Dane zapisane na samoszyfrujących dyskach twardych nie są bezpieczne

Firmy posiadające laptopy wyposażone w dyski twarde typu SED (Self-Encrypting Disc), czyli takie, które same szyfrują dane, powinny mieć świadomość, że przechowywane informacje nie są bezpieczne i mogą zostać odczytane.

Samoszyfrujące dyski twarde cieszą się dużym powodzeniem. Pisaliśmy o tym w materiałe “Samoszyfrujące dyski - warto je stosować”. Jednak dwaj informatycy pracujący w firmie KPMG Canada (Daniel Boteanu i Kevvie Fowler) zademonstrowali niedawno w Amsterdamie na konferencji Black Hat Europe, jak można odczytywać dane zapisane na dysku SED.

W dyskach SED szyfrowaniem i deszyfrowaniem danych zajmuje się dedykowany do tego celu procesor, będący integralną częścią zarządzającego nim kontrolera. Rozwiązanie takie ma jedną podstawową przewagę nad rozwiązaniami, w których szyfrowaniem/deszyfrowaniem danych zajmuje się oprogramowanie. Wynika ona z tego, że dane są przetwarzane przez układ CPU instalowany w systemie, który z reguły pracuje szybciej.

Zobacz również:

Wydaje się też bezpieczniejsze, ponieważ klucze używane do szyfrowania/deszyfrowanie danych przechowywane są wtedy na samym dysku, a nie w pamięci RAM wchodzącej w skład komputera.

Okazuje się jednak, że niektóre ataki przeprowadzane na systemy obliczeniowe, w których szyfrowaniem/deszyfrowaniem danych zajmuje się oprogramowanie, mogą być równie skuteczne wtedy, gdy szyfrowaniem danych zajmuje się sam dysk twardy SED. Są to np. ataki typu “evil maid” oraz takie, które potrafią oszukać Windowsowe systemy sprawdzające tożsamość zdalnego użytkownika próbującego zalogować się do komputera. Dla przypomnienia, atak typu “evil maid” (znany jako atak złośliwej pokojówki) polega na przechwyceniu hasła używanego do odszyfrowywania danych zapisanych na dysku twardym.

Do analiz, informatycy z KPMG użyli dwóch grup laptopów wyposażonych w dyski SED. W pierwszej znajdowały się laptopy zawierające napędy pracujące zgodnie ze standardem Storage Security Subsystem Class opracowanym przez Trusted Computing Group (znanym pod nazwą Opal), a w drugiej laptopy zawierające dyski SED szyfrujące dane zgodnie ze standardem Encrypted Drive (standard eDrive opracowany przez Microsoft).

Amsterdam: konferencja Black Hat Europe i prezentacja ataków na dyski twarde SED

Amsterdam: konferencja Black Hat Europe i prezentacja ataków na dyski twarde SED

Dyski SED są często instalowane w laptopach kupowanych przez firmy, ponieważ można nimi łatwo zdalnie zarządzać. I tak np. dyskami pracującymi zgodnie ze standardem Storage Security Subsystem Class można zarządzać przy pomocy aplikacji BitLocker, której twórcą jest Microsoft.

Informatycy testowali następujące laptopy: Lenovo ThinkPad T440s, Lenovo ThinkPad W541, Dell Latitude E6410 i Dell Latitude E6430. Zawierały one dyski Samsung 850 Pro, SSD PM851, Seagate ST500LT015 lub ST500LT025.

Informatycy udowodnili, że w przypadku gdy laptop nie został wyłączony, a znajduje się w stanie uśpienia, haker może przejąć nad nim kontrolę i odczytać zapisane na dysku SED dane. Zademonstrowali przy tym trzy scenariusze.

Pierwszemu atakowi nadali nazwę “hot plug”. Polegał on na wyjęciu z laptoda dysku znajdującego się w stanie uśpienia i podłączeniu go do laptopa z powrotem – używając zewnętrznego źródła zasilania - poprzez interfejs SATA. Laptop wychodzi w tym momencie ze stanu uśpienia, a zarządzające nim oprogramowanie otwiera dysk twardy. Haker może wtedy odłączyć kabel SATA (pozostawiając kabel zasilający) i podłączyć dysk do innego laptopa, a następnie uzyskać dostęp do zapisanych na nim danych. Atak tego typu można prowadzić zarówno na dyski pracujące zgodnie ze standardem Opal, jak i te, które pracują zgodnie ze standardem eDrive.

Wynika z tego wniosek, że użytkownicy takich laptopów nie powinni ich nigdy pozostawiać w stanie uśpienia, a bezwzględnie wyłączać lub wprowadzać w stan hibernacji. W przeciwnym przypadku haker będzie w stanie odczytać zapisane dane. I tu rada dla administratorów systemów IT. Powinni wyłączyć opcję, a jest to możliwe, umożliwiającą wprowadzanie firmowych laptopów w stan uśpienia.

Radzą też, aby producenci laptopów zastosowali dodatkowy mechanizm. Wykrywałby on czy dysk nie został odłączony od laptopa w momencie, gdy znajduje się on w stanie uśpienia. Gdy ma to miejsce, mechanizm powinien automatycznie wyłączać dysk i resetować laptop. Producenci dysków SED mogliby też wyposażać je w mechanizm wykrywający czy kabel SATA nie został od nich odłączony. Gdy ma to miejsce, mechanizm ten powinien również automatycznie zamykać dysk.

W drugim scenariuszu dysk nie jest odłączany od laptopa. Haker zmusza laptop do wykonania operacji tzw. miękkiego resetu poprzez zasymulowanie, że w systemie Windows wystąpił krytyczny błąd BSOD (Blue Screen of Death). Miękki reset nie odłącza od dysku zasilania, tak iż pozostaje on dalej otwarty.

Gdy laptop znajduje się w stanie uśpienia, haker może go wyprowadzić z tego stanu i następnie podłączyć do portu USB specjalny układ noszący nazwę Facedancer. Układ taki potrafi symulować pracę różnych urządzeń USB i oszukać Windows, sugerując iż w systemie wystąpił błąd BSOD.

Laptop wykonuje w takim przypadku operację reboot (ponowny rozruch). Haker może wtedy – naciskając na klawiaturze odpowiedni klawisz funkcyjny - zmusić laptop do załadowania oprogramowania inicjującego operację rozruchu z innego źródła. Np. z przygotowanego przez siebie zewnętrznego dysku, który zawiera obraz systemu Linux. Dalszy scenariusz jest prosty. Haker ma przed sobą komputer Linux oraz towarzyszący mu, otwarty dysk.

Na taki atak podatne są dyski SED pracujące zgodnie ze standardem Opal, ale zainstalowane np. w laptopach Lenovo i pracujące zgodnie z standardem eDrive, są odporne na takie działania.

Aby zapobiec takim atakom , informatycy radzą administratorom aby wyłączali opcję Windows, która restartuje automatycznie laptop po wystąpieniu błędu BSOD.

Trzeci atak nosi nazwę “hot unplug” i jest trudniejszy do przeprowadzenia, ponieważ haker musi się wtedy dostać do pinów złącza SATA i to wtedy, gdy dysk pracuje. Musi też dołączyć do dysku zewnętrze źródło zasilania i podłączyć go do innego laptopa.

Jak widać za każdym razem haker wykorzystuje fakt, iż dyski SED nie są należycie chronione wtedy, gdy laptop znajduje się w stanie uśpienia. Według informatyków jest na to tylko jedna rada. Do dysków SED trzeba wprowadzić rozwiązania, które zapobiegną takim zagrożeniom.

Podsumowując należy powiedzieć, że specjaliści z KPMG ponad wszelką wątpliwość udowodnili, że dyski SED nie są wcale w stu procentach bezpieczne, tak jak do tej pory sądzono. Dlatego firmy decydujące się na zakup laptotów wyposażonych w dyski SED powinni sobie zdawać sprawę z tego, że w przypadku ich zagubienia czy kradzieży, ważne dla nich biznesowe dane, przechowywane w pamięci takich laptopów mogą zostać odczytane.


TOP 200