Datordrošība Ierīces Tehnoloģijas

Populāriem Crucial un Samsung SSD diskiem atklātas ievainojamības datu šifros

Pētnieki no Radboudas Universitātes Nīderlandē, atklājuši nopietnas ievainojamības vairākos populāros cietvielu diskos (SSD). Izmantojot šīs ievainojamības, iespējams piekļūt šifrētiem ierīces datiem, neievadot paroli.

Izmantojot reverso inženieriju, pētniekiem izdevās atrast un strukturēt drošības caurumus vairāku SSD modeļu aparātprogrammatūrā. Vienā no gadījumiem galvenā parole, kas tiek izmantota, lai šifrētu datus, bija tukša virkne. To varēja apiet ierīces atmiņā, nomainot viena bita vērtību no 1 uz 0. Kādu citu disku varēja uzlauzt, izmantojot jebkādu paroli, ja pirms tam tika sabojātas validācijas pārbaudes.

No pašlaik pārbaudītajām ierīcē, ievainojamības ir atklātas Crucial MX100, MX200 un MX300 modeļos, Samsung T3 un T5 ŪSB ārējos cietajos diskos, kā arī Samsung 840 EVO un 850 EVO iekšējos diskos. Pētnieki gan neizslēdz, ka līdzīgas kļūdas varētu būt arī vairākās citās ierīcēs, jo visas nav iespējams pārbaudīt.

Šādas ievainojamības nebūtu pasaules gals, ja bez aparatūras līmeņa šifrēšanas tiktu izmantota arī kāda programmatūra. Bet, kā atklāj pētnieki, tad Windows sistēmās arī ar to var aizšaut garām. Piemēram, BitLocker programmatūrās bāzētai diska šifrēšanai noklusētie iestatījumi bieži vien ir akli uzticēties diskam. Līdz ar to, ja diska aparatūras līmeņa šifrēšana ir kompromitēta, tad BitLocker būs pilnīgi bezjēdzīgs.

Pētījuma autori asi kritizē ražotāju slēgtā koda kriptogrāfiju. Bieži vien ir pierādījies, ka tā ir nedrošāka par atvērtā koda variantiem, kurus var pārbaudīt un nepieciešamības gadījumā uzlabot jebkurš eksperts. Tāpat viņi iesaka izmanto kādu atvērtā koda programmatūru disku šifrēšanai, piemēram, VeraCrypt. Tas piešķir datiem papildus drošības līmeni un aparatūras šifra kļūdu gadījumā pasargā datus no uzbrucējiem.

Avots

Līdzīgi raksti

Atbildēt