Šifrirana vsebina diskov v resnici ni… šifrirana

Raziskovalci nizozemske univerze Radboud so odkrili, da je kar nekaj proizvajalcev pogonov SSD, ki omogočajo strojno šifriranje vsebine, slednje implementiralo zelo površno.

Razbrali so strojno programsko opremo (firmware) več pogonov SSD (skupno predstavljajo približno 50% danes SSDjev, ki so danes v prodaji) in ugotovili, da je hekerjem mogoče razbrati vsebino na pogonih brez vpisa kakršnegakoli gesla ali šifrirnega ključa. Navajajo, da so vsebino na enem disku odklenili kar s »katerim koli geslom«, ker sistem preverjanja sploh ni deloval, na nekem drugem pa tako, da so vpisali prazno geslo, torej je bilo treba pritisniti le tipko Enter.

V poročilu so kot take ne varne pogone SSD eksplicitno navedli Crucial (Micron) MX100, MX200, MX300, zunanje USB diske Samsung T3 in T5 ter Samsung 840 EVO in 850 EVO.

Zgodba pa še ni končana – nadaljuje se z Microsoftom in njihovim diskovnim šifriranjem Bitlocker, ki je del sistema Windows (tudi Windows Server). Ko se uporabnik (ali sistemski administrator v podjetju) odloči disk šifrirati z Bitclockerjem, slednji namreč preveri, ali ima na voljo SSD z možnostjo strojnega šifriranja in ga samodejno uporabi. Šifriranje z Bitlockrrjem v tem primeru avtomatsko postane »šifriranje s pogonom SSD«, ki pa je, kot smo že zapisali – zanič.

Microsoft je v tej smeri že izdal varnostno opozorilo, ki priporoča, da s pomočjo Windows Group Policy izberemo programsko šifriranje Bitlocker. V resnici je pravilni postopek bolj zapleten, saj bo treba disk najprej odšifirati, spremeniti Group Policy na programsko šifriranje in ga nato ponovno zašifrirati.

Nizozemski raziskovalci so proizvajalce SSDjev o napaki opozorili že pred nekaj meseci, v tem času pa je zanje na voljo tudi nadgradnja strojne programske opreme, »kjer je bilo to mogoče«, dodajajo. Sploh pa priporočajo, da namesto na proizvajalca zaklenjenih izdelkov, kot je Bitlocker, raje uporabljamo od zunaj preverjene odprtokodne izdelke, kot je denimo VeraCrypt.