Napędy samokradujące się nie są wcale lepsze niż szyfrowanie programowe

Firmy korzystające z dysków samoszyfrujących (SED) w celu zabezpieczenia danych przechowywanych na laptopach swoich pracowników powinny być świadome, że ta technologia nie jest odporna na ataki i powinna dokładnie rozważyć, czy chcą korzystać z tego podejścia, a nie z oprogramowania.

Daniel Boteanu i Kevvie Fowler z KPMG w Kanadzie zaprezentowali trzy metody odzyskiwania danych przeciwko laptopom używającym SED podczas czwartkowej konferencji bezpieczeństwa Black Hat Europe w Amsterdamie.

Napędy samoszyfrujące wykonują operacje szyfrowania i deszyfrowania danych na dedykowanym procesorze kryptograficznym, który jest częścią kontrolera napędu. To daje im kilka korzyści, głównie związanych z wydajnością, w porównaniu do produktów szyfrujących opartych na oprogramowaniu, które opierają się na procesorze.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Główną korzyścią bezpieczeństwa jest to, że klucz szyfrowania nie jest przechowywany w pamięci systemu operacyjnego, ale na samym dysku, co czyni go mniej narażonym na kradzież. Jednak niektóre ataki, które działają przeciwko programowym produktom szyfrującym, wpływają również na SED, w tym na ataki złych pokojówek i te, które omijają uwierzytelnianie systemu Windows - stwierdzili naukowcy.

Boteanu i Fowler skupili swoje badania na laptopach z SED, które są kompatybilne z zaufanymi Computing Group (TCG) Storage Security Subsystem Standard klasy, znany także jako Opal, oraz Microsoft's Encrypted Drive (eDrive) standard, oparty na Opal.

Dyski te są najbardziej atrakcyjne dla wdrożeń korporacyjnych, ponieważ można je łatwo zarządzać. Urządzenia SED działające w trybie eDrive są zarządzane na przykład za pomocą technologii BitLocker, pełnej technologii szyfrowania dysków firmy Microsoft dla systemu Windows.

Naukowcy przetestowali kombinacje laptopów Lenovo ThinkPad T440, Lenovo ThinkPad W541, Dell Latitude E6410 i Dell Latitude E6430 z Samsung 850 Pro i PM851 dyski półprzewodnikowe lub dyski twarde Seagate ST500LT015 i ST500LT025, działające w trybach Opal lub eDrive.

Ataki, które wykazali, pokazują, że standardy Opal i eDrive nie gwarantują bezpieczeństwa danych w sytuacjach, w których znajduje się laptop Tryb uśpienia i nie wyłączony całkowicie.

Po odblokowaniu SED, pozostaje w tym stanie do momentu przełączenia zasilania, lub wysłania polecenia deauthentication. Po przejściu laptopa w tryb uśpienia stan dysku jest zablokowany, ale po wznowieniu z trybu uśpienia oprogramowanie do zarządzania przed uruchomieniem, które jest już załadowane do pamięci, odblokowuje napęd. Dzieje się tak, nawet jeśli sam system Windows pozostaje zablokowany i wymaga zalogowania się do hasła użytkownika.

Naukowcy opracowali trzy ataki, aby wykorzystać tę sytuację. Pierwszy z nich nazywa się atakiem hot-plug i polega na usunięciu dysku z laptopa w trybie uśpienia i podłączeniu go z powrotem za pomocą danych SATA i kabli przedłużających zasilanie.

Laptop zostaje obudzony, a oprogramowanie zarządzające odblokowuje napęd. Atakujący może następnie odłączyć kabel danych SATA tylko od laptopa i podłączyć go do innego komputera lub laptopa, aby uzyskać dostęp do danych na dysku.

Naukowcy przetestowali ten atak z powodzeniem na wszystkich 12 konfiguracjach Opal i eDrive.

Aby go zminimalizować, użytkownicy powinni zawsze wyłączać laptopy lub umieszczać je w stanie hibernacji, gdy pozostawiają je bez opieki. Administratorzy IT mogą także wyłączyć tryb uśpienia za pomocą zasad.

W przyszłości producenci laptopów mogliby dodać mechanizmy wykrywające odłączenie napędu, gdy komputer jest w trybie uśpienia i wyzwolenie twardego resetu - stwierdzili naukowcy. Producenci urządzeń SED mogą także wykryć, czy interfejs SATA jest odłączony i automatycznie zablokować napęd.

Drugi atak nie wymaga odłączenia dysku od laptopa, a zamiast tego zmusza laptop do wykonania miękkiego resetu poprzez wyzwolenie krytycznego błędu (BSOD) w systemie Windows. Miękki reset nie powoduje przełączenia zasilania na napęd samoszyfrujący, więc utrzymuje go w stanie odblokowanym.

Jeśli laptop jest w trybie uśpienia, można go najpierw obudzić, aby odblokować napęd. Atakujący może następnie podłączyć specjalną płytkę drukowaną o nazwie Facedancer do laptopa przez USB. Płyta ta może emulować różne urządzenia USB i może być również używana do wyzwalania BSOD w systemie Windows.

Gdy laptop zostanie ponownie uruchomiony, w wyniku krytycznego błędu, atakujący może użyć specjalnego klawisza funkcyjnego, aby uzyskać dostęp do menu rozruchu i rozruchu z alternatywnego źródła, takiego jak pamięć USB z żywą instalacją Linuksa. Następnie może użyć Linuksa, aby uzyskać dostęp do danych na dysku, który jest nadal odblokowany.

Ten atak działał na ośmiu konfiguracjach Opal, ale nie na laptopach Lenovo z SED działającymi w trybie eDrive.

Aby złagodzić ten rodzaj ataku , Administratorzy IT mogą wyłączyć opcję Windows automatycznego restartowania na BSOD i mogą również zablokować BIOS / UEFI, aby atakujący nie mogli uruchomić się z zewnętrznego nośnika.

Trzeci atak nazywany jest atakiem hot unplug i trudniej jest go ściągnąć wyłączony, ponieważ wymaga odsłonięcia styków SATA dysku podczas pracy, podłączenie do niego innego źródła zasilania, usunięcie dysku przy zachowaniu alternatywnego zasilania i podłączenie go do innego komputera.

Naukowcy ujawnili swoje odkrycia Trusted Computing Group i zespół ds. gotowości na wypadek awarii komputera w USA (US-CERT). Byli również w kontakcie z Lenovo, który rozważa potencjalne złagodzenie.

Na wynos jest to, że SED są domyślnie niezabezpieczone, gdy laptopy, w których są zainstalowane, są zasilane lub w trybie uśpienia, ale zahartowane wdrożenia mogą złagodzić - Naukowcy stwierdzili:

Zła wiadomość jest taka, że ​​prawie niemożliwe jest wykrycie, czy ataki te miały miejsce po fakcie, co oznacza, że ​​niektóre firmy mogą chcieć przewartościować potencjalny wpływ utraty lub kradzieży laptopa polegali na tej technologii w celu ochrony danych.