100-Euro-Rabatt-Aktion

SSDs von Crucial und Samsung patzen bei der Hardware-Verschlüsselung

reported by doelf, Mittwoch der 07.11.2018, 16:48:47 Uhr

Die Sicherheitsforscher Carlo Meijer und Bernard van Gastel von der Radboud University im niederländischen Nijmegen warnen vor Schwachstellen in der Hardware-Verschlüsselung einiger Solid-State-Disks (SSDs). Betroffen sind die Modelle MX100, MX200 und MX300 der Micron-Tochter Crucial sowie Samsungs 840 EVO, 850 EVO und die externen SSDs der Baureihen T3 und T5.

Self-Encrypting Drives (SED), also Festplatten und Solid-State-Disks mit eingebauter Hardware-Verschlüsselung, versprechen eine hohe Sicherheit ohne Leistungsverluste. Da die Verschlüsselung im Laufwerk selbst stattfindet, bleiben Prozessor und Arbeitsspeicher außen vor, so dass hier keine Last entsteht und diese beliebten Angriffsvektoren versperrt bleiben. Wer solche Datenträger knacken möchte, muss sich daher ihre Firmware ansehen und deren Funktion durch Reverse Engineering nachvollziehen. Genau das haben die beiden Niederländer getan und sind dabei auf zwei Fehlergruppen gestoßen.

Das Schlüsselproblem (CVE-2018-12037)
Bevor die Laufwerke einen Zugriff gewähren, fragen sie nach einem Benutzerschlüssel. Wird dieser richtig eingegeben, wird ein Datenschlüssel aktiviert, mit dem die Daten dann ausgelesen werden. Doch leider besteht keinerlei Zusammenhang zwischen dem Benutzer- und dem Datenschlüssel. Gelingt es, dem Laufwerks-Controller eigenen Code unterzuschieben, kann man die Passwortabfrage aushebeln und sich mit einem eigenen (oder auch ganz ohne) Passwort Zugriff verschaffen. Ein Weg, dies zu erreichen, ist das Aufspielen eine manipulierten Firmware. Von dieser Schwachstelle sind alle eingangs erwähnten Geräte, also Crucials MX100, MX200 und MX300 sowie Samsungs 840 EVO, 850 EVO, T3 und T5, betroffen.

Das Wear-Levelling-Problem (CVE-2018-12038)
SSDs basieren auf Flash-Speicher. Dieser hält Daten auch ohne permanente Stromversorgung, verschleißt aber bei Schreibzugriffen. Um eine möglichst lange Lebensdauer zu erreichen, müssen die Schreibzugriffe daher über das gesamte Laufwerk verteilt werden. Dies geschieht über eine Technologie namens Wear-Levelling, welche bei Schreibzugriffen die logischen Sektoren auf immer andere physische Sektoren umleitet. Setzt der Benutzer ein Passwort, werden die ungesicherten Daten verschlüsselt und neu geschrieben. Aber eben nicht in den physischen Sektoren, die zuvor genutzt wurden. Daher ist es bei Samsungs 840 EVO möglich, die alte, unverschlüsselte Version ganz oder teilweise auszulesen.

Auswirkungen und Gegenmaßnahmen
Für Windows bietet Microsoft das Verschlüsselungswerkzeug BitLocker, das Datenträger auch über eine reine Software-Verschlüsselung schützen kann. Doch wenn BitLocker ein SED erkennt, wird automatisch dessen Hardware-Verschlüsselung genutzt. Die beiden Sicherheitsforscher raten daher zu einer quell-offenen Software wie VeraCrypt. Theoretisch sei es zwar möglich, die Fehler per Firmware-Update zu beheben, doch eine wirklich sichere Lösung trauen die beiden weder Crucial noch Samsung zu. Bisher gäbe es entweder gar keine Updates oder nur unzureichende Reparaturversuche. Beide Hersteller wurden im April 2018 über die Sicherheitslücken informiert und hatten 180 Tage Zeit, sich darum zu kümmern.

Crucial hatte schon am 25. Mai 2018 Firmware-Updates für die Baureihen MX200 (Firmware MU05) und MX100 (Firmware MU02) veröffentlicht und schreibt, dass sich diese um Sicherheitslücken kümmern, ohne weiter ins Detail zu gehen oder eine CVE-Nummer zu nennen. Die neueste Firmware für die Baureihe MX300 datiert derweil noch auf dem 9. Dezember 2017 (Firmware M0CR060). Samsung empfiehlt den Nutzern der externen Modelle T5 und T3 die Installation der Portable SSD Activation Software 1.6.2 mit anschließendem Firmware-Update. Auf Anfrage gibt es auch Firmware-Updates für die Generation T1. Wer eine interne SSD der Baureihen 840 EVO und 850 EVO verwendet, soll indes auf eine Software-Lösung wie VeraCrypt wechseln. Hier darf man wohl keine Updates mehr erwarten.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]