您的位置: 首頁 >互聯(lián)網(wǎng) >

研究人員發(fā)現(xiàn)了廣泛使用的數(shù)據(jù)存儲設(shè)備中的安全漏洞

2019-06-06 17:05:53 編輯: 來源:
導(dǎo)讀 荷蘭Radboud大學(xué)的研究人員發(fā)現(xiàn),廣泛使用的帶有自加密驅(qū)動器的數(shù)據(jù)存儲設(shè)備無法提供預(yù)期的數(shù)據(jù)保護水平。直接物理訪問廣泛銷售的存儲設(shè)備

荷蘭Radboud大學(xué)的研究人員發(fā)現(xiàn),廣泛使用的帶有自加密驅(qū)動器的數(shù)據(jù)存儲設(shè)備無法提供預(yù)期的數(shù)據(jù)保護水平。直接物理訪問廣泛銷售的存儲設(shè)備的惡意專家可以繞過現(xiàn)有的保護機制并在不知道用戶選擇的密碼的情況下訪問數(shù)據(jù)。

這些缺陷存在于兩種主要制造商(即三星和Crucial)的幾種固態(tài)硬盤(下面列出)的加密機制中。這些漏洞發(fā)生在內(nèi)部存儲設(shè)備(筆記本電腦,平板電腦和計算機)和外部存儲設(shè)備(通過USB電纜連接)中。受影響的存儲設(shè)備包括目前廣泛使用的流行模型。

研究員Bernard van Gastel:“受影響的制造商在六個月前得到通知,符合常見的專業(yè)實踐。結(jié)果正在公布,以便受影響的SSD的用戶能夠正確保護他們的數(shù)據(jù)。” 研究員Carlo Meijer:“這個問題需要采取行動,特別是那些在這些設(shè)備上存儲敏感數(shù)據(jù)的組織。還有一些消費者已經(jīng)啟用了這些數(shù)據(jù)保護機制。但大多數(shù)消費者還沒有這樣做。”

如果需要保護敏感數(shù)據(jù),則在任何情況下都建議使用軟件加密,而不是僅依靠硬件加密。一種選擇是使用免費和開源的VeraCrypt軟件包,但其他解決方案確實存在。在運行Windows的計算機上,BitLocker提供軟件加密,數(shù)據(jù)可能不安全(請參閱下面的“Windows計算機”)。

加密是主要的數(shù)據(jù)保護機制。它可以在軟件或硬件中實現(xiàn)(例如在SSD中)。現(xiàn)代操作系統(tǒng)通常為整個存儲提供軟件加密。然而,可能發(fā)生這樣的操作系統(tǒng)決定僅依賴于硬件加密(如果存儲設(shè)備支持硬件加密)。BitLocker是Microsoft Windows內(nèi)置的加密軟件,可以使這種切換到硬件加密,但在這些情況下,受影響的磁盤無法提供有效的保護。如果不執(zhí)行此切換,其他操作系統(tǒng)(如macOS,iOS,Android和Linux)內(nèi)置的軟件加密似乎不受影響。

研究人員利用公共信息和大約100歐元的評估設(shè)備確定了這些安全問題。他們通過常規(guī)零售渠道購買了他們檢查的SSD。從頭開始發(fā)現(xiàn)這些問題非常困難。但是,一旦知道問題的性質(zhì),就有可能被其他人自動利用這些漏洞,使濫用變得更容易。Radboud大學(xué)的研究人員不會發(fā)布這樣的開發(fā)工具。

受影響的產(chǎn)品

在實踐中實際證明了漏洞的模型是:

Crucial(美光)MX100,MX200和MX300內(nèi)置硬盤;

三星T3和T5 USB外置磁盤;

三星840 EVO和850 EVO內(nèi)置硬盤。

然而,應(yīng)該注意的是,并非所有市場上可用的磁盤都經(jīng)過測試。使用內(nèi)部驅(qū)動器的特定技術(shù)設(shè)置(與“高”和“最大”安全性相關(guān))可能會影響漏洞(請參閱下面的制造商和技術(shù)信息鏈接提供的詳細信息)。

Windows計算機

在運行Windows的計算機上,名為BitLocker的軟件組件處理計算機數(shù)據(jù)的加密。在Windows中,BitLocker使用的加密類型(即硬件加密或軟件加密)是通過組策略設(shè)置的。如果可用,則使用標準硬件加密。對于受影響的型號,必須更改默認設(shè)置,以便僅使用軟件加密。此更改不會立即解決問題,因為它不會重新加密現(xiàn)有數(shù)據(jù)。只有全新的安裝(包括重新格式化內(nèi)部驅(qū)動器)才會強制執(zhí)行軟件加密。作為替代重新安裝,上述VeraCrypt 軟件可以使用包。

負責(zé)任的披露

兩家制造商于2018年4月被荷蘭國家網(wǎng)絡(luò)安全中心(NCSC)通知了這一安全問題。該大學(xué)向兩家制造商提供了詳細信息,使他們能夠修復(fù)他們的產(chǎn)品。制造商將自己向客戶提供有關(guān)受影響模型的詳細信息; 鏈接如下。

在發(fā)現(xiàn)安全漏洞時,如何處理這些信息總是存在兩難境地。立即公布細節(jié)可能會助長攻擊并造成傷害。長期保守缺陷可能意味著不采取必要措施來應(yīng)對漏洞,而人員和組織仍處于危險之中。安全社區(qū)的常見做法是嘗試在這些問題之間取得平衡,并在受影響產(chǎn)品的制造商被告知后長達180天后揭示缺陷。這種做法被稱為負責(zé)任的披露,被Radboud大學(xué)用作標準。

研究人員現(xiàn)在即將在學(xué)術(shù)文獻中公布其研究結(jié)果的科學(xué)方面。一個這些調(diào)查結(jié)果(PDF,757 KB)的初稿將于今日2018年十一月公布,5一旦同行評審過程已經(jīng)完成,最終版本將刊登在學(xué)術(shù)文獻。本出版物不能作為如何打入SSD的指南。


免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。