https://pc.watch.impress.co.jp/docs/news/1152070.html
研究チームは、ファームウェアのリバースエンジニアリングで、異なるベンダーの複数のSEDのドライブ暗号化の実装を分析。
その結果、重大なセキュリティ上の脆弱性を発見し、多くの場合、
パスワードや秘密鍵を知らなくても、暗号化されたドライブの内容を復号でき、暗号化を完全にバイパスできたとする。
SSDにローレベルアクセスが可能なJTAGでアクセスし、実装を検証した結果、
問題のSSDではパスワードと秘密鍵が紐付けられておらず、パスワード変更のコマンドを使ってパスワードを書き換えてしまうことで、
データにアクセスが可能となっていたという。
問題の影響が確認されているのは、Crucialの「MX100」、「MX200」、「MX300」2.5インチSSDと、
Samsungの「T3」、「T5」ポータブルSSD、「840 EVO」、「850 EVO」2.5インチSSDだが、
チームではそのほかのSSDについても、特定の設定(セキュリティ設定“高”や“最大”など)の場合、
同様の問題を抱えている可能性を指摘している。
New: Security researchers have found several major flaws in Crucial and Samsung SSDs that make data easily decryptable. https://t.co/67Gsdq2PAA
— Zack Whittaker (@zackwhittaker) 2018年11月5日
セキュリティホール?あったみたい
これだな
かなりヤバそうだ
Security researchers have busted the encryption in several popular Crucial and Samsung SSDs
https://techcrunch.com/2018/11/05/crucial-samsung-solid-state-drives-busted-encryption/
Google翻訳
Radboud大学の研究者は、人気のあるクルーシャルとサムスンのソリッドステートドライブ(SSD)に重大なセキュリティ上の欠陥があることを発見しました。
えええ、急に安くなったのこのせいか??
メジャーブランドも駄目とか何を信じたら良いの??
> えええ、急に安くなったのこのせいか??
NANDフラッシュが安くなったからでしょう
・積層数が増えて容量あたりの価格が下がった
・現世代の製造が成熟して歩留まり率が上がった
・供給量の増加分ほど需要が伸びてない
https://pc.watch.impress.co.jp/docs/news/1130677.html
ハードウェアによるクローズドソースな暗号化が脆弱でも、自分の場合は暗号化してない
必要ならソフトウェアによるオープンソースな暗号化を行えばいい
暗号化絡みなら、つい最近CrucialがMX100/MX200に
対策用の新Firmを出してたから、FirmUpで直るんジャネ?
Intelがないと言うより調べてないって感じだな
これ全てのSSDが該当するはず
1T買ったけど微妙な容量だし
ゲーム用で使えば問題無さそうだな
MX300も850EVOも3DTLCで現行の一つ前のモデルだぞ
他の多くのモデルもダメだろうとも書かれてるが
ならコントローラ毎になっていない事に違和感
過去の事例に学ばない二社だな
内規で必ずHDDパスワードで保護しないといけない会社は普通に良くある
今回のバグはHDDパスワード掛けた瞬間分鎮化とか、暗号化自体されないとかじゃないので騒ぎにはならんと思うが、
普通に盗まれたら暗号化されてないのと同じようなもんで確実にデータは抜かれる(抜かれてる)と思った方がいいね
暗号化してない人って壊れたら修理に出さずに捨てちゃうの?
自分は修理に出したり中古で売ったりするから全部暗号化してるわ
HDDも大容量になって消去が大変すぎるから今は暗号化するのが標準だし