UMpesquisador da Radboud University descobriu uma falha em algumas SSDs (Solid State Drives, unidades de estado sólido) que permite que hackers ignorem a criptografia de disco e acessem os dados sem precisar da senha de criptografia.
A vulnerabilidade afetou apenas os modelos SSD que suportam criptografia baseada em hardware, que usa chips integrados locais para realizar operações de criptografia de disco. Esses chips são separados do processador principal.
Unidades que usam criptografia baseada em hardware são comumente conhecidas como Self-Encrypting Drives (SEDs) depois que a criptografia baseada em software foi considerada suscetível aos ataques. Permitiu que os hackers pegassem a senha de criptografia da RAM do computador.
Os pesquisadores chamaram Carlo Meijer, e Bernard Van Gastel dos pesquisadores de Radboud publicou um trabalho acadêmico revelando a falha que explora “ATA Security” e “TCG Opal” - as duas especificações usadas para implementar a criptografia baseada em hardware nos SEDs.
Os usuários podem definir uma senha personalizada para acessar os dados criptografados. No entanto, uma senha mestra definida pelo fornecedor do SED poderia ser usada pelos hackers para obter acesso à senha do usuário. A senha mestra está disponível no manual do SED e pode ser usada por qualquer pessoa.
Para contornar essa vulnerabilidade, é necessário alterar a senha mestra ou configurar a capacidade da senha mestra para o máximo, desabilitando-a completamente.
A senha mestra e a implementação falha dos padrões são os responsáveis por esta vulnerabilidade.
Os pesquisadores de segurança disseram: “ Ausência dessa propriedade [criptograficamente vinculante] é catastrófica. De fato, a proteção dos dados do usuário não depende mais de segredos. Todas as informações necessárias para recuperar os dados do usuário são armazenadas no próprio drive e podem ser recuperadas . ”
Os fornecedores dos SEDs que foram testados durante a publicação dos trabalhos de pesquisa - Samsung e Crucial (Micron) lançaram atualizações de firmware para eliminar a falha.
No entanto, o problema é mais profundo. Os usuários do Windows são mais propensos a riscos, pois o Windows BitLocker, um sistema de criptografia de disco completo em nível de software do sistema operacional Windows, não criptografa os dados dos usuários no nível do software ao detectar um dispositivo capaz de criptografia baseada em hardware.
Os pesquisadores recomendaram que os usuários do SED usem sistemas de criptografia de disco completo em nível de software, como o VeraCrypt, para proteger seus dados.
Além disso, os fornecedores de SED também pediram ao grupo de trabalho do TCG para “publicar uma implementação de referência do Opal para ajudar os desenvolvedores” e tornar pública a implementação defeituosa para que mais pesquisadores de segurança possam encontrar as vulnerabilidades nas especificações.
