2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
荷蘭Radboud大學(xué)的研究人員發(fā)現(xiàn),廣泛使用的帶有自加密驅(qū)動(dòng)器的數(shù)據(jù)存儲(chǔ)設(shè)備無法提供預(yù)期的數(shù)據(jù)保護(hù)水平。直接物理訪問廣泛銷售的存儲(chǔ)設(shè)備的惡意專家可以繞過現(xiàn)有的保護(hù)機(jī)制并在不知道用戶選擇的密碼的情況下訪問數(shù)據(jù)。
這些缺陷存在于兩種主要制造商(即三星和Crucial)的幾種固態(tài)硬盤(下面列出)的加密機(jī)制中。這些漏洞發(fā)生在內(nèi)部存儲(chǔ)設(shè)備(筆記本電腦,平板電腦和計(jì)算機(jī))和外部存儲(chǔ)設(shè)備(通過USB電纜連接)中。受影響的存儲(chǔ)設(shè)備包括目前廣泛使用的流行模型。
研究員Bernard van Gastel:“受影響的制造商在六個(gè)月前得到通知,符合常見的專業(yè)實(shí)踐。結(jié)果正在公布,以便受影響的SSD的用戶能夠正確保護(hù)他們的數(shù)據(jù)。” 研究員Carlo Meijer:“這個(gè)問題需要采取行動(dòng),特別是那些在這些設(shè)備上存儲(chǔ)敏感數(shù)據(jù)的組織。還有一些消費(fèi)者已經(jīng)啟用了這些數(shù)據(jù)保護(hù)機(jī)制。但大多數(shù)消費(fèi)者還沒有這樣做。”
如果需要保護(hù)敏感數(shù)據(jù),則在任何情況下都建議使用軟件加密,而不是僅依靠硬件加密。一種選擇是使用免費(fèi)和開源的VeraCrypt軟件包,但其他解決方案確實(shí)存在。在運(yùn)行Windows的計(jì)算機(jī)上,BitLocker提供軟件加密,數(shù)據(jù)可能不安全(請(qǐng)參閱下面的“Windows計(jì)算機(jī)”)。
加密是主要的數(shù)據(jù)保護(hù)機(jī)制。它可以在軟件或硬件中實(shí)現(xiàn)(例如在SSD中)?,F(xiàn)代操作系統(tǒng)通常為整個(gè)存儲(chǔ)提供軟件加密。然而,可能發(fā)生這樣的操作系統(tǒng)決定僅依賴于硬件加密(如果存儲(chǔ)設(shè)備支持硬件加密)。BitLocker是Microsoft Windows內(nèi)置的加密軟件,可以使這種切換到硬件加密,但在這些情況下,受影響的磁盤無法提供有效的保護(hù)。如果不執(zhí)行此切換,其他操作系統(tǒng)(如macOS,iOS,Android和Linux)內(nèi)置的軟件加密似乎不受影響。
研究人員利用公共信息和大約100歐元的評(píng)估設(shè)備確定了這些安全問題。他們通過常規(guī)零售渠道購買了他們檢查的SSD。從頭開始發(fā)現(xiàn)這些問題非常困難。但是,一旦知道問題的性質(zhì),就有可能被其他人自動(dòng)利用這些漏洞,使濫用變得更容易。Radboud大學(xué)的研究人員不會(huì)發(fā)布這樣的開發(fā)工具。
受影響的產(chǎn)品
在實(shí)踐中實(shí)際證明了漏洞的模型是:
Crucial(美光)MX100,MX200和MX300內(nèi)置硬盤;
三星T3和T5 USB外置磁盤;
三星840 EVO和850 EVO內(nèi)置硬盤。
然而,應(yīng)該注意的是,并非所有市場(chǎng)上可用的磁盤都經(jīng)過測(cè)試。使用內(nèi)部驅(qū)動(dòng)器的特定技術(shù)設(shè)置(與“高”和“最大”安全性相關(guān))可能會(huì)影響漏洞(請(qǐng)參閱下面的制造商和技術(shù)信息鏈接提供的詳細(xì)信息)。
Windows計(jì)算機(jī)
在運(yùn)行Windows的計(jì)算機(jī)上,名為BitLocker的軟件組件處理計(jì)算機(jī)數(shù)據(jù)的加密。在Windows中,BitLocker使用的加密類型(即硬件加密或軟件加密)是通過組策略設(shè)置的。如果可用,則使用標(biāo)準(zhǔn)硬件加密。對(duì)于受影響的型號(hào),必須更改默認(rèn)設(shè)置,以便僅使用軟件加密。此更改不會(huì)立即解決問題,因?yàn)樗粫?huì)重新加密現(xiàn)有數(shù)據(jù)。只有全新的安裝(包括重新格式化內(nèi)部驅(qū)動(dòng)器)才會(huì)強(qiáng)制執(zhí)行軟件加密。作為替代重新安裝,上述VeraCrypt 軟件可以使用包。
負(fù)責(zé)任的披露
兩家制造商于2018年4月被荷蘭國家網(wǎng)絡(luò)安全中心(NCSC)通知了這一安全問題。該大學(xué)向兩家制造商提供了詳細(xì)信息,使他們能夠修復(fù)他們的產(chǎn)品。制造商將自己向客戶提供有關(guān)受影響模型的詳細(xì)信息; 鏈接如下。
在發(fā)現(xiàn)安全漏洞時(shí),如何處理這些信息總是存在兩難境地。立即公布細(xì)節(jié)可能會(huì)助長(zhǎng)攻擊并造成傷害。長(zhǎng)期保守缺陷可能意味著不采取必要措施來應(yīng)對(duì)漏洞,而人員和組織仍處于危險(xiǎn)之中。安全社區(qū)的常見做法是嘗試在這些問題之間取得平衡,并在受影響產(chǎn)品的制造商被告知后長(zhǎng)達(dá)180天后揭示缺陷。這種做法被稱為負(fù)責(zé)任的披露,被Radboud大學(xué)用作標(biāo)準(zhǔn)。
研究人員現(xiàn)在即將在學(xué)術(shù)文獻(xiàn)中公布其研究結(jié)果的科學(xué)方面。一個(gè)這些調(diào)查結(jié)果(PDF,757 KB)的初稿將于今日2018年十一月公布,5一旦同行評(píng)審過程已經(jīng)完成,最終版本將刊登在學(xué)術(shù)文獻(xiàn)。本出版物不能作為如何打入SSD的指南。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。