研究人員發(fā)現(xiàn)了廣泛使用的數(shù)據(jù)存儲(chǔ)設(shè)備中的安全漏洞

荷蘭Radboud大學(xué)的研究人員發(fā)現(xiàn)，廣泛使用的帶有自加密驅(qū)動(dòng)器的數(shù)據(jù)存儲(chǔ)設(shè)備無(wú)法提供預(yù)期的數(shù)據(jù)保護(hù)水平。直接物理訪問(wèn)廣泛銷售的存儲(chǔ)設(shè)備的惡意專家可以繞過(guò)現(xiàn)有的保護(hù)機(jī)制并在不知道用戶選擇的密碼的情況下訪問(wèn)數(shù)據(jù)。

這些缺陷存在于兩種主要制造商(即三星和Crucial)的幾種固態(tài)硬盤(pán)(下面列出)的加密機(jī)制中。這些漏洞發(fā)生在內(nèi)部存儲(chǔ)設(shè)備(筆記本電腦，平板電腦和計(jì)算機(jī))和外部存儲(chǔ)設(shè)備(通過(guò)USB電纜連接)中。受影響的存儲(chǔ)設(shè)備包括目前廣泛使用的流行模型。

研究員Bernard van Gastel：“受影響的制造商在六個(gè)月前得到通知，符合常見(jiàn)的專業(yè)實(shí)踐。結(jié)果正在公布，以便受影響的SSD的用戶能夠正確保護(hù)他們的數(shù)據(jù)。” 研究員Carlo Meijer：“這個(gè)問(wèn)題需要采取行動(dòng)，特別是那些在這些設(shè)備上存儲(chǔ)敏感數(shù)據(jù)的組織。還有一些消費(fèi)者已經(jīng)啟用了這些數(shù)據(jù)保護(hù)機(jī)制。但大多數(shù)消費(fèi)者還沒(méi)有這樣做。”

如果需要保護(hù)敏感數(shù)據(jù)，則在任何情況下都建議使用軟件加密，而不是僅依靠硬件加密。一種選擇是使用免費(fèi)和開(kāi)源的VeraCrypt軟件包，但其他解決方案確實(shí)存在。在運(yùn)行Windows的計(jì)算機(jī)上，BitLocker提供軟件加密，數(shù)據(jù)可能不安全(請(qǐng)參閱下面的“Windows計(jì)算機(jī)”)。

加密是主要的數(shù)據(jù)保護(hù)機(jī)制。它可以在軟件或硬件中實(shí)現(xiàn)(例如在SSD中)。現(xiàn)代操作系統(tǒng)通常為整個(gè)存儲(chǔ)提供軟件加密。然而，可能發(fā)生這樣的操作系統(tǒng)決定僅依賴于硬件加密(如果存儲(chǔ)設(shè)備支持硬件加密)。BitLocker是Microsoft Windows內(nèi)置的加密軟件，可以使這種切換到硬件加密，但在這些情況下，受影響的磁盤(pán)無(wú)法提供有效的保護(hù)。如果不執(zhí)行此切換，其他操作系統(tǒng)(如macOS，iOS，Android和Linux)內(nèi)置的軟件加密似乎不受影響。

研究人員利用公共信息和大約100歐元的評(píng)估設(shè)備確定了這些安全問(wèn)題。他們通過(guò)常規(guī)零售渠道購(gòu)買了他們檢查的SSD。從頭開(kāi)始發(fā)現(xiàn)這些問(wèn)題非常困難。但是，一旦知道問(wèn)題的性質(zhì)，就有可能被其他人自動(dòng)利用這些漏洞，使濫用變得更容易。Radboud大學(xué)的研究人員不會(huì)發(fā)布這樣的開(kāi)發(fā)工具。

受影響的產(chǎn)品

在實(shí)踐中實(shí)際證明了漏洞的模型是：

Crucial(美光)MX100，MX200和MX300內(nèi)置硬盤(pán);

三星T3和T5 USB外置磁盤(pán);

三星840 EVO和850 EVO內(nèi)置硬盤(pán)。

然而，應(yīng)該注意的是，并非所有市場(chǎng)上可用的磁盤(pán)都經(jīng)過(guò)測(cè)試。使用內(nèi)部驅(qū)動(dòng)器的特定技術(shù)設(shè)置(與“高”和“最大”安全性相關(guān))可能會(huì)影響漏洞(請(qǐng)參閱下面的制造商和技術(shù)信息鏈接提供的詳細(xì)信息)。

Windows計(jì)算機(jī)

在運(yùn)行Windows的計(jì)算機(jī)上，名為BitLocker的軟件組件處理計(jì)算機(jī)數(shù)據(jù)的加密。在Windows中，BitLocker使用的加密類型(即硬件加密或軟件加密)是通過(guò)組策略設(shè)置的。如果可用，則使用標(biāo)準(zhǔn)硬件加密。對(duì)于受影響的型號(hào)，必須更改默認(rèn)設(shè)置，以便僅使用軟件加密。此更改不會(huì)立即解決問(wèn)題，因?yàn)樗粫?huì)重新加密現(xiàn)有數(shù)據(jù)。只有全新的安裝(包括重新格式化內(nèi)部驅(qū)動(dòng)器)才會(huì)強(qiáng)制執(zhí)行軟件加密。作為替代重新安裝，上述VeraCrypt 軟件可以使用包。

負(fù)責(zé)任的披露

兩家制造商于2018年4月被荷蘭國(guó)家網(wǎng)絡(luò)安全中心(NCSC)通知了這一安全問(wèn)題。該大學(xué)向兩家制造商提供了詳細(xì)信息，使他們能夠修復(fù)他們的產(chǎn)品。制造商將自己向客戶提供有關(guān)受影響模型的詳細(xì)信息; 鏈接如下。

在發(fā)現(xiàn)安全漏洞時(shí)，如何處理這些信息總是存在兩難境地。立即公布細(xì)節(jié)可能會(huì)助長(zhǎng)攻擊并造成傷害。長(zhǎng)期保守缺陷可能意味著不采取必要措施來(lái)應(yīng)對(duì)漏洞，而人員和組織仍處于危險(xiǎn)之中。安全社區(qū)的常見(jiàn)做法是嘗試在這些問(wèn)題之間取得平衡，并在受影響產(chǎn)品的制造商被告知后長(zhǎng)達(dá)180天后揭示缺陷。這種做法被稱為負(fù)責(zé)任的披露，被Radboud大學(xué)用作標(biāo)準(zhǔn)。

研究人員現(xiàn)在即將在學(xué)術(shù)文獻(xiàn)中公布其研究結(jié)果的科學(xué)方面。一個(gè)這些調(diào)查結(jié)果(PDF，757 KB)的初稿將于今日2018年十一月公布，5一旦同行評(píng)審過(guò)程已經(jīng)完成，最終版本將刊登在學(xué)術(shù)文獻(xiàn)。本出版物不能作為如何打入SSD的指南。