آسیب‌پذیری‌های جدی در دیسک‌های سخت با قابلیت خودرمزنگاری

برخی از دیسک‌های سخت با قابلیت خودرمزنگاری دارای آسیب‌پذیری‌هایی هستند که در عمل رمزنگاری آن‌ها را بی‌فایده می‌کند.
در یک مقاله‌ی دانشگاهی با عنوان «On the (in)security of a Self-Encrypting Drive series» که در اواخر سپتامبر سال جاری میلادی منتشر شده است با بررسی برخی از دیسک‌های سخت شرکت Western Digital از آسیب‌پذیری‌هایی رنج می‌برد که قابل سوء‌استفاده است و مهاجم می‌تواند به کمک آن‌ها در نهایت به داده‌های ذخیره‌شده در دیسک سخت دست‌رسی پیدا کند.
در این مقاله در مجموع ۶ مدل از دیسک‌های سخت این شرکت بررسی شده‌اند و پژوهش‌گران موفق شده‌اند به کمک حملات فراگیر علیه گذرواژه‌، کلید رمز‌نگاری این دیسک‌ها را به دست آورند. دست‌رسی به کلیدی که برای رمز‌نگاری دیسک‌های سخت به کار رفته است، در عمل امکان دور زدن سازوکار رمز‌نگاری در این دیسک‌ها را فراهم می‌کند. این آسیب‌پذیری در عمل یک درپشتی بسیار قدرتمند محسوب می‌شود.
شرکت Western Digital هنوز هیچ توضیحی در دو ماه گذشته در مورد این آسیب‌پذیری منتشر نکرده است.
دستگاه‌هایی که در این پژوهش از آن‌ها استفاده شده است در سال‌های ۲۰۰۷ تا ۲۰۱۳ تولید شده‌اند و اگر Western Digital از این آسیب‌پذیری مطلع بوده است فرصت کافی برای ارائه‌ی وصله‌های امنیتی سفت‌افزاری در این محصولات داشته است.
برخی مدل‌های این دیسک‌های سخت با نام My Passport که به کمک USB به رایانه‌ها وصل می‌شوند و قابلیت خودرمزنگاری دارند در عمل رمزنگاری آن‌ها فقط به واسط USB متصل است و تا زمان وارد کردن گذرواژه این واسط از دست‌رس خارج است و عملاً در رمزنگاری خود دیسک سخت مطرح نیست.
عددد تصادفی تولید‌شده در هنگام رمز‌نگاری به کمک زمان سامانه ایجاد می‌شود و عملاً امنیت رمزنگاری را از ۲۵۶ بیت به ۳۲ بیت کاهش می‌دهد که در نهایت به کمک حملات فراگیر در زمان معقول قابل دور زدن است. علاوه بر این، گذرواژه‌ی کاربر در خود دیسک سخت ذخیره می‌شود که احتمال شکستن رمزنگاری را تقویت می‌کند.
استفاده از دیسک‌های سخت با قابلیت خودرمزنگاری بسیار رایج شده است، اغلب مدیران و کاربرانی که اطلاعات حساسی در اختیار دارند از این دیسک‌ها استفاده می‌کنند و با وجود چنین آسیب‌پذیری‌هایی عملاً امنیت این دیسک‌ها با دیسک‌های عادی تفاوت چندانی ندارد اما کاربران از این مسئله آگاه نیستند.
منبع: asis
اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap