Firmware update της Microsoft προκαλεί σφάλμα σε πολλά Surface μοντέλα!
infosec

Firmware update της Microsoft προκαλεί σφάλμα σε πολλά Surface μοντέλα!

Ένα νέο σφάλμα πλήττει τα Surface της Microsoft, καθώς πρόσφατο firmware update προκαλεί ανακριβής παρουσίαση της διάρκειας ζωής της μπαταρίας...
Read More
infosec

Κυκλοφόρησε ενημέρωση που διορθώνει ευπάθεια σε δημοφιλές plugin του WordPress

Ένας ερευνητής ασφάλειας αποκάλυψε λεπτομέρειες για μια κρίσιμη ευπάθεια σε ένα από τα δημοφιλή και ευρέως ενεργά plugins για το...
Read More
infosec

Group IB: Δυο hacker groups επιτίθενται σε Ρωσικές τράπεζες

Η Group IB εντόπισε μια τεράστια καμπάνια προσποιούμενη την κεντρική τράπεζα της Ρωσίας, με στόχο διάφορα Ρωσικά χρηματοπιστωτικά ιδρύματα. Τα...
Read More
infosec

Bug του Gmail επιτρέπει την τροποποίηση του «From:» header

Ένα Bug που εντοπίστηκε στην δομή του “From:” header του Gmail θα μπορούσε να εμφανίζει μια διαφορετική διεύθυνση email από...
Read More
infosec

Γιατί κλείδωσαν μυστηριωδώς οι λογαριασμοί της Apple;

Πιστεύετε πως επιχείρησε κάποιος να χακάρει τον Apple λογαριασμό σας; Δεν είστε ο μόνος! Από την Τρίτη, πολλοί χρήστες των...
Read More
Latest Posts

Σφάλμα σε SSDs επιτρέπει σε hackers πρόσβαση σε κρυπτογραφημένα δεδομένα

hackersΈνας ερευνητής από το Πανεπιστήμιο Radboud έχει αποκαλύψει ένα ελάττωμα ασφαλείας σε ορισμένες SSDs, που επιτρέπουν στους hackers να παρακάμπτουν την κρυπτογράφηση και να έχουν πρόσβαση στα δεδομένα χωρίς να χρειάζονται τον κωδικό πρόσβασης.

Η ευπάθεια έχει επηρεάσει μόνο αυτά τα μοντέλα SSD που υποστηρίζουν hardware-based κρυπτογράφηση, η οποία χρησιμοποιεί local built-in chips για τη διεξαγωγή εργασιών κρυπτογράφησης δίσκων. Αυτά τα chip είναι ξεχωριστά από την κύρια CPU.

Οι μονάδες δίσκου που χρησιμοποιούν hardware-based κρυπτογράφηση είναι κοινώς γνωστές ως Self-Encrypting Drives (SED), αφού η κρυπτογράφηση με βάση το λογισμικό θεωρήθηκε ευαίσθητη στις επιθέσεις. Έδινε τη δυνατότητα στους hackers να αποκτήσουν τον κωδικό κρυπτογράφησης από τη μνήμη RAM του υπολογιστή.

Δύο ερευνητές από το Radboud, που ονομάζονται Carlo Meijer και Bernard Van Gastel, δημοσίευσαν ένα ακαδημαϊκό έγγραφο το οποίο αποκαλύπτει ελαττώματα στα «ATA Security» και «TCG Opal» – τις δύο προδιαγραφές που χρησιμοποιούνται για την υλοποίηση hardware-based κρυπτογράφησης σε SEDs.

Οι χρήστες θα μπορούσαν να ορίσουν έναν προσαρμοσμένο κωδικό για την πρόσβαση στα κρυπτογραφημένα δεδομένα. Ωστόσο, ο βασικός κωδικός πρόσβασης που ορίζεται από τον πάροχο του SED, θα μπορούσε να χρησιμοποιηθεί από τους hackers για να αποκτήσουν τον κωδικό πρόσβασης του χρήστη. Ο βασικός κωδικός πρόσβασης είναι διαθέσιμος στο εγχειρίδιο SEDs και μπορεί να χρησιμοποιηθεί από οποιονδήποτε.

Για να αποφύγετε αυτήν την ευπάθεια, πρέπει να αλλάξετε τον βασικό κωδικό πρόσβασης ή να ρυθμίσετε τις δυνατότητες του κύριου κωδικού πρόσβασης στο μέγιστο. Ο βασικός κωδικός πρόσβασης και η λανθασμένη εφαρμογή των προτύπων είναι οι ένοχοι πίσω από αυτήν την ευπάθεια.

Οι πάροχοι των SED στους οποίους έγιναν οι δοκιμές κατά τη δημοσίευση των ερευνητικών εργασιών – η Samsung και η Crucial (Micron)- έχουν κυκλοφορήσει ενημερώσεις firmware για να εξαλείψουν το ελάττωμα.

Ωστόσο, το ζήτημα είναι βαθύτερο. Οι χρήστες των Windows είναι πιο επιρρεπείς στον κίνδυνο καθώς το Windows BitLocker, ένα σύστημα full disk κρυπτογράφησης του λειτουργικού συστήματος Windows, δεν κρυπτογραφεί τα δεδομένα των χρηστών σε επίπεδο λογισμικού κατά την ανίχνευση μιας συσκευής ικανής για hardware-based κρυπτογράφηση.

Οι ερευνητές πρότειναν στους χρήστες SED να χρησιμοποιούν συστήματα full-disk κρυπτογράφησης σε επίπεδο λογισμικού, όπως το VeraCrypt, για την προστασία των δεδομένων τους. Επιπλέον, οι πάροχοι SED ζήτησαν από την ομάδα TCG να «δημοσιεύσει μια αναφορά του Opal για να βοηθήσει τους προγραμματιστές» και επίσης να δημοσιεύσει το ελάττωμα ώστε περισσότεροι ερευνητές ασφαλείας να εντοπίσουν τις ευπάθειες.

Έχετε άποψη; Αφήστε το σχόλιό σας.

Ο συντάκτης σας επιτρέπει να αντιγράψετε το κείμενό του, μόνο εφόσον αναφέρετε την πηγή (SecNews.gr), σαν ηλεκτρονική διεύθυνση (Live URL) του άρθρου.
Updated on by

Reader Interactions

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *