امنیت SSD ها هم تو خالی از آب در آمد

امکان دور زدن مکانیزم های رمزنگاری سخت افزاری و خواندن اطلاعات رمزنگاری شده بدون در اختیار داشتن کلمه عبور را می‌دهد. یافته‌های این پژوهشگرها زنگ خطر جدی را به صدا در آورده و سامسونگ به کلیه کاربران توصیه کرده به جای رمزنگاری سخت افزاری از روش‌های نرم افزاری استفاده کنند.

به گفته پژوهشگرها اغلب سازندگان SSD در پیاده سازی روش‌های رمزنگاری سخت افزاری اصول انجام این کار را رعایت نکرده‌اند و همین باعث به وجود آمدن نقص‌های امنیتی متعددی شده است. آنچه که پژوهشگرهای هلندی کشف کرده‌اند، وجود خلل جدی در پیاده سازی رمزنگاری است که امکان استخراج اطلاعات بدون در اختیار داشتن کلمه عبور و کلید رمزنگاری را می‌دهد. خبر بد اینکه نقص امنیتی مورد بحث به یک مدل یا برند خاص محدود نمی‌شود و بسیاری از پرفروش‌ترین SSD های بازار از جمله محصولات ساخت سامسونگ و Crucial را در برمی‌گیرد.

ما درباره یک نقص مشخص صحبت نمی‌کنیم و پژوهشگرها طیف وسیعی از نقص‌های امنیتی ساختاری را در طراحی SSD ها شناسایی کرده‌اند که حتی امکان دور زدن رمزنگاری صرفاً با خالی گذاشتن فیلد پسورد را شامل می‌شود. بررسی‌های آنها نشان داد برخی Firmware ها به دور از هرگونه اعتبار سنجی، فیلد خالی را به عنوان کلمه عبور قبول می‌کنند و می‌توان بدون وارد کردن کلمه عبور به داده‌های رمزنگاری شده دست پیدا کرد.
هرچند پژوهشگرها معتقد هستند طیف وسیعی از SSD ها از نقص‌های امنیتی جدی رنج می‌برند، تاکنون SSD های لیست زیر را به عنوان آسیب پذیر معرفی کرده‌اند:

سری‌های MX100، MX200 و MX300 از Crucial یا همان Micron
سری T3 و T5 از SSD های اکسترنال سامسونگ
سری 840 EVO و 850 EVO از SSD های اینترتال سامسونگ

دانشمندان علوم کامپیوتر دانشگاه Radboud هلند می گویند این تنها سازندگان نیستند که در آسیب پذیر بودن SSD ها نقش داشته‌اند و مایکروسافت هم تا اندازه‌ای مقصر است. آنها می گویند هنگامی که یک SSD جدید مجهز به قابلیت رمزنگاری سخت افزاری نصب می‌شود، قابلیت BitLocker ویندوز 10 به طور خودکار از رمزنگاری سخت افزاری استفاده می‌کند که حالا مشخص شده هیچ امن نیست.

پژوهشگرها به کاربران توصیه کرده‌اند به جای رمزنگاری سخت افزاری داخلی SSD ها، از رمزنگاری نرم افزاری به وسیله برنامه‌های منبع باز چون VeraCrypt استفاده کنند.

منبع: شهر سخت افزار

1696