Este tipo de SSD's (Solid State Drives) tem falhas no modo de autenticação que permitem ultrapassar a password de acesso e, dessa forma, concedem entrada aos dados encriptados armazenados nos mesmos.

Segundo os investigadores, as chaves de encriptação usadas para proteger os dados não derivam da password do utilizador final, o que faz com o atacante com acesso físico ao dispositivo consiga reprogramá-lo por uma porta de debug e fazer com que o mesmo aceite qualquer password. Após realizado esse passo de reprogramação, o SSD usa as suas chaves armazenadas para cifrar e decifrar os dados armazenados.

Dispositivos afetados

Os testes foram levados a cabo com sucesso em modelos da Crucial e Samsung, que falharam na implementação da encriptação padrão TCG Opal

O Bitlocker é um caso em que se baseia exclusivamente na encriptação total do hardware, e mostrou-se também problemático no que toca à proteção dos dispositivos.

Onde está o problema?

O problema dos SSD's em que a falha existe é que falham na associação da password do utilizador com a chave de encriptação dos dados (DEK), estando ambas guardadas na drive. O que normalmente acontece é o firmware no armazenamento usar o DEK apenas depois do utilizador ter fornecido a chave correta, e o que acontece neste caso é que o atacante consegue reprogramar o firmware de forma a ignorar a password e usar o DEK.

Em alguns modelos de SSD, os especialistas conseguiram também obter as chaves através da modificação do firmware. Noutros casos, foram capazes de aceder à chave através da exploração de uma vulnerabilidade de injeção de código na rotina de password.

Os piores casos são aqueles em que a drive suporta o TCG Opal, como no caso do Bitlocker. O software desativa a encriptação por software, baseando-se tão-só na implementação do hardware. E sendo esta a política padrão, muitos utilizadores utilizam involuntariamente encriptação de hardware, o que os expõe às mesmas ameaças.

Soluções

O que é sugerido é a salvaguarda das chaves de encriptação fora do equipamento, usando por exemplo um tipo de encriptação que é no disco tudo, ou a chamada encriptação usando software de encriptação full-disk, e encriptar e desencriptar os dados antes de entrar e depois de aceder à drive, usando a chave proveniente da password fornecida pelo utilizador.

No final de contas, o que é recomendado é que todos aqueles que dependem da encriptação por hardware implementem também uma solução de encriptação em software full-disk. Para isto, o que os especialistas sugerem usar é o VeraCrypt, que permite uma encriptação in-place enquanto o sistema operativo está a correr. Neste caso, o software consegue coexistir com a encriptação de hardware. Mesmo que a encriptação já esteja definida por hardware ou suportada por hardware, os utilizadores conseguem dar preferência ao uso de software se se dirigirem à configuração das políticas de grupo.

Mais informações aqui: https://www.zdnet.com/article/flaws-in-self-encrypting-ssds-let-attackers-bypass-disk-encryption/