Wykryto krytyczne luki w szyfrowaniu dysków SSD. Popularne modele nie są bezpieczne
Korzystając z komputera użytkownicy rzadko zastanawiają się nad tym w jaki sposób działa sprzętowe szyfrowanie danych, które wykorzystywane jest we współczesnych dyskach SSD. Wiadomo, że powinno działać i większości osób wystarcza założenie, że w razie próby nieautoryzowanego odczytu danych, okaże się ono wystarczającym zabezpieczeniem. Jak jednak wynika z najnowszych badań w tym zakresie, w przypadku przynajmniej części dysków SSD sprzętowe szyfrowanie można łatwo ominąć, a co równie niepokojące – problematyczne okazują się popularne modele znanych firm, takich jak Samsung i Crucial.
Na szczegóły zwraca uwagę serwis Bleeping Computer. Jak się okazuje, analitycy podczas badań byli w stanie zmodyfikować oprogramowanie dysków lub wykorzystać interfejs do wykrywania błędów w taki sposób, by dostać się do zaszyfrowanych wcześniej danych bez znajomości klucza i hasła. Zależnie od modelu dysku, wady w zabezpieczeniach pozwalają w różny sposób odczytać wszystkie zaszyfrowane wcześniej informacje.
Opisywane problemy zostały wykryte na podstawie badań popularnych, często przystępnych cenowo dysków. Mowa o modelach Crucial MX100, MX200, MX300, Samsung 840 EVO, 850 EVO, a także przenośnych modelach Samsung T3 oraz T5. Przed opublikowaniem badań problemy zostały wcześniej zgłoszone producentom i jak zwraca uwagę Bleeping Computer, Crucial zadbał już o wydanie aktualizacji oprogramowania dysków, zaś Samsung wydał aktualizację oprogramowania tylko dla przenośnych modeli, zachęcając użytkowników pozostałych dysków do stosowania programowego szyfrowania.
Wśród wniosków i zaleceń pojawia się także wyraźne wskazanie na kłopotliwe działanie funkcji BitLocker dostępnej w systemach Windows. Jak zwracają uwagę analitycy, włączenie tej funkcji w systemie skutkuje poleganiem wyłącznie na sprzętowym szyfrowaniu dysków (o ile jest dostępne), przez co użytkownicy nieświadomie narażają się na opisywane zagrożenia. W obliczu wykrytych wad, niezależnie od szyfrowania sprzętowego zaleca się więc korzystać także z rozwiązania bazującego na oprogramowaniu. Badacze proponują stosowanie na przykład znanego oprogramowania VeraCrypt.