Abo
  • Services:

SSD: Forscher umgehen Passwörter bei verschlüsselten Festplatten

Bei manchen SSDs mit Hardwareverschlüsselung konnten Forscher die Firmware so manipulieren, dass sie beliebige Passwörter akzeptierte. Das war nicht das einzige Problem, das sie fanden.

Artikel veröffentlicht am , Anna Biselli
Eines der sieben getesteten Festplattenmodelle
Eines der sieben getesteten Festplattenmodelle (Bild: Mine/Flickr.com/CC-BY 2.0)

Forscher der niederländischen Radboud University haben kritische Sicherheitslücken auf einigen Hardware-verschlüsselten SSDs gefunden. Sie testeten dafür insgesamt sieben Modelle von Crucial und Samsung, bei allen fanden sie unterschiedlich ausgeprägte Probleme. Angreifer können bei betroffenen Modellen etwa das Nutzerpasswort umgehen, wenn sie physischen Zugriff auf die Festplatte bekommen. Das beschreiben die Wissenschaftler Carlo Meijer und Bernard van Gastel in einem am 5. November veröffentlichten Paper.

Stellenmarkt
  1. Tupperware Deutschland GmbH, Frankfurt am Main
  2. PHOENIX CONTACT GmbH & Co. KG, Blomberg

Die meisten Hardware-verschlüsselten SSDs nutzen einen Data Encryption Key (DEK), mit dem die Daten auf den Festplatten mit AES kodiert werden. Er ist selbst verschlüsselt - mit einer Passphrase, die vom Nutzer gewählt wird.

Durch geänderte Firmware akzeptierten die Festplatten beliebige Passwörter

Die Wissenschaftler fanden heraus, dass der DEK in manchen Fällen nicht kryptographisch mit dem Nutzerpasswort verbunden war, sondern lediglich von ihm freigeschaltet wurde. Diese Freischaltung konnten die Forscher umgehen: Sie manipulierten über die Debug-Schnittstelle die Firmware der Festplatten so, dass sie ein beliebiges Passwort akzeptiert.

Ein weiteres Problem, das die Forscher bei einem der Samsung-Modelle identifizierten: Wenn ein Nutzer sich erst nachträglich dazu entschieden hatte, ein Passwort für die Festplatte zu setzen, konnten sie den unverschlüsselten DEK in einigen Fällen noch im Speicher der Festplatte finden. Das lag am Einsatz von Wear-Leveling, das die Schreibvorgänge gleichmäßig über die Speicherzellen verteilt. Der ungeschützte DEK wurde so nicht garantiert überschrieben. Bei neueren Samsung-Festplatten soll dieses Problem jedoch nicht mehr auftreten.

Nachdem sie die Sicherheitslücken gefunden hatten, informierten die Forscher das National Cyber Security Center der Niederlande und nahmen Kontakt zu den Herstellern auf. "Wir haben zugestimmt, die Sicherheitslücken sechs Monate lang nicht zu veröffentlichen", heißt es in dem Paper. Die Lücken seien von den Herstellern bestätigt worden und Firmwareupdates seien entweder bereits veröffentlicht worden oder befänden sich in Entwicklung. Dennoch empfehlen die Forscher, sich nicht allein auf Hardware-Verschlüsselung zu verlassen und zusätzlich eine Software-basierte Lösung zu nutzen.

Fehler können auch Verschlüsselungssoftware Bitlocker betreffen

Hier gibt es jedoch ein weiteres mögliches Problem: Die in Windows integrierte Verschlüsselungssoftware Bitlocker deaktiviert die Software-Verschlüsselung, wenn eine Festplatte Hardware-Verschlüsselung unterstützt und greift auf diese zurück. Es besteht also zunächst kein zusätzlicher Schutz. Das lässt sich jedoch lösen, indem die Gruppenrichtlinieneinstellungen so geändert werden, dass trotz der Hardware-Unterstützung eine Software-basierte Verschlüsselung genutzt werden soll.

Meijer und van Gastel fordern, dass Hersteller ihre Verschlüsselungsroutinen öffentlich machen, damit die Sicherheit unabhängig verifiziert werden kann. Sie kritisieren, dass man sich bei Hardwareverschlüsselung derzeit auf proprietäre, geschlossene und schwer zu auditierende Systeme verlassen müsse. "Festplattenverschlüsselung korrekt zu implementieren ist schwierig und Fehler haben oft katastophale Auswirkungen", schreiben sie.



Anzeige
Top-Angebote
  1. 159,00€
  2. (u. a. Vertigo, Vier Fäuste für ein Halleluja)
  3. (u. a. Der weiße Hai, Der blutige Pfad Gottes)
  4. 259,00€

FreiGeistler 08. Nov 2018

Seit Linux 4.1 (aktuell: 4.19) kann man ext4 direkt verschlüsseln. Nicht so simpel...

andy01q 07. Nov 2018

Die scheinen da tatsächlich die besten aus dem Testfeld zu sein. Siehe Bild von Twitter...

flow77 07. Nov 2018

Also bei Synology kein Problem (selbst im Einsatz). Qnap so viel ich weiß ebenso. Und...

mhstar 06. Nov 2018

"Die Wissenschaftler fanden heraus, dass der DEK in manchen Fällen nicht kryptographisch...

Pluto1010 06. Nov 2018

Es ist einfach preiswerter für den Hersteller. Ja das ist Betrug wenn sie sagen das da...


Folgen Sie uns
       


Nokia 9 Pureview - Hands on (MWC 2019)

Das neue Nokia 9 Pureview von HMD Global verspricht mit seinen fünf Hauptkameras eine verbesserte Bildqualität. Wir haben das im Hands on überprüft.

Nokia 9 Pureview - Hands on (MWC 2019) Video aufrufen
Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
Gesetzesinitiative des Bundesrates
Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
Von Moritz Tremmel

  1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
  2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
  3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

Display-Technik: So funktionieren Micro-LEDs
Display-Technik
So funktionieren Micro-LEDs

Nach Flüssigkristallanzeigen (LCD) mit Hintergrundbeleuchtung und OLED-Bildschirmen sind Micro-LEDs der nächste Schritt: Apple arbeitet daran für Smartwatches und Samsung hat bereits einen Fernseher vorgestellt. Die Technik hat viele Vorteile, ist aber aufwendig in der Fertigung.
Von Mike Wobker

  1. AU Optronics Apple soll Wechsel von OLEDs zu Micro-LEDs vorbereiten

    •  /