In einigen selbstverschlüsselnden internen und externen SSDs von Crucial und Samsung können aufgrund von Schwachstellen Angreifer ohne ein Passwort oder einen Schlüssel zu kennen die Verschlüsselung komplett umgehen und Daten einsehen.

Den Entdeckern der Lücken (CVE-2018-12037, CVE-2018-12038) von der niederländischen Radboud University zufolge gibt es bereits erste Sicherheitsupdates, weitere Patches seien in Arbeit. Zu dem Problem gibt es eine Stellungnahme von Samsung.

Betroffen sollen die internen Modelle MX100, MX200 und MX300 von Crucial und 840 EVO und 850 EVO von Samsung sein. Zudem sollen die externen USB-SDDs T3 und T5 von Samsung angreifbar sein. Die Sicherheitsforscher betonen, dass noch weitere Modelle und anderen Hersteller bedroht sein könnten.

Für eine erfolgreiche Attacke benötigt ein Angreifer physischen Zugriff auf einen gefährdeten Datenträger. In Rechenzentren mit sensiblen Daten ist es in der Regel schwieriger, physischen Zugriff auf Computer zu bekommen. Ist dies gegeben, müsste ein Angreifer über den Debug-Port einer betroffenen SSD eine manipulierte Firmware installieren, um die Passwortabfrage zu umgehen.

Dass Crucial und Samsung die Krpyto-Funktionen in einer Blackbox verstecken und Nutzer nicht wissen, was im Detail bei der Ver- und Entschlüsselung vor sich geht prangern die Sicherheitsforscher an. Der Einsatz von einsehbaren und geprüften Open-Source-Verschlüsselungsansätzen wäre Zielführend für dieses Problem.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE