Descubren graves fallos en el cifrado de las SSD de Samsung y Crucial que afectan a BitLocker

Investigadores de la Universidad Radboud de Nimega, en los Países Bajos, han dado a conocer que algunas unidades SSD muy extendidas incorporan importantes fallos de seguridad. La vulnerabilidad de los archivos en cuestión podría incrementarse si se usa BitLocker, puesto que su propio funcionamiento depende según la configuración de las medidas de la seguridad que pueda tener la propia SSD.

De forma más concreta, los investigadores han descubierto (PDF) que las unidades MX100, MX200 y MX300 de Crucial y Samsung T3, T5, 840 EVO y 850 EVO incorporan "un patrón de problemas críticos" en sus tecnologías de cifrado que se hizo inmediatamente evidente al inspeccionar su firmware mediante ingeniería inversa. Los investigadores creen que otros modelos de SSD podrían estar afectados por las mismas deficiencias.

Según sus hallazgos, una de las unidades puestas a prueba (Crucial MX300) permite descifrar sus datos utilizando una cadena vacía. El Master Password utilizado por defecto por Crucial está en blanco independientemente del nivel de seguridad escogido, por lo que solo hace falta modificar el parámetro MASTER PASSWORD CAPABILITY en la RAM. Otra SSD aceptaba directamente cualquier tipo de contraseña porque los controles de validación no funcionaban.

Asimismo, en algunos casos hay problemas en los métodos utilizados para generar las claves criptográficas y/o su almacenamiento.

Imagen

La gravedad de estos fallos y su visibilidad a posibles atacantes hacen muy posible su aprovechamiento con fines maliciosos, poniendo en peligro la integridad de los contenidos de las unidades SSD examinadas. El problema se agravva si se usa BitLocker, puesto que el sistema de protección de archivos de Microsoft utiliza por defecto la tecnología de cifrado de la propia SSD cuando existe, así que el usuario puede creer que sus documentos están protegidos cuando lo único que los separa de posibles atacantes es un muro de corchopán digital.

Los investigadores notificaron sus hallazgos a Crucial y Samsung hace seis meses para que pudieran actualizar sus unidades. No obstante, esta no es una solución plenamente efectiva según sus valoraciones. Idealmente los fabricantes no deberían utilizar soluciones propietarias, potencialmente inseguros y totalmente oscuras para los desarrolladores, sino software de código abierto y auditado como VeraCrypt. Hasta entonces recomiendan no usar por defecto las tecnologías de cifrado incorporadas en estas unidades.

En cuanto a las unidades SSD afectadas, Samsung recomienda actualizar el firmware de los modelos T3 y T5, así como "instalar software de cifrado compatible" en los modelos internos. Micron, por su parte, ha señalado a Tom's Hardware que las unidades Crucial serán actualizadas "en el futuro", sin proporcionar por ahora una fecha firme de disponibilidad.

Fuente: Universidad Radboud de Nimega
eh eh!, qué pasa con el corchopán digital! bien bueno que es.
korchopan escribió:eh eh!, qué pasa con el corchopán digital! bien bueno que es.


Encima con la cara de Coco [qmparto]

Pd: venga, siguiente pieza de hardware con coladero.
Que risa y yo con un mx300. Menos mal que no cifro nada porque no lo necesito....
@kikofras_cs Si te hiciera falta, puedes hacerlo con VeraCrypt, y no con Bitlocker... De este modo no sería vulnerable..
kikofras_cs escribió:Que risa y yo con un mx300. Menos mal que no cifro nada porque no lo necesito....


Si acaso el porno, y lo tengo en el mecánico...
Yo tengo el 850 Evo msata, vaya tocada de eggs.
Vaya tela ... si no de salva ningún componente ...
Y yo que uso VeraCrypt y pensaba que era un viejuno....
Encriptar datos sobre discos SSD es interesante pero para temas muy puntuales. Generalmente lo mas recomendable es hacerlo a traves de un NAS y por lo general para copias de seguridad incrementales externas .... (por lo general)
La verdad que encuentran fallos en todo el hardware.
pupegbl escribió:
kikofras_cs escribió:Que risa y yo con un mx300. Menos mal que no cifro nada porque no lo necesito....


Si acaso el porno, y lo tengo en el mecánico...


Sasto.
kai_dranzer20 está baneado por "Game Over"
fallos hasta en las tostadoras
Mi planes para conquistar al mundo a la vista de todos...
korchopan escribió:eh eh!, qué pasa con el corchopán digital! bien bueno que es.


¡Lo que me he llegado a reír al leer tu comentario y, acto seguido, ver tu nick! [+risas] [+risas] [+risas]

Y, encima, el primer comentario. Todavía me estoy riendo, ¡qué grande! [plas]
pupegbl escribió:
kikofras_cs escribió:Que risa y yo con un mx300. Menos mal que no cifro nada porque no lo necesito....


Si acaso el porno, y lo tengo en el mecánico...


Yo me compré un nvme de esos de 3000 M/s para el porno, me da ansiedad si no carga lo suficientemente rapido.
Que bueno lo del muro de corchopan digital! Me apunto el veracrypt para cuando haga falta, gracias.
Disculpen la ignorancia pero esto afecta a otros fabricantes?, apenas instalé hace un par de meses unos Adata y contentísimo con ellos, pero no sé si usen componentes de samsung, por ejemplo.
Yo tengo un 840 pro y no hay actualizaciones ni nada y llevo sin actualizar el firmware siglos.
18 respuestas