Produsenter av lagringsenheter skryter ofte av sikkerheten til de maskinvarebaserte krypteringsløsningene til produktene, men nå viser det seg at disse slettes ikke er så sikre som antatt. Det melder blant andre TechCrunch.
Nederlandske sikkerhetsforskere ved Radboud University har nylig publisert et forskningsarbeid hvor de demonstrerer at selvkrypteringen til en rekke populære SSD-er og harddisker kan omgås av hackere og gi tilgang til krypterte data.
Samsung og Micron
Blant modellene som er rammet av sårbarhetene er de populære Samsung-harddiskene 840 EVO og 850 EVO, samt de eksterne SSD-ene Samsung T3 og T5. I tillegg er Micron-modellene MX100, MX200 og MX300 rammet.
Dette er modellene som ifølge forskerne faktisk er testet og bekreftet å ha sårbarhetene, men langt flere lagringsenheter på markedet som ikke er testet kan også være rammet.
Sårbarhetene ble avdekket ved å analysere den maskinvarebaserte krypteringen til lagringsenhetene gjennom omvendt konstruksjon (reverse engineering) av fastvaren.
Forskerne fant blant annet ut at det var mulig å modifisere fastvaren for å manipulere rutinen for verifisering av passord på en slik måte at man kan få tilgang til dataene med et hvilket som helst passord.
Omgår signaturer
Forskerne analyserte også oppstartsprosessen til enhetene. De oppdaget blant annet at man kan få lagringsenhetene til å akseptere modifisert fastvare gjennom å manipulere en av fasene i oppstartsprosessen for å omgå den kryptografiske signaturverifikasjonen. Dette kan igjen utnyttes til å kjøre usignert kode på enhetene.
Konklusjonen til forskerne er at den maskinvarebaserte krypteringen alene, i motsetning til hva mange tror, ikke nødvendigvis er sikrere enn programvarebaserte løsninger. Man bør derfor ikke basere seg utelukkende på den maskinvarebaserte kryperteringen.
Ifølge forskerne er både Samsung og Micron blitt gjort oppmerksomme på saken, og produsentene skal visstnok selv komme med detaljer til kundene om berørte modeller.
Flere tekniske detaljer kan du finne i selve forskningdokumentet.