Όταν πρόκειται για την προστασία της ιδιωτικής ζωής, συνήθως οι χρήστες υπολογιστών σε όλο τον κόσμο είναι πρόθυμοι να πληρώσουν κάτι παραπάνω για να κρατήσουν τα αρχεία τους μακριά από τα αδιάκριτα βλέμματα. Και για πολλούς ανθρώπους οι σκληροί δίσκοι με αυτο-κρυπτογράφηση, όπως οι My Passport της Western Digital, είναι η πρώτη επιλογή.
Από την άλλη οι εταιρείες κατασκευής σκληρών δίσκων προσφέρουν τα προϊόντα τους σε προσιτές τιμές και με την υπόσχεση ότι προστατεύουν όλα τα δεδομένα που είναι αποθηκευμένα σε αυτά, με αποτέλεσμα ο τελικός αγοραστής να αισθάνεται ότι έχει μπροστά του μία πολύ καλή ποιότητα για τα χρήματα που θα ξοδέψει.
Αλλά ότι η κρυπτογράφηση υψηλού επιπέδου που ισχυρίζονται οι εταιρείες ότι προσφέρουν δεν είναι και τόσο προηγμένη όσο ορισμένοι πιστεύουν.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Ερευνητές ασφαλείας που έχουν μελετήσει αυτή τη μέθοδο αυτο-κρυπτογράφησης έχουν δημοσιεύσει ένα σχετικό έγγραφο στο Full Disclosure email list όπου εστιάζουν στα προβλήματα που επηρεάζουν αυτό το είδος των σκληρών δίσκων, και ειδικότερα σε αυτούς που κατασκευάζονται από την Western Digital. Για παράδειγμα, μία κακόβουλη αναβάθμιση του firmware θα μπορούσε να θέσει σε κίνδυνο την κρυπτογράφηση του σκληρού δίσκου, αλλά το βασικό πρόβλημα είναι άλλο.
Πριν προχωρήσουμε, λάβετε υπόψη ότι ο Full Disclosure email list είναι ο ιστότοπος όπου οι ερευνητές ασφαλείας ανακοινώνουν τα ευρήματά τους στα οποία μετά από προσπάθεια επικοινωνίας με τη μητρική εταιρεία δεν έλαβαν απάντηση. Με άλλα λόγια, η Western Digital έχει ενημερωθεί για τα προβλήματα ασφαλείας που βρέθηκαν από αυτούς τους εμπειρογνώμονες, αλλά αρνήθηκε να συνεργαστεί και να εξετάσει το θέμα. Έτσι οι ερευνητές αποφάσισαν να τα δημοσιοποιήσουν στο ευρύ κοινό.
Σύμφωνα με το Motherboard, το οποίο πηρε συνέντευξη από τον Matthew Green, επίκουρο καθηγητής στο Πανεπιστήμιο Johns Hopkins, ένα από τα κύρια ζητήματα, το οποίο επίσης επηρεάζει και τους δίσκους My Passport της Western Digital, είναι ότι τα κλειδιά κρυπτογράφησης δημιουργούνται με τη χρήση της λειτουργίας C rand(), πράγμα που σημαίνει ότι ο δίσκος δεν κάνει τίποτα περισσότερο παρά να επιλέξει ένα ψευδο-τυχαίο αριθμό το οποίο και θα χρησιμοποιήσει για την κρυπτογράφηση του εαυτού του. Η λειτουργία C rand() είναι μία απλή εντολή και δεν καθήκον της να παράγει ένα πραγματικά ισχυρό κλειδί.
Το κλειδί για όσο διάστημα απαιτείται για να δημιουργηθεί κυκλοφορεί με την μορφή 32-bit, πράγμα που το καθιστά εύκολο να σπάσει σε σύντομο χρονικό διάστημα, ακόμη και με έναν απλό υπολογιστή.
Όμως τα παρατράγουδα δεν σταματούν εδώ. Οι κωδικοί πρόσβασης είναι στην πραγματικότητα αποθηκευμένοι στο σκληρό δίσκο σε μορφή απλού κειμένου (!!!).
Σε ό, τι αφορά την Western Digital, η εταιρεία ανέφερε σε δήλωση της ότι, έχουν ήδη μιλήσει με τους ερευνητές ασφαλείας για τα θέματα που αφορούν τη κρυπτογράφηση που χρησιμοποιείται σε ορισμένα μοντέλα σκληρού δίσκου, και είναι σε διαδικασία «αξιολόγησης των παρατηρήσεων”.
Αν μέσα από όλα τα παραπάνω θέλετε ένα συμπέρασμα, τότε σας προτείνουμε το κάτωθι: Μην εμπιστεύεστε μια αυτο-κρυπτογράφηση σκληρού δίσκου και βεβαιωθείτε ότι δεν αντιγράφετε κρίσιμα δεδομένα σε μια τέτοια μονάδα. Οι κωδικοί πρόσβασης μπορούν να χακαριστούν. Προτιμήστε να κρυπτογραφείτε μόνο σας τους δίσκους σας με προγράμματα της αρεσκείας σας.
