Специалистите по сигурността Bernard Van Gastel и Carlo Meijer от Radboud University са открили уязвимост при някои SSD (Solid State Drives) дискове, която позволява четенето на лична информация при криптирани данни, без нуждата от парола. Уязвимостта е налична само при SSD, които използват хардуерно-базирано криптиране, което използва вградените в диска чипове, които извършват операциите по криптирането.
SSD дисковете, които използват хардуерно-базирано криптиране са известни с наименованието Self-Encrypting Drives (SED). Наличието на такива дискове беше продиктувано от факта, че софтуерното криптиране се оказа уязвимо към атаки, където кибер престъпник можеше да вземе паролите от RAM паметта на компютъра.
Двамата специалисти са публикували документация, в която се обяснява, че уязвимостта експлоатира TCG Opal и ATA Security. Това са двете операции, които се използват за хардуерното криптиране. При криптирането потребителят задава своя парола за достъп до данните, но главната (master) парола, която е зададена от производителя на SED SSD диска може да бъде достъпена от зложелател.
Тази master парола е налична в ръководството на производителя за конкретния модел и е достъпна за всекиго. Именно поради тази причина на потребителите се препоръчва преди да се пристъпи към криптиране на данните, тази парола да бъде променена. Оказва се, обаче че има проблеми в имплементацията, които могат да бъдат експлоатирани от кибер престъпниците.
Единият от специалистите обяснява, че цялата информация, която е нужна за възстановяване и декриптиране на криптираната информация се намира физически на диска и може да бъде открадната. Това е възможно благодарение на лошата имплементация и липсата на криптографски връзки (cryptographically linking).
Някои от производителите на SED SSD дискове като Samsung и Crucial (Micron) вече издадоха актуализиран фърмуер, където уязвимостта е отстранена. Това обаче не решава целия проблем, защото се оказва, че Windows потребителите са по-податливи на уязвимостта. Това е така, защото вграденото в Windows решение за криптиране BitLocker не криптира потребителските данни на софтуерно ниво, защото открива, че има диск, който е способен на хардуерно криптиране.
Специалистите съветват потребителите на SED SSD дискове да използват софтуерно криптиране на цели дискове със софтуер като VeraCrypt или други подобни, за да защитят своята информация. Към момента производителите на SED SSD дискове са отправили молба към TCG да публикуват имплементацията на Opal. По този начин повече разработчици ще могат да работят по него и да откриват уязвимостите на време.
