Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

Radboud vindt lek in ssd’s Samsung en Crucial

cybersecurity
05 november 2018 - 11:125 minuten leestijdActueelOnderwijsRadboud Universiteit
Pim van der Beek
Pim van der Beek

Onderzoekers van de Radboud Universiteit in Nijmegen hebben beveiligingslekken ontdekt in de hardwarematige encryptie van ssd’s (solid state drive). Volgens de onderzoekers bieden veelgebruikte opslagmedia van Samsung en Crucial, die werken met een ‘zelfversleutelende schijf’, niet het verwachte niveau van gegevensbescherming. Kwaadwillende experts met directe fysieke toegang tot dergelijke opslagmedia kunnen de bestaande beveiligingsmechanismen omzeilen en zonder kennis van het wachtwoord toegang krijgen tot gegevens.

De gebreken zijn volgens de onderzoekers te vinden in het versleutelingsmechanisme van verschillende soorten solid state-schijven (ssd’s) (zie opsomming in kader) van twee grote fabrikanten, namelijk Samsung en Crucial. De kwetsbaarheden komen zowel voor in interne opslagapparaten (in laptops, tablets en computers) als in externe opslagapparaten (aangesloten via een usb-kabel). Tot de getroffen opslagmedia behoren populaire modellen die momenteel veel worden verkocht.

Onderzoeker Bernard van Gastel: ‘De betrokken fabrikanten zijn een half jaar geleden op de hoogte gebracht volgens de gangbare professionele praktijk. De resultaten worden vandaag openbaar gemaakt, zodat betrokken organisaties en consumenten hun gegevens goed kunnen beschermen.’ Mede-onderzoeker Carlo Meijer: ‘Dit probleem vraagt vooral om actie van organisaties die gevoelige gegevens op deze apparaten opslaan. En ook van sommige consumenten die deze vorm van gegevensbescherming gebruiken. De meeste consumenten gebruiken deze vorm van gegevensbescherming echter nog niet.’

‘Als gevoelige gegevens moeten worden beschermd is het aan te raden om in elk geval softwareversleuteling te gebruiken en dus niet alleen te vertrouwen op hardware-encryptie. Een van de mogelijke opties is om het gratis VeraCrypt-open-source-softwarepakket te gebruiken, maar er bestaan ook andere oplossingen’, schrijven de onderzoekers in een persbericht.

Bitlocker in Windows

In het bericht over de kwetsbaarheden schrijft de universiteit: ‘Encryptie (versleuteling) is het belangrijkste mechanisme voor gegevensbescherming. Dat kan zowel via software als via hardware, bijvoorbeeld in ssd’s. In moderne besturingssystemen wordt over het algemeen softwareversleuteling gebruikt voor de gehele opslag. Het kan echter voorkomen dat zo’n besturingssysteem zelf besluit enkel te vertrouwen op hardwareversleuteling (Als deze wordt ondersteund door hun opslagmedium via de TCG Opal-standaard). BitLocker, de versleutelingssoftware die in Microsoft Windows is ingebouwd, kan een dergelijke switch naar hardwareversleuteling maken maar biedt in deze gevallen dan toch geen effectieve bescherming. Encryptiesoftware die in andere besturingssystemen (zoals macOS, iOS, Android en Linux) is ingebouwd, lijkt onaangetast als deze switches niet worden uitgevoerd.’

De onderzoekers: ‘Op computers met Windows zorgt een softwarecomponent genaamd BitLocker voor de versleuteling van de gegevens van de computer. Binnen Windows wordt het soort versleuteling dat BitLocker gebruikt, ingesteld via de zogenaamde Group Policy. Alleen een geheel nieuwe installatie, inclusief het opnieuw formatteren van de interne schijf, zal softwareversleuteling afdwingen. Het wijzigen van de standaardwaarde lost het probleem niet onmiddellijk op, omdat het bestaande gegevens niet opnieuw versleutelt.’

De onderzoekers vonden deze kwetsbaarheden met behulp van openbare informatie en ongeveer honderd euro aan evaluatieapparatuur. Ze kochten de ssd’s die ze onderzochten via de normale verkoopkanalen. ‘De kwetsbaarheden zijn vrij moeilijk te ontdekken. Echter, zodra de aard van de kwetsbaarheden bekend is, bestaat het risico dat  exploitatie van deze gebreken door anderen wordt geautomatiseerd, waardoor misbruik gemakkelijker wordt’, aldus de onderzoekers van de Radboud Universiteit die aangeven dat ze dergelijke exploitatie-middelen niet vrijgeven.

Responsible disclosure

Beide fabrikanten zijn in april 2018 via het Nationaal Cyber Security Centrum (NCSC) geïnformeerd. De universiteit heeft de gegevens aan beide fabrikanten verstrekt opdat ze hun product kunnen aanpassen. De fabrikanten zullen zelf gedetailleerde informatie verstrekken aan hun klanten over de betreffende modellen; de nodige links staan onderaan.

Bij het ontdekken van een beveiligingsfout is er altijd het dilemma van hoe om te gaan met deze informatie. Onmiddellijke publicatie van de gegevens kan aanvallen aanmoedigen en schade toebrengen. Het langdurig geheimhouden van de fout kan betekenen dat de nodige stappen om de kwetsbaarheid tegen te gaan niet worden genomen, terwijl mensen en organisaties nog steeds risico lopen. In de beveiligingsgemeenschap is het gebruikelijk om naar een zeker evenwicht te zoeken en te wachten met gebreken aan het licht te brengen tot maximaal 180 dagen nadat de fabrikant van het betrokken product op de hoogte is gebracht. Deze procedure van verantwoorde openbaarmaking wordt standaard gebruikt door de Radboud Universiteit.

Publicatie

‘De bescherming van digitale gegevens is een noodzaak geworden, zeker in het licht van de nieuwe Europese algemene verordening inzake gegevensbescherming (AVG)’, staat in het persbericht over het ssd-lek. De Radboud Universiteit wil hieraan bijdragen via haar computerbeveiligingsonderzoek, zowel door nieuwe beveiligingsmechanismen te ontwikkelen als door de kracht van bestaande mechanismen te analyseren.

De onderzoekers staan nu op het punt om de wetenschappelijke aspecten van hun bevindingen te publiceren in de wetenschappelijke literatuur; op 5 november 2018 wordt een voorlopige versie van deze bevindingen gepubliceerd. Na afloop van het ‘peer-review’-proces verschijnt er een definitieve versie in de wetenschappelijke literatuur. Deze publicatie vormt geen leidraad voor het inbreken in ssd’s.

Kwetsbare SSD’s

De modellen waarbij daadwerkelijk kwetsbaarheden zijn aangetoond zijn:

– de Crucial (Micron) MX100, MX200 en MX300 interne harde schijven;

– de Samsung T3 en T5 externe USB-stations;

– de Samsung 840 EVO en 850 EVO interne harde schijven.

Overigens zijn niet alle beschikbare schijven op de markt getest.

Specifieke technische instellingen (met betrekking tot bijvoorbeeld ‘high’ en ‘max’ security) van interne schijven kunnen van invloed zijn op de kwetsbaarheid (zie de gedetailleerde informatie van de fabrikanten en de hieronder vermelde links naar technische informatie).

bron: Radboud Universiteit. 

Meer over

AuthenticatieBesturingssystemenEncryptieiOSLaptopsMacSSDSwitchesTablets

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Toekomst van IT-talent. Een nieuw tijdperk

    Wat vraagt veranderende technologie van IT-talent? De route van skills naar succes.

    Computable.nl

    Kies de juiste virtualisatie-aanpak

    Vergelijk drie krachtige open source-oplossingen: Proxmox, Kubernetes en OpenStack

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Software & Development

    Businessanalyse als fundament voor duu...

    Een effectief traject begint bij het expliciet maken van businesswaarde. Die businesswaarde bestaat uit meer dan alleen functionele wensen. Het vraagt inzicht in de essentiële data, afhankelijkheden binnen processen en...

    Meer persberichten

    Meer lezen

    Overheid

    Kort: TU Delft wint onderwijsprijs, Nederland strea­ming­kam­pi­oen (en meer)

    Security & Awareness

    Kort: Hack beïnvloedt omzet binnen 24 uur, Oranje-kijkers massaal online (en meer)

    Cloud & Infrastructuur

    Universiteit Utrecht claimt schade bij KPN na datacenterbrand

    Onderwijs

    Nominaties: 10 lovenswaardige ict-projecten in het onderwijs

    Overheid

    Kort: Main Capital koopt Ferranti, Gr’en blijven kwetsbaar (en meer)

    Overheid

    Kort: Overheid test eigen opensource-co­de­plat­form, uni’s waarschuwen voor phis­hing­golf (en meer)

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs