Kamakailan ay naglabas ang Microsoft ng isang Security Advisory (ADV180028) na babala para sa mga gumagamit ng self-encrypted solid state drive (SSD) gamit ang mga system ng pag-encrypt ng Bitlocker.

Ang advisory na ito ng seguridad ay dumating matapos ang dalawang security researcher mula sa Netherlands, sina Carlo Meijer at Bernard van Gastel, ay naglabas ng isang draft na papel na nagpapahayag ng mga kahinaan na kanilang natuklasan. Narito ang abstract na pagbubuod ng problema:

Nasuri namin ang pag-encrypt ng full-disk ng hardware ng ilang mga SSD sa pamamagitan ng reverse engineering ng kanilang firmware. Sa teorya, ang garantiya ng seguridad na inaalok ng pag-encrypt ng hardware ay katulad o o mas mahusay kaysa sa mga pagpapatupad ng software. Sa katotohanan, natagpuan namin na maraming mga pagpapatupad ng hardware ay may mga kritikal na kahinaan sa seguridad, para sa maraming mga modelo na nagpapahintulot para sa kumpletong pagbawi ng data nang walang kaalaman ng anumang lihim.

Kung nakita mo ang papel, maaari mong basahin ang tungkol sa lahat ng iba't ibang mga kahinaan. Mag-concentrate ako sa dalawang pangunahing.

SSD Hardware Encryption Security

Alam ng Microsoft na may problema sa SSD. Kaya sa mga kaso ng mga naka-encrypt na SSDs, pahihintulutan ng Bitlocker ang pag-encrypt na ginamit ng SSDs. Sa kasamaang palad, para sa Microsoft, hindi ito malutas ang problema. Marami pa mula sa Meijer at van Gastel:

Ang BitLocker, ang software na naka-encrypt na binuo sa Microsoft Windows ay umaasa lamang ng eksklusibo sa hardware na full-disk na encryption kung ang SSD ay nai-advertise na suportado para dito. Kaya, para sa mga drive na ito, ang data na protektado ng BitLocker ay nakompromiso din.

Ang kahinaan ay nangangahulugang ang anumang mang-atake na maaaring basahin ang manu-manong gumagamit ng SED, ay maaaring ma-access ang master password. Sa pamamagitan ng pagkuha ng access sa master password, ang mga attackers ay maaaring makaligtaan ang password na binuo ng gumagamit at ma-access ang data.