie z SED stoi pod znakiem zapytania i można je przyrównać do bezpieczeństwa zapewnianego przez BitLockera: teoretycznie wszystko gra, w praktyce może być (choć wcale nie musi) jednak zupełnie inaczej. Pewne jest, że nie powinniśmy polegać na rozwiązaniach producentów. Zamiast tego skorzystajmy z otwartych i pewnych aplikacjach, które na dodatek pozwolą nam korzystać z zabezpieczonych danych niezależnie od używanego systemu operacyjnego. Koronnym przykładem jest tutaj aplikacja VeraCrypt, którą znajdziecie w bazie naszego serwisu.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Możesz stracić fanpage. Wyjątkowo autentyczny atak
Fałszywy SMS. Oszuści podszywają się pod ZUS
Fałszywy SMS. Oszuści podszywają się pod ZUS
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
Żabka stworzy kartę płatniczą. Wybrała dużego partnera
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
PKO Bank Polski wydał komunikat. Uważaj, kto dzwoni
Nowości w mObywatelu. Dodano trzy funkcje
Nowości w mObywatelu. Dodano trzy funkcje
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Ważny komunikat Alior Banku. Dotyczy wszystkich klientów
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Uznański-Wiśniewski: To AI wybiera, co warto przesłać z orbity
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Czarna lista w telefonie. Jak zablokować niechciane połączenia?
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Nowość w Zdjęciach Google. Wygodniejsza edycja fotografii
Atak hakerski na Booking. Zdobyli dane klientów
Atak hakerski na Booking. Zdobyli dane klientów
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF
Zaktualizuj Windowsa: wydano kwietniowe poprawki
Zaktualizuj Windowsa: wydano kwietniowe poprawki
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀