Плохое аппаратное шифрование в SSD-накопителях скомпрометировало работу Microsoft BitLocker

Проблема безопасности иногда может иметь эффект каскада. Это доказали нидерландские исследователи, обнаружившие уязвимость в шифровании некоторых моделей твердотельных накопителей Samsung и Crucial (Micron), которая позволяла получить доступ к данным без пароля.

Но, как оказалось, SSD-шифрование по умолчанию использует встроенный в Windows 10 инструмент BitLocker.

Другими словами, если вы владеете одним из этих проблемных накопителей, Bitlocker становится бесполезным, и злоумышленники могут легко получить доступ к вашим файлам.

Среди моделей накопителей с обнаруженной уязвимостью оказались Crucial MX100, MX200 и MX300, Samsung 840 EVO, 850 EVO, а также портативные T3 и T5.

Для начала исследователи обратились к прошивке устройств и нашли то, что они назвали «шаблоном критических проблем».

Один из дисков можно было разблокировать практически любым паролем, в другом использовалась пустая строка в качестве пароля.

Получилось так, что одна проблема привела к обнаружению ещё более серьёзной проблемы – BitLocker, который предлагает дополнительную безопасность, обеспечивая защиту файлов в Windows 10, полностью полагается на встроенное в SSD аппаратное шифрование, а не на своё.

Самое интересное, что Microsoft должна была знать об этом, ведь слухи о слабом шифровании в SSD-накопителях циркулируют уже в течение нескольких лет.

Нидерландские специалисты призвали производителей твердотельных накопителей использовать проприетарные системы шифрования с открытым исходным кодом, например, VeraCrypt.

Кроме того, современные процессоры запрограммированы для декодирования стандартного шифрования AES-NI, поэтому встроенные в SSD решения практически не имеют преимущества, когда речь идёт о скорости.

Оба производителя уже выпустили исправления, устраняющие указанные уязвимости.

При этом Samsung рекомендует пользователям устанавливать стороннее программное обеспечение для шифрования и не полагаться на SSD или BitLocker.

Источник: ITC.ua

Нашли ошибку, пожалуйста, выделите фрагмент и нажмите Ctrl+Enter.

Читайте также

Вверх

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: