Managed hosting door True

Radboud vindt lek in ssd’s Samsung en Crucial

Dit artikel delen:
cybersecurity

Onderzoekers van de Radboud Universiteit in Nijmegen hebben beveiligingslekken ontdekt in de hardwarematige encryptie van ssd’s (solid state drive). Volgens de onderzoekers bieden veelgebruikte opslagmedia van Samsung en Crucial, die werken met een ‘zelfversleutelende schijf’, niet het verwachte niveau van gegevensbescherming. Kwaadwillende experts met directe fysieke toegang tot dergelijke opslagmedia kunnen de bestaande beveiligingsmechanismen omzeilen en zonder kennis van het wachtwoord toegang krijgen tot gegevens.

De gebreken zijn volgens de onderzoekers te vinden in het versleutelingsmechanisme van verschillende soorten solid state-schijven (ssd’s) (zie opsomming in kader) van twee grote fabrikanten, namelijk Samsung en Crucial. De kwetsbaarheden komen zowel voor in interne opslagapparaten (in laptops, tablets en computers) als in externe opslagapparaten (aangesloten via een usb-kabel). Tot de getroffen opslagmedia behoren populaire modellen die momenteel veel worden verkocht.

Onderzoeker Bernard van Gastel: ‘De betrokken fabrikanten zijn een half jaar geleden op de hoogte gebracht volgens de gangbare professionele praktijk. De resultaten worden vandaag openbaar gemaakt, zodat betrokken organisaties en consumenten hun gegevens goed kunnen beschermen.’ Mede-onderzoeker Carlo Meijer: 'Dit probleem vraagt vooral om actie van organisaties die gevoelige gegevens op deze apparaten opslaan. En ook van sommige consumenten die deze vorm van gegevensbescherming gebruiken. De meeste consumenten gebruiken deze vorm van gegevensbescherming echter nog niet.’

‘Als gevoelige gegevens moeten worden beschermd is het aan te raden om in elk geval softwareversleuteling te gebruiken en dus niet alleen te vertrouwen op hardware-encryptie. Een van de mogelijke opties is om het gratis VeraCrypt-open-source-softwarepakket te gebruiken, maar er bestaan ook andere oplossingen’, schrijven de onderzoekers in een persbericht.

Bitlocker in Windows

"Encryptiesoftware die in andere besturingssystemen (zoals macOS, iOS, Android en Linux) is ingebouwd, lijkt onaangetast als deze switches niet worden uitgevoerd."

In het bericht over de kwetsbaarheden schrijft de universiteit: ‘Encryptie (versleuteling) is het belangrijkste mechanisme voor gegevensbescherming. Dat kan zowel via software als via hardware, bijvoorbeeld in ssd’s. In moderne besturingssystemen wordt over het algemeen softwareversleuteling gebruikt voor de gehele opslag. Het kan echter voorkomen dat zo’n besturingssysteem zelf besluit enkel te vertrouwen op hardwareversleuteling (Als deze wordt ondersteund door hun opslagmedium via de TCG Opal-standaard). BitLocker, de versleutelingssoftware die in Microsoft Windows is ingebouwd, kan een dergelijke switch naar hardwareversleuteling maken maar biedt in deze gevallen dan toch geen effectieve bescherming. Encryptiesoftware die in andere besturingssystemen (zoals macOS, iOS, Android en Linux) is ingebouwd, lijkt onaangetast als deze switches niet worden uitgevoerd.’

De onderzoekers: 'Op computers met Windows zorgt een softwarecomponent genaamd BitLocker voor de versleuteling van de gegevens van de computer. Binnen Windows wordt het soort versleuteling dat BitLocker gebruikt, ingesteld via de zogenaamde Group Policy. Alleen een geheel nieuwe installatie, inclusief het opnieuw formatteren van de interne schijf, zal softwareversleuteling afdwingen. Het wijzigen van de standaardwaarde lost het probleem niet onmiddellijk op, omdat het bestaande gegevens niet opnieuw versleutelt.'

De onderzoekers vonden deze kwetsbaarheden met behulp van openbare informatie en ongeveer honderd euro aan evaluatieapparatuur. Ze kochten de ssd's die ze onderzochten via de normale verkoopkanalen. ‘De kwetsbaarheden zijn vrij moeilijk te ontdekken. Echter, zodra de aard van de kwetsbaarheden bekend is, bestaat het risico dat  exploitatie van deze gebreken door anderen wordt geautomatiseerd, waardoor misbruik gemakkelijker wordt’, aldus de onderzoekers van de Radboud Universiteit die aangeven dat ze dergelijke exploitatie-middelen niet vrijgeven.

Responsible disclosure

Beide fabrikanten zijn in april 2018 via het Nationaal Cyber Security Centrum (NCSC) geïnformeerd. De universiteit heeft de gegevens aan beide fabrikanten verstrekt opdat ze hun product kunnen aanpassen. De fabrikanten zullen zelf gedetailleerde informatie verstrekken aan hun klanten over de betreffende modellen; de nodige links staan onderaan.

Bij het ontdekken van een beveiligingsfout is er altijd het dilemma van hoe om te gaan met deze informatie. Onmiddellijke publicatie van de gegevens kan aanvallen aanmoedigen en schade toebrengen. Het langdurig geheimhouden van de fout kan betekenen dat de nodige stappen om de kwetsbaarheid tegen te gaan niet worden genomen, terwijl mensen en organisaties nog steeds risico lopen. In de beveiligingsgemeenschap is het gebruikelijk om naar een zeker evenwicht te zoeken en te wachten met gebreken aan het licht te brengen tot maximaal 180 dagen nadat de fabrikant van het betrokken product op de hoogte is gebracht. Deze procedure van verantwoorde openbaarmaking wordt standaard gebruikt door de Radboud Universiteit.

Publicatie

'De bescherming van digitale gegevens is een noodzaak geworden, zeker in het licht van de nieuwe Europese algemene verordening inzake gegevensbescherming (AVG)', staat in het persbericht over het ssd-lek. De Radboud Universiteit wil hieraan bijdragen via haar computerbeveiligingsonderzoek, zowel door nieuwe beveiligingsmechanismen te ontwikkelen als door de kracht van bestaande mechanismen te analyseren.

De onderzoekers staan nu op het punt om de wetenschappelijke aspecten van hun bevindingen te publiceren in de wetenschappelijke literatuur; op 5 november 2018 wordt een voorlopige versie van deze bevindingen gepubliceerd. Na afloop van het ‘peer-review’-proces verschijnt er een definitieve versie in de wetenschappelijke literatuur. Deze publicatie vormt geen leidraad voor het inbreken in ssd's.

Kwetsbare SSD's

De modellen waarbij daadwerkelijk kwetsbaarheden zijn aangetoond zijn:

- de Crucial (Micron) MX100, MX200 en MX300 interne harde schijven;

- de Samsung T3 en T5 externe USB-stations;

- de Samsung 840 EVO en 850 EVO interne harde schijven.

Overigens zijn niet alle beschikbare schijven op de markt getest.

Specifieke technische instellingen (met betrekking tot bijvoorbeeld 'high' en 'max' security) van interne schijven kunnen van invloed zijn op de kwetsbaarheid (zie de gedetailleerde informatie van de fabrikanten en de hieronder vermelde links naar technische informatie).

bron: Radboud Universiteit. 

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Jouw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.