研究人员发现了广泛使用的数据存储设备中的安全漏洞

荷兰Radboud大学的研究人员发现，广泛使用的带有自加密驱动器的数据存储设备无法提供预期的数据保护水平。直接物理访问广泛销售的存储设备的恶意专家可以绕过现有的保护机制并在不知道用户选择的密码的情况下访问数据。

这些缺陷存在于两种主要制造商(即三星和Crucial)的几种固态硬盘(下面列出)的加密机制中。这些漏洞发生在内部存储设备(笔记本电脑，平板电脑和计算机)和外部存储设备(通过USB电缆连接)中。受影响的存储设备包括目前广泛使用的流行模型。

研究员Bernard van Gastel：“受影响的制造商在六个月前得到通知，符合常见的专业实践。结果正在公布，以便受影响的SSD的用户能够正确保护他们的数据。” 研究员Carlo Meijer：“这个问题需要采取行动，特别是那些在这些设备上存储敏感数据的组织。还有一些消费者已经启用了这些数据保护机制。但大多数消费者还没有这样做。”

如果需要保护敏感数据，则在任何情况下都建议使用软件加密，而不是仅依靠硬件加密。一种选择是使用免费和开源的VeraCrypt软件包，但其他解决方案确实存在。在运行Windows的计算机上，BitLocker提供软件加密，数据可能不安全(请参阅下面的“Windows计算机”)。

加密是主要的数据保护机制。它可以在软件或硬件中实现(例如在SSD中)。现代操作系统通常为整个存储提供软件加密。然而，可能发生这样的操作系统决定仅依赖于硬件加密(如果存储设备支持硬件加密)。BitLocker是Microsoft Windows内置的加密软件，可以使这种切换到硬件加密，但在这些情况下，受影响的磁盘无法提供有效的保护。如果不执行此切换，其他操作系统(如macOS，iOS，Android和Linux)内置的软件加密似乎不受影响。

研究人员利用公共信息和大约100欧元的评估设备确定了这些安全问题。他们通过常规零售渠道购买了他们检查的SSD。从头开始发现这些问题非常困难。但是，一旦知道问题的性质，就有可能被其他人自动利用这些漏洞，使滥用变得更容易。Radboud大学的研究人员不会发布这样的开发工具。

受影响的产品

在实践中实际证明了漏洞的模型是：

Crucial(美光)MX100，MX200和MX300内置硬盘;

三星T3和T5 USB外置磁盘;

三星840 EVO和850 EVO内置硬盘。

然而，应该注意的是，并非所有市场上可用的磁盘都经过测试。使用内部驱动器的特定技术设置(与“高”和“最大”安全性相关)可能会影响漏洞(请参阅下面的制造商和技术信息链接提供的详细信息)。

Windows计算机

在运行Windows的计算机上，名为BitLocker的软件组件处理计算机数据的加密。在Windows中，BitLocker使用的加密类型(即硬件加密或软件加密)是通过组策略设置的。如果可用，则使用标准硬件加密。对于受影响的型号，必须更改默认设置，以便仅使用软件加密。此更改不会立即解决问题，因为它不会重新加密现有数据。只有全新的安装(包括重新格式化内部驱动器)才会强制执行软件加密。作为替代重新安装，上述VeraCrypt 软件可以使用包。

负责任的披露

两家制造商于2018年4月被荷兰国家网络安全中心(NCSC)通知了这一安全问题。该大学向两家制造商提供了详细信息，使他们能够修复他们的产品。制造商将自己向客户提供有关受影响模型的详细信息; 链接如下。

在发现安全漏洞时，如何处理这些信息总是存在两难境地。立即公布细节可能会助长攻击并造成伤害。长期保守缺陷可能意味着不采取必要措施来应对漏洞，而人员和组织仍处于危险之中。安全社区的常见做法是尝试在这些问题之间取得平衡，并在受影响产品的制造商被告知后长达180天后揭示缺陷。这种做法被称为负责任的披露，被Radboud大学用作标准。

研究人员现在即将在学术文献中公布其研究结果的科学方面。一个这些调查结果(PDF，757 KB)的初稿将于今日2018年十一月公布，5一旦同行评审过程已经完成，最终版本将刊登在学术文献。本出版物不能作为如何打入SSD的指南。