Luka w szyfrowaniu sprzętowym SSD. Jak uchronić się przed kradzieżą danych?

Microsoft opublikował poradę bezpieczeństwa na temat nowo odkrytej podatności, która występuje w opartym na sprzęcie szyfrowaniu SSD. Lukę odkryli holenderscy badacze zabezpieczeń z Uniwersytetu im. Radbouda w Nijmegen, Carlo Meijer i Bernard von Gastel. Opublikowali oni dokument na temat słabych stron szyfrowania dysków SSD i podali w nim sposób na obejście zabezpieczeń.

Luka w zabezpieczeniach pozwala hakerom zyskać dostęp do dysku i skopiować z niego dane bez potrzeby podawania hasła. Dysk musi być jednak podłączony na sztywno, by podatność zadziałała. Microsoft udostępnia tymczasem poradnik dla administratorów, w którym krok po kroku pokazuje, jak zmienić szyfrowanie z opartego na oprogramowaniu na sprzętowe. Według dostępnej wiedzy luka występuje w niemal wszystkich dyskach SSD popularnych producentów, m.in. w Crucial MX100, MX200 i MX3000, Samsung T3 i T5 oraz Samsung 840 Evo i 850 Evo.

Administratorzy powinni najpierw sprawdzić, czy używane jest szyfrowanie software'owe. W tym celu:

1. Otwieramy Wiersz polecenia jako administrator.
2. Wpisujemy komendę manage-bde.exe -status.
3. Szukamy "Hardware Encryption" pod "Encryption Method".
4. Jeśli takiego odniesienia nie ma, oznacza to, że stosowane jest szyfrowanie oparte na oprogramowaniu.

W przeciwnym razie, gdy znajdziemy odniesienie do "Hardware Encryption", możemy samodzielnie zmienić metodę szyfrowania. Aby to zrobić:

1. W menu Start wpisujemy i klikamy gpedit.msc. Otworzy się Edytor lokalnych zasad grupy.
2. Przechodzimy do ścieżki Konfiguracja komputera > Szablony administracyjne > Składniki systemu Windows > Szyfrowanie dysków funkcją BitLocker.
3. W zależności od rodzaju dysku przechodzimy do dalszego katalogu:
• Dyski z systemem operacyjnym
• Stałe dyski danych
• Wymienne dyski danych
4. Odnajdujemy ustawienie Konfiguruj używanie sprzętowego dla dysków...
5. Klikamy je dwukrotnie i zaznaczamy opcję Wyłączone. Zatwierdzamy przyciskiem OK.

Ustawienie zostanie zaaplikowane do nowych dysków, które podłączamy do komputera. BitLocker nie zmieni jednak metody szyfrowania dla już zaszyfrowanych dysków. Musimy to zrobić samodzielnie, odszyfrowując i zaszyfrowując dysk ponownie. Niestety, jest to proces czasochłonny. Warto tu podkreślić, że problem dotyczy tylko dysków SSD, a dyski HDD są od niego wolne. SSD jest jednak dość powszechnie występującym rodzajem pamięci, zwłaszcza w laptopach.