[PWC-MEDIA] Radboud-onderzoekers ontdekken beveiligingsprobleem met veelgebruikte computeropslagmedia

  • From: "Media, RU" <media@xxxxx>
  • To: "wetenschapsredactie@xxxxxxxxxxxxxxxxxx" <IMCEAINVALID-wetenschapsredactie+40communicatie+2Eru+2Enl@xxxxxxxxxxxxx>
  • Date: Mon, 5 Nov 2018 09:01:12 +0000

[cid:image001.png@01D474E7.16EE7260]


** U vindt dit bericht ook op 
https://www.ru.nl/nieuws-agenda/nieuws/nieuwsoverzicht/



Radboud-onderzoekers ontdekken beveiligingsprobleem met veelgebruikte 
computeropslagmedia

Onderzoekers van de Radboud Universiteit hebben ontdekt dat veelgebruikte 
computeropslagmedia die werken met een ‘zelfversleutelende schijf’ niet het 
verwachte niveau van gegevensbescherming bieden. Kwaadwillende experts met 
directe fysieke toegang tot dergelijke opslagmedia kunnen de bestaande 
beveiligingsmechanismen omzeilen en zonder kennis van het wachtwoord toegang 
krijgen tot gegevens.
Deze gebreken zijn te vinden in het versleutelingsmechanisme van verschillende 
soorten solid state-schijven (SSD’s) (hieronder opgesomd) van twee grote 
fabrikanten, namelijk Samsung en Crucial. De kwetsbaarheden komen zowel voor in 
interne opslagapparaten (in laptops, tablets en computers) als in externe 
opslagapparaten (aangesloten via een USB-kabel). Tot de getroffen opslagmedia 
behoren populaire modellen die momenteel veel worden verkocht.

Onderzoeker Bernard van Gastel: ‘De betrokken fabrikanten zijn een half jaar 
geleden op de hoogte gebracht volgens de gangbare professionele praktijk. De 
resultaten worden vandaag openbaar gemaakt, zodat betrokken organisaties en 
consumenten hun gegevens goed kunnen beschermen.’
Onderzoeker Carlo Meijer: 'Dit probleem vraagt vooral om actie van organisaties 
die gevoelige gegevens op deze apparaten opslaan. En ook van sommige 
consumenten die deze vorm van gegevensbescherming gebruiken. De meeste 
consumenten gebruiken deze vorm van gegevensbescherming echter nog niet.’

Aanbevelingen
Als gevoelige gegevens moeten worden beschermd is het aan te raden om in elk 
geval softwareversleuteling te gebruiken en dus niet alleen te vertrouwen op 
hardware-encryptie. Een van de mogelijke opties is om het gratis 
VeraCrypt-open-source- softwarepakket te gebruiken, maar er bestaan ook andere 
oplossingen.

Achtergrond
Encryptie (versleuteling) is het belangrijkste mechanisme voor 
gegevensbescherming. Dat kan zowel via software als via hardware, bijvoorbeeld 
in SSD’s. In moderne besturingssystemen wordt over het algemeen 
softwareversleuteling gebruikt voor de gehele opslag. Het kan echter voorkomen 
dat zo’n besturingssysteem zelf besluit enkel te vertrouwen op 
hardwareversleuteling (Als deze wordt ondersteund door hun opslagmedium via de 
TCG Opal-standaard). BitLocker, de versleutelingssoftware die in Microsoft 
Windows is ingebouwd, kan een dergelijke switch naar hardwareversleuteling 
maken maar biedt in deze gevallen dan toch geen effectieve bescherming. 
Encryptiesoftware die in andere besturingssystemen (zoals macOS, iOS, Android 
en Linux) is ingebouwd, lijkt onaangetast als deze switches niet worden 
uitgevoerd.

Gebruikte methoden
De onderzoekers vonden deze kwetsbaarheden met behulp van openbare informatie 
en ongeveer € 100 aan evaluatieapparatuur. Ze kochten de SSD's die ze 
onderzochten via de normale verkoopkanalen. De kwetsbaarheden zijn vrij 
moeilijk te ontdekken. Echter, zodra de aard van de kwetsbaarheden bekend is, 
bestaat het risico dat  exploitatie van deze gebreken door anderen wordt 
geautomatiseerd, waardoor misbruik gemakkelijker wordt. De onderzoekers van de 
Radboud Universiteit zullen dergelijke exploitatie- middelen niet vrijgeven.

Betrokken producten
De modellen waarbij daadwerkelijk kwetsbaarheden zijn aangetoond zijn:
- de Crucial (Micron) MX100, MX200 en MX300 interne harde schijven;
- de Samsung T3 en T5 externe USB-stations;
- de Samsung 840 EVO en 850 EVO interne harde schijven.
Overigens zijn niet alle beschikbare schijven op de markt getest.
Specifieke technische instellingen (met betrekking tot bijvoorbeeld "high" en 
"max" security) van interne schijven kunnen van invloed zijn op de 
kwetsbaarheid (zie de gedetailleerde informatie van de fabrikanten en de 
hieronder vermelde links naar technische informatie).

Windows-computers
Op computers met Windows zorgt een softwarecomponent genaamd BitLocker voor de 
versleuteling van de gegevens van de computer. Binnen Windows wordt het soort 
versleuteling dat BitLocker gebruikt, ingesteld via de zogenaamde Group Policy. 
Alleen een geheel nieuwe installatie, inclusief het opnieuw formatteren van de 
interne schijf, zal softwareversleuteling afdwingen. Het wijzigen van de 
standaardwaarde lost het probleem niet onmiddellijk op, omdat het bestaande 
gegevens niet opnieuw versleutelt. Meer informatie over de Group 
Policy-instelling vindt u in de linkssectie hieronder.

Verantwoorde openbaarmaking
Beide fabrikanten zijn in april 2018 via het Nationaal Cyber Security Centrum 
(NCSC) geïnformeerd. De universiteit heeft de gegevens aan beide fabrikanten 
verstrekt opdat ze hun product kunnen aanpassen. De fabrikanten zullen zelf 
gedetailleerde informatie verstrekken aan hun klanten over de betreffende 
modellen; de nodige links staan onderaan.

Bij het ontdekken van een beveiligingsfout is er altijd het dilemma van hoe om 
te gaan met deze informatie. Onmiddellijke publicatie van de gegevens kan 
aanvallen aanmoedigen en schade toebrengen. Het langdurig geheimhouden van de 
fout kan betekenen dat de nodige stappen om de kwetsbaarheid tegen te gaan niet 
worden genomen, terwijl mensen en organisaties nog steeds risico lopen. In de 
beveiligingsgemeenschap is het gebruikelijk om naar een zeker evenwicht te 
zoeken en te wachten met gebreken aan het licht te brengen tot maximaal 180 
dagen nadat de fabrikant van het betrokken product op de hoogte is gebracht. 
Deze procedure van verantwoorde openbaarmaking wordt standaard gebruikt door de 
Radboud Universiteit.

De bescherming van digitale gegevens is een noodzaak geworden, zeker in het 
licht van de nieuwe Europese algemene verordening inzake gegevensbescherming 
(AVG). De Radboud Universiteit wil hieraan bijdragen via haar 
computerbeveiligingsonderzoek, zowel door nieuwe beveiligingsmechanismen te 
ontwikkelen als door de kracht van bestaande mechanismen te analyseren.

Publicatie
De onderzoekers staan nu op het punt om de wetenschappelijke aspecten van hun 
bevindingen te publiceren in de wetenschappelijke literatuur. Vandaag, 5 
november 2018, wordt een voorlopige versie van deze bevindingen gepubliceerd. 
Na afloop van het ‘peer-review’-proces verschijnt er een definitieve versie in 
de wetenschappelijke literatuur. Deze publicatie vormt geen leidraad voor het 
inbreken in SSD's.

Links

  *   'Group Policy nodig voor Microsft Windows 
BitLocker'<https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj679890%28v=ws.11%29#configure-use-of-hardware-based-encryption-for-fixed-data-drives>
  *   Extra informatie van 
Samsung<https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/>
  *   'Advisory by the National Cyber Security Centre can be found at their 
website'<https://www.ncsc.nl/> (NCSC)
Meer weten? Neem contact op met

  *   Wetenschapscommunicatie Radboud 
Universiteit<https://www.ru.nl/onderzoek/rondom-onderzoek/persvoorlichting/wetenschapscommunicatie/>;
 (024) 361 6000; media@xxxxx<mailto:media@xxxxx>
  *   Martijn Gerritsen, Woordvoerder Radboud Universiteit, 024 361 14 33,
06 30 02 32 50, gerritsen@xxxxx<mailto:m.gerritsen@xxxxx>
  *   Bernard van Gastel, (024) 365 26 32, B.vanGastel@xxxxxxxx


PNG image

Other related posts:

  • » [PWC-MEDIA] Radboud-onderzoekers ontdekken beveiligingsprobleem met veelgebruikte computeropslagmedia - Media, RU