V nově zveřejněné studii  Radboud University byly odhaleny závažné chyby v implementaci hardwarového šifrování některých pevných disků. Útočník, který má fyzický přístup k disku může obejít ochranu a získat data i bez znalosti uživatelského hesla.

Jakých disků se  chyba v zabezpečení týká?

  • interní hard disky Crucial (Micron) MX100, MX200 a MX300
  • externí disky Samsung T3 a T5 USB
  • interní hard disky Samsung 840 EVO a 850 EVO

Vzhledem k tomu, že nebyly testovány všechny disky dostupné na trhu, je možné, že se chyba týká i dalších.

Lze tímto způsobem získat data z disku vzdáleně (přes internet)?

Ne. Útočník musí mít fyzický přístup k disku.

Používám pro šifrování disku nástroj BitLocker, týká se mě to?

Pokud máte ve vašem počítači disk, který obsahuje tuto zranitelnost, tak pravděpodobně ano. BitLocker totiž v základním nastavení spoléhá na hardwarové šifrování disku, pokud to jeho firmware poskytuje. Pokud to disk nepodporuje, nebo je patřičně změněno nastavení (viz dále), BitLocker zašifruje disk sofwarovou cestou a chyby v hardware tak nelze zneužít.

Mám zmíněné disky zašifrované jiným nástrojem než BitLocker (např. VeraCrypt), týká se mě to?

Pokud váš šifrovací software nespoléhá na hardwarové šífrování, pak ne. V případě VeraCryptu jste v tomto směru v bezpečí.

Jak používat VeraCrypt se (mimo jiné) dozvíte na kurzu Digitální sebeobrana

Existuje oprava na tyto chyby?

Pro disky Crucial a externí disky Samsung ano, pro disky Samsung EVO (zatím) ne. Samsung doporučuje šifrovat za pomocí software.

Jak přinutím BitLocker, aby se nespoléhal na hardwarové šifrování?

Postup je náledující:

  • Otevřít Local Group Policy Editor pomocí funkce “Spustit” (Run) -> “gpedit.msc”
  • Přejít na “Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drive.”
  • Dvojklikem otevřít “Configure use of hardware-based encryption for fixed data drives”
  • Zvolit “Disabled” a kliknout na “OK”
  • Pro použití tohoto nastavení je potřeba nejprve dešifrovat disk a poté ho znovu BitLockerem zašifrovat.

(Zdroje: Radboud University, The Hacker News)

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *