Az öntitkosító meghajtókra (self-encrypting drive, SED) támaszkodó vállalatoknak érdemes szem előtt tartaniuk, hogy ez a technológia sem ad teljes védelmet a támadásokkal szemben, és tanácsos, ha gondosan mérlegelik valamely szoftveres titkosító megoldás alkalmazását - hívta fel a figyelmet testvérlapunk, a NetworkWorld. Daniel Boteanu és Kevvie Fowler, a KPMG kanadai leányvállalatának két szakembere ugyanis a múlt héten Amszterdamban megrendezett Black Hat Europe konferencián demonstrálta, hogy a SED meghajtót tartalmazó laptopokról többféleképp is adatok lophatók.
Ezek a meghajtók egy dedikált segédprocesszor segítségével titkosítják az adatokat, amely a kontroller részét képezi, így nagyobb teljesítményt érnek el, mint a szoftveres titkosítást használó termékek, amelyek a gép CPU-jára támaszkodnak.
Adatbiztonság szempontjából a SED-ek előnye, hogy a titkosító kulcsot nem az operációs rendszer memóriájában, hanem magán a merevlemezen tárolják, így ahhoz nehezebb hozzáférni. Ez azonban nem jelenti azt, hogy a szoftveres titkosítást feltörő támadások némelyikét ne lehetne sikerrel bevetni a SED-ek ellen is.
Boteanu és Fowler olyan, SED-del ellátott laptopokat használt kutatásához, amelyek a Trusted Computing Group (TCG) Opal néven ismert Storage Security Subsystem Class szabványával, és a Microsoft Encrypted Drive (eDrive) szabványával kompatibilisek - ez utóbbi szintén az Opalra épül. Könnyű menedzselhetőségük miatt ugyanis a vállalatok előnyben részesítik ezeket a gépeket.
Közelebbről a kutatók Lenovo ThinkPad T440s, Lenovo ThinkPad W541, Dell Latitude E6410 és Dell Latitude E6430 laptopok különböző konfigurációival kísérleteztek, amelyek Samsung 850 Pro és PM851 SSD meghajtókat, illetve Seagate ST500LT015 és ST500LT025 merevlemezeket tartalmaztak, és Opal vagy eDrive üzemmódban működtek.
A támadások, amelyeket Boteanu és Fowler demonstrált, azt bizonyítják, hogy olyan esetekben, amikor a laptop nem teljesen kikapcsolt állapotban, hanem alvó üzemmódban kerül illetéktelen kezekbe, az Opal és az eDrive szabványok sem tudják garantálni az adatok biztonságát.
Lezárt állapotban van ugyan a SED, amikor a laptop alvó üzemmódba kerül, de amikor felébresztik, a memóriába már betöltött, pre-boot menedzsmentszoftver feloldja a meghajtó védelmét, még akkor is, hogy ha a Windows egyébként jelszó beírását kéri a felhasználótól.
Kihasználva ezt a kutatók három különböző támadást is sikerrel végrehajtottak, amelyek során két eltérő módon is másik laptophoz csatlakoztatták a zárolás alól feloldott merevlemezt, illetve szoftveres újraindítást kezdeményeztek a gépen, és így fértek hozzá a SED-en tárolt adatokhoz.
A demó fő tanulsága, hogy bekapcsolt állapotban, illetve alvó üzemmódban levő laptopokban a SED-ek alapértelmezésben nem biztonságosak. Az ebből fakadó kockázatokat csökkenthetik a felhasználók, ha gépüket mindig kikapcsolják vagy hibernálják, mielőtt magára hagynák, az IT-osztály pedig házirendben akár meg is tilthatja az alvó üzemmód használatát. A jövőben a laptopgyártók is beépíthetnek olyan mechanizmusokat, amelyek érzékelik, ha alvó üzemmódban eltávolítják a SED-et a gépből.
Nem túl jó hír azonban, hogy a dolgok mostani állása szerint utólag szinte lehetetlen megállapítani, hogy sor került-e ilyen támadásra, ezért a SED technológiára támaszkodó vállalatok helyesen teszik, ha újraértékelik a biztonsági kockázatot, amelyet az elveszett vagy ellopott laptopok jelentenek.