Western Digital: Selbstverschlüsselnde Festplatten sind voller Fehler

Die Verschlüsselung ist gerade bei externen Festplatten sinnvoll, da sie verloren gehen können. Doch zahlreiche Modelle von Western Digital mit eingebauter Verschlüsselungsfunktion sind mit einfachen Methoden angreifbar.

Artikel veröffentlicht am ,
Die Verschlüsselung zahlreicher mobiler Festplatten lässt sich leicht umgehen.
Die Verschlüsselung zahlreicher mobiler Festplatten lässt sich leicht umgehen. (Bild: Western Digital)

Zahlreiche Modelle von Western Digitals selbstverschlüsselnden Festplatten aus der Reihe My Passport und My Book weisen massive Sicherheitsmängel auf, wie die Forscher Gundar Allendal, Christian Kison und ein Autor mit dem Pseudonym modg sagen. Die Mängel sollen es Angreifern mit physischem Zugang zu dem Gerät ermöglichen, die verschlüsselten Daten einzusehen.

Stellenmarkt
  1. Fachinformatiker*in im Bereich Deployment
    Max-Planck-Institut für Plasmaphysik Teilinstitut Greifswald, Greifswald
  2. Mitarbeiter Kundenservice (m/w/d) Technischer Onlineshop Support
    Beckerbillett GmbH, Hamburg
Detailsuche

Die meisten der verwundbaren Geräte sind nach Angaben der Forscher externe Festplatten mit USB-Anschluss. Eine Reihe von Fehlern macht es Angreifern jedoch leicht, das Passwort der Festplatte zu knacken - selbst, wenn eine lange, zufallsgenerierte Passphrase verwendet wird. Die Passwörter werden auf dem Gerät eigentlich gesichert aufbewahrt - sie sind mit SHA256 gehasht und gesalzen. Die Sata-zu-USB-Controller sollen einen Zugriff auf das Sata-Interface eigentlich verhindern, bis ein gültiges Passwort eingegeben wird.

Doch in einigen Fällen wurden leicht berechenbare Zufallszahlen verwendet, um die Verschlüsselung zu erzeugen. In einem Fall soll dafür die aktuelle Systemzeit des Computers herangezogen worden sein. Dieser Fehler wurde zwar im vergangenen Jahr behoben - zahlreiche so verschlüsselte Festplatten dürften aber noch heute angreifbar sein.

Passwort-Hashes können auf dem PC analysiert werden

In einem anderen Beispiel beschreiben die Sicherheitsforscher, wie die Passwort-Hashes von der Festplatte auf den PC eines Angreifers kopiert werden können, um das Passwort dann dort mit Hilfe großer Rechenleistung zu knacken.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Zudem werden alle Festplatten mit einem Standardpasswort ausgeliefert. Wird das Passwort vom Nutzer nur ein einziges Mal geändert, bleibt das ursprüngliche Standardpasswort verschlüsselt auf dem Gerät gespeichert. Nutzer können sich leicht dagegen schützen, indem sie das Passwort ein zweites Mal ändern - doch viele dürften das nicht wissen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Mozilla
Firefox verliert 20 Prozent Nutzer in zweieinhalb Jahren

Die offiziellen Nutzer-Statistiken des Firefox-Browsers sehen für Mozilla nicht gut aus. Immerhin wird der Browser intensiver genutzt.

Mozilla: Firefox verliert 20 Prozent Nutzer in zweieinhalb Jahren
Artikel
  1. Google, Mozilla, Telegram: Youtube schaltet testweise für 7 Euro die Werbung ab
    Google, Mozilla, Telegram
    Youtube schaltet testweise für 7 Euro die Werbung ab

    Sonst noch was? Was am 2. August 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Dice: Mietserver für Battlefield 2042 möglicherweise später
    Dice
    Mietserver für Battlefield 2042 möglicherweise später

    Zum Start von Battlefield 2042 wird es keine RSP-Mietserver geben. Dennoch sollen Spieler eigene private Partien eröffnen können.

  3. Halo Infinite angespielt: Spartan-Bots machen dem Master Chief alle Ehre
    Halo Infinite angespielt
    Spartan-Bots machen dem Master Chief alle Ehre

    Die Technical Preview von Halo Infinite schickt uns in Gefechte gegen die künstliche Intelligenz - oft mit ziemlich knappem Ausgang.
    Ein Hands-on von Marc Sauter

pigzagzonie 22. Okt 2015

Diese Überschrift suggeriert, dass die Daten auf der Platte durch die Verschlüsselung...

the_crow 21. Okt 2015

Ist das korrekt? Typischerweise erfolgt die Verschlüsselung doch im Sata-Controller und...

nicoledos 21. Okt 2015

Irgendwie verpfuschen alle Anbieter ihre bezahlbaren Produkte mit integrierten...

George99 21. Okt 2015

Für die beiden Forumsküken :D https://www.youtube.com/watch?v=lGrExEa51YU

narfomat 21. Okt 2015

also damit konnte ja nun wirklich niemand rechnen... immerhin wurde der fehler behoben...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • Samsung Odyssey G5 (34 Zoll, 165 Hz) 399€ • 15% auf Xiaomi-Technik • McAfee Total Protection ab 15,99€ • Saturn: 1 Produkt zahlen, 2 erhalten • Final Fantasy VII HD Remake PS4 25,64€ [Werbung]
    •  /