研究人員發(fā)現(xiàn)了廣泛使用的數(shù)據(jù)存儲設(shè)備中的安全漏洞

2019-06-06 17:05:53 編輯：來源：

導讀荷蘭Radboud大學的研究人員發(fā)現(xiàn)，廣泛使用的帶有自加密驅(qū)動器的數(shù)據(jù)存儲設(shè)備無法提供預期的數(shù)據(jù)保護水平。直接物理訪問廣泛銷售的存儲設(shè)備

荷蘭Radboud大學的研究人員發(fā)現(xiàn)，廣泛使用的帶有自加密驅(qū)動器的數(shù)據(jù)存儲設(shè)備無法提供預期的數(shù)據(jù)保護水平。直接物理訪問廣泛銷售的存儲設(shè)備的惡意專家可以繞過現(xiàn)有的保護機制并在不知道用戶選擇的密碼的情況下訪問數(shù)據(jù)。

這些缺陷存在于兩種主要制造商(即三星和Crucial)的幾種固態(tài)硬盤(下面列出)的加密機制中。這些漏洞發(fā)生在內(nèi)部存儲設(shè)備(筆記本電腦，平板電腦和計算機)和外部存儲設(shè)備(通過USB電纜連接)中。受影響的存儲設(shè)備包括目前廣泛使用的流行模型。

研究員Bernard van Gastel：“受影響的制造商在六個月前得到通知，符合常見的專業(yè)實踐。結(jié)果正在公布，以便受影響的SSD的用戶能夠正確保護他們的數(shù)據(jù)。” 研究員Carlo Meijer：“這個問題需要采取行動，特別是那些在這些設(shè)備上存儲敏感數(shù)據(jù)的組織。還有一些消費者已經(jīng)啟用了這些數(shù)據(jù)保護機制。但大多數(shù)消費者還沒有這樣做。”

如果需要保護敏感數(shù)據(jù)，則在任何情況下都建議使用軟件加密，而不是僅依靠硬件加密。一種選擇是使用免費和開源的VeraCrypt軟件包，但其他解決方案確實存在。在運行Windows的計算機上，BitLocker提供軟件加密，數(shù)據(jù)可能不安全(請參閱下面的“Windows計算機”)。

加密是主要的數(shù)據(jù)保護機制。它可以在軟件或硬件中實現(xiàn)(例如在SSD中)?，F(xiàn)代操作系統(tǒng)通常為整個存儲提供軟件加密。然而，可能發(fā)生這樣的操作系統(tǒng)決定僅依賴于硬件加密(如果存儲設(shè)備支持硬件加密)。BitLocker是Microsoft Windows內(nèi)置的加密軟件，可以使這種切換到硬件加密，但在這些情況下，受影響的磁盤無法提供有效的保護。如果不執(zhí)行此切換，其他操作系統(tǒng)(如macOS，iOS，Android和Linux)內(nèi)置的軟件加密似乎不受影響。

研究人員利用公共信息和大約100歐元的評估設(shè)備確定了這些安全問題。他們通過常規(guī)零售渠道購買了他們檢查的SSD。從頭開始發(fā)現(xiàn)這些問題非常困難。但是，一旦知道問題的性質(zhì)，就有可能被其他人自動利用這些漏洞，使濫用變得更容易。Radboud大學的研究人員不會發(fā)布這樣的開發(fā)工具。

受影響的產(chǎn)品

在實踐中實際證明了漏洞的模型是：

Crucial(美光)MX100，MX200和MX300內(nèi)置硬盤;

三星T3和T5 USB外置磁盤;

三星840 EVO和850 EVO內(nèi)置硬盤。

然而，應(yīng)該注意的是，并非所有市場上可用的磁盤都經(jīng)過測試。使用內(nèi)部驅(qū)動器的特定技術(shù)設(shè)置(與“高”和“最大”安全性相關(guān))可能會影響漏洞(請參閱下面的制造商和技術(shù)信息鏈接提供的詳細信息)。

Windows計算機

在運行Windows的計算機上，名為BitLocker的軟件組件處理計算機數(shù)據(jù)的加密。在Windows中，BitLocker使用的加密類型(即硬件加密或軟件加密)是通過組策略設(shè)置的。如果可用，則使用標準硬件加密。對于受影響的型號，必須更改默認設(shè)置，以便僅使用軟件加密。此更改不會立即解決問題，因為它不會重新加密現(xiàn)有數(shù)據(jù)。只有全新的安裝(包括重新格式化內(nèi)部驅(qū)動器)才會強制執(zhí)行軟件加密。作為替代重新安裝，上述VeraCrypt 軟件可以使用包。

負責任的披露

兩家制造商于2018年4月被荷蘭國家網(wǎng)絡(luò)安全中心(NCSC)通知了這一安全問題。該大學向兩家制造商提供了詳細信息，使他們能夠修復他們的產(chǎn)品。制造商將自己向客戶提供有關(guān)受影響模型的詳細信息; 鏈接如下。

在發(fā)現(xiàn)安全漏洞時，如何處理這些信息總是存在兩難境地。立即公布細節(jié)可能會助長攻擊并造成傷害。長期保守缺陷可能意味著不采取必要措施來應(yīng)對漏洞，而人員和組織仍處于危險之中。安全社區(qū)的常見做法是嘗試在這些問題之間取得平衡，并在受影響產(chǎn)品的制造商被告知后長達180天后揭示缺陷。這種做法被稱為負責任的披露，被Radboud大學用作標準。

研究人員現(xiàn)在即將在學術(shù)文獻中公布其研究結(jié)果的科學方面。一個這些調(diào)查結(jié)果(PDF，757 KB)的初稿將于今日2018年十一月公布，5一旦同行評審過程已經(jīng)完成，最終版本將刊登在學術(shù)文獻。本出版物不能作為如何打入SSD的指南。

標簽：安全漏洞