Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν
infosec

Το Megabreach των 773 εκατομμυρίων Passwords ξεκίνησε χρόνια πριν

Πρόσφατα κυκλοφόρησε η είδηση, ότι σχεδόν 773 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου και 21 εκατομμύρια passwords δημοσιεύθηκαν σε ένα φόρουμ hacking....
Read More
infosec

Instagram influencers ανακτούν τα accounts με τη βοήθεια hackers

Οι Instagram influencers που έχουν δει τους λογαριασμούς τους να χακάρονται και τις προσωπικές τους πληροφορίες να εκτίθενται, λένε ότι...
Read More
infosec

Windows 10: Πώς να διορθώσετε το browsing σφάλμα στο Microsoft Edge

Η τελευταία αναβάθμιση που κυκλοφόρησε από τη Microsoft για τα Windows 10 έφερε ένα πρόβλημα, το οποίο παρατηρείται όταν επιχειρεί...
Read More
infosec

Google Play: Κρυβόταν malware με τη χρήση των αισθητήρων κίνησης

Στην αγορά του Google Play υπάρχουν πολλές κακόβουλες εφαρμογές που δοκιμάζουν κόλπα για να αποφευχθεί η ανίχνευση τους. Για την...
Read More
infosec

Bug του Twitter δημοσίευε τα προσωπικά tweets των χρηστών για 5 χρόνια

Οι χρήστες του Twitter, οι οποίοι χρησιμοποιούν το δημοφιλές κοινωνικό δίκτυο από τις Android συσκευές τους, θα πρέπει να ελέγξουν...
Read More
Latest Posts

Σφάλμα σε SSDs επιτρέπει σε hackers πρόσβαση σε κρυπτογραφημένα δεδομένα

hackersΈνας ερευνητής από το Πανεπιστήμιο Radboud έχει αποκαλύψει ένα ελάττωμα ασφαλείας σε ορισμένες SSDs, που επιτρέπουν στους hackers να παρακάμπτουν την κρυπτογράφηση και να έχουν πρόσβαση στα δεδομένα χωρίς να χρειάζονται τον κωδικό πρόσβασης.

Η ευπάθεια έχει επηρεάσει μόνο αυτά τα μοντέλα SSD που υποστηρίζουν hardware-based κρυπτογράφηση, η οποία χρησιμοποιεί local built-in chips για τη διεξαγωγή εργασιών κρυπτογράφησης δίσκων. Αυτά τα chip είναι ξεχωριστά από την κύρια CPU.

Οι μονάδες δίσκου που χρησιμοποιούν hardware-based κρυπτογράφηση είναι κοινώς γνωστές ως Self-Encrypting Drives (SED), αφού η κρυπτογράφηση με βάση το λογισμικό θεωρήθηκε ευαίσθητη στις επιθέσεις. Έδινε τη δυνατότητα στους hackers να αποκτήσουν τον κωδικό κρυπτογράφησης από τη μνήμη RAM του υπολογιστή.

Δύο ερευνητές από το Radboud, που ονομάζονται Carlo Meijer και Bernard Van Gastel, δημοσίευσαν ένα ακαδημαϊκό έγγραφο το οποίο αποκαλύπτει ελαττώματα στα «ATA Security» και «TCG Opal» – τις δύο προδιαγραφές που χρησιμοποιούνται για την υλοποίηση hardware-based κρυπτογράφησης σε SEDs.

Οι χρήστες θα μπορούσαν να ορίσουν έναν προσαρμοσμένο κωδικό για την πρόσβαση στα κρυπτογραφημένα δεδομένα. Ωστόσο, ο βασικός κωδικός πρόσβασης που ορίζεται από τον πάροχο του SED, θα μπορούσε να χρησιμοποιηθεί από τους hackers για να αποκτήσουν τον κωδικό πρόσβασης του χρήστη. Ο βασικός κωδικός πρόσβασης είναι διαθέσιμος στο εγχειρίδιο SEDs και μπορεί να χρησιμοποιηθεί από οποιονδήποτε.

Για να αποφύγετε αυτήν την ευπάθεια, πρέπει να αλλάξετε τον βασικό κωδικό πρόσβασης ή να ρυθμίσετε τις δυνατότητες του κύριου κωδικού πρόσβασης στο μέγιστο. Ο βασικός κωδικός πρόσβασης και η λανθασμένη εφαρμογή των προτύπων είναι οι ένοχοι πίσω από αυτήν την ευπάθεια.

Οι πάροχοι των SED στους οποίους έγιναν οι δοκιμές κατά τη δημοσίευση των ερευνητικών εργασιών – η Samsung και η Crucial (Micron)- έχουν κυκλοφορήσει ενημερώσεις firmware για να εξαλείψουν το ελάττωμα.

Ωστόσο, το ζήτημα είναι βαθύτερο. Οι χρήστες των Windows είναι πιο επιρρεπείς στον κίνδυνο καθώς το Windows BitLocker, ένα σύστημα full disk κρυπτογράφησης του λειτουργικού συστήματος Windows, δεν κρυπτογραφεί τα δεδομένα των χρηστών σε επίπεδο λογισμικού κατά την ανίχνευση μιας συσκευής ικανής για hardware-based κρυπτογράφηση.

Οι ερευνητές πρότειναν στους χρήστες SED να χρησιμοποιούν συστήματα full-disk κρυπτογράφησης σε επίπεδο λογισμικού, όπως το VeraCrypt, για την προστασία των δεδομένων τους. Επιπλέον, οι πάροχοι SED ζήτησαν από την ομάδα TCG να «δημοσιεύσει μια αναφορά του Opal για να βοηθήσει τους προγραμματιστές» και επίσης να δημοσιεύσει το ελάττωμα ώστε περισσότεροι ερευνητές ασφαλείας να εντοπίσουν τις ευπάθειες.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *