برخی از دیسکهای سخت با قابلیت خودرمزنگاری دارای آسیبپذیریهایی هستند که در عمل رمزنگاری آنها را بیفایده میکند.
آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , در یک مقالهی دانشگاهی با عنوان «On the (in)security of a Self-Encrypting Drive series» که در اواخر سپتامبر سال جاری میلادی منتشر شده است با بررسی برخی از دیسکهای سخت شرکت Western Digital از آسیبپذیریهایی رنج میبرد که قابل سوءاستفاده است و مهاجم میتواند به کمک آنها در نهایت به دادههای ذخیرهشده در دیسک سخت دسترسی پیدا کند.
در این مقاله در مجموع ۶ مدل از دیسکهای سخت این شرکت بررسی شدهاند و پژوهشگران موفق شدهاند به کمک حملات فراگیر علیه گذرواژه، کلید رمزنگاری این دیسکها را به دست آورند. دسترسی به کلیدی که برای رمزنگاری دیسکهای سخت به کار رفته است، در عمل امکان دور زدن سازوکار رمزنگاری در این دیسکها را فراهم میکند. این آسیبپذیری در عمل یک درپشتی بسیار قدرتمند محسوب میشود.
شرکت Western Digital هنوز هیچ توضیحی در دو ماه گذشته در مورد این آسیبپذیری منتشر نکرده است.
دستگاههایی که در این پژوهش از آنها استفاده شده است در سالهای ۲۰۰۷ تا ۲۰۱۳ تولید شدهاند و اگر Western Digital از این آسیبپذیری مطلع بوده است فرصت کافی برای ارائهی وصلههای امنیتی سفتافزاری در این محصولات داشته است.
برخی مدلهای این دیسکهای سخت با نام My Passport که به کمک USB به رایانهها وصل میشوند و قابلیت خودرمزنگاری دارند در عمل رمزنگاری آنها فقط به واسط USB متصل است و تا زمان وارد کردن گذرواژه این واسط از دسترس خارج است و عملاً در رمزنگاری خود دیسک سخت مطرح نیست.
عددد تصادفی تولیدشده در هنگام رمزنگاری به کمک زمان سامانه ایجاد میشود و عملاً امنیت رمزنگاری را از ۲۵۶ بیت به ۳۲ بیت کاهش میدهد که در نهایت به کمک حملات فراگیر در زمان معقول قابل دور زدن است. علاوه بر این، گذرواژهی کاربر در خود دیسک سخت ذخیره میشود که احتمال شکستن رمزنگاری را تقویت میکند.
استفاده از دیسکهای سخت با قابلیت خودرمزنگاری بسیار رایج شده است، اغلب مدیران و کاربرانی که اطلاعات حساسی در اختیار دارند از این دیسکها استفاده میکنند و با وجود چنین آسیبپذیریهایی عملاً امنیت این دیسکها با دیسکهای عادی تفاوت چندانی ندارد اما کاربران از این مسئله آگاه نیستند.