Descubren graves fallos en el cifrado de las SSD de Samsung y Crucial que afectan a BitLocker

Alejo I
Investigadores de la Universidad Radboud de Nimega, en los Países Bajos, han dado a conocer que algunas unidades SSD muy extendidas incorporan importantes fallos de seguridad. La vulnerabilidad de los archivos en cuestión podría incrementarse si se usa BitLocker, puesto que su propio funcionamiento depende según la configuración de las medidas de la seguridad que pueda tener la propia SSD.

De forma más concreta, los investigadores han descubierto (PDF) que las unidades MX100, MX200 y MX300 de Crucial y Samsung T3, T5, 840 EVO y 850 EVO incorporan "un patrón de problemas críticos" en sus tecnologías de cifrado que se hizo inmediatamente evidente al inspeccionar su firmware mediante ingeniería inversa. Los investigadores creen que otros modelos de SSD podrían estar afectados por las mismas deficiencias.

Según sus hallazgos, una de las unidades puestas a prueba (Crucial MX300) permite descifrar sus datos utilizando una cadena vacía. El Master Password utilizado por defecto por Crucial está en blanco independientemente del nivel de seguridad escogido, por lo que solo hace falta modificar el parámetro MASTER PASSWORD CAPABILITY en la RAM. Otra SSD aceptaba directamente cualquier tipo de contraseña porque los controles de validación no funcionaban.

Asimismo, en algunos casos hay problemas en los métodos utilizados para generar las claves criptográficas y/o su almacenamiento.

Imagen

La gravedad de estos fallos y su visibilidad a posibles atacantes hacen muy posible su aprovechamiento con fines maliciosos, poniendo en peligro la integridad de los contenidos de las unidades SSD examinadas. El problema se agravva si se usa BitLocker, puesto que el sistema de protección de archivos de Microsoft utiliza por defecto la tecnología de cifrado de la propia SSD cuando existe, así que el usuario puede creer que sus documentos están protegidos cuando lo único que los separa de posibles atacantes es un muro de corchopán digital.

Los investigadores notificaron sus hallazgos a Crucial y Samsung hace seis meses para que pudieran actualizar sus unidades. No obstante, esta no es una solución plenamente efectiva según sus valoraciones. Idealmente los fabricantes no deberían utilizar soluciones propietarias, potencialmente inseguros y totalmente oscuras para los desarrolladores, sino software de código abierto y auditado como VeraCrypt. Hasta entonces recomiendan no usar por defecto las tecnologías de cifrado incorporadas en estas unidades.

En cuanto a las unidades SSD afectadas, Samsung recomienda actualizar el firmware de los modelos T3 y T5, así como "instalar software de cifrado compatible" en los modelos internos. Micron, por su parte, ha señalado a Tom's Hardware que las unidades Crucial serán actualizadas "en el futuro", sin proporcionar por ahora una fecha firme de disponibilidad.