A Microsoft emitiu recentemente um aviso do Security Advisory (ADV180028) para usuários de unidades de estado sólido (SSDs) auto-criptografadas usando sistemas de criptografia Bitlocker.

Este comunicado de segurança veio depois que dois pesquisadores de segurança da Holanda, Carlo Meijer e Bernard van Gastel, publicaram um rascunho do documento descrevendo as vulnerabilidades que descobriram. Aqui está o resumo resumindo o problema:

Analisamos a criptografia de disco completo de hardware de vários SSDs fazendo engenharia reversa de seu firmware. Em teoria, as garantias de segurança oferecidas pela criptografia de hardware são semelhantes ou melhores que as implementações de software. Na realidade, descobrimos que muitas implementações de hardware têm deficiências críticas de segurança, para muitos modelos, permitindo a recuperação completa dos dados sem o conhecimento de qualquer segredo.

Se você viu o artigo, pode ler sobre todas as diferentes vulnerabilidades. Vou me concentrar nos dois principais.

Segurança de criptografia de hardware SSD

A Microsoft sabia que havia um problema com SSDs. Portanto, nos casos de SSDs auto-criptografados, o Bitlocker permitiria a criptografia usada pelos SSDs. Infelizmente, para a Microsoft, isso não resolveu o problema. Mais de Meijer e van Gastel:

O BitLocker, o software de criptografia embutido no Microsoft Windows, dependerá exclusivamente da criptografia de disco completo do hardware se o SSD anunciar suporte para isso. Portanto, para essas unidades, os dados protegidos pelo BitLocker também são comprometidos.

A vulnerabilidade significa que qualquer invasor que possa ler o manual do usuário dos SEDs poderá acessar a senha mestra. Ao obter acesso à senha mestre, os invasores podem ignorar a senha gerada pelo usuário e acessar os dados.