Western Digital: Plattenverschlüsselung weitgehend nutzlos

25. Oktober 2015, 18:13
30 Postings

Lässt sich bei Geräten der My Passport und My Book-Reihen vergleichsweise einfach austricksen

Datensicherheit ist in den vergangenen Jahren auch bei Speichermedienherstellern eine immer wichtigeres Thema geworden. Also liefert so mancher Hersteller seine externen Festplatten mittlerweile mit eigenen Chips zur Verschlüsselung aus. Darunter auch Western Digital, dass bei den Platten der My Book und My Passport-Reihe eine entsprechende Lösung mitliefern. Genau diese erweist sich nun aber als fehlerhaft.

Ausgetrickst

So ist es einem Team von Sicherheitsforschern gelungen, die Hardwareverschlüsselung der Western-Digital-Platten auszutricksen. In Folge konnten sie ohne Probleme auf die Daten zugreifen, wie heise.de berichtet.

Bugs

Das Problem ist dabei weniger die Verschlüsselung selbst – diese ist mit AES weiterhin sicher – sondern die Art wie das Passwort gespeichert wird. Zwar werde dies mit SHA256 gehasht und zusätzlich mit einem Salt versehen, leider hat Western Digital aber bei der Implementierung gepatzt. Mit vorberechneten Hash-Tabellen und einem Brute-Force-Angriff lasse sich so recht flott das Passwort knacken.

Unterschiede

Wie groß die reale Gefährdung ist, hängt nicht zuletzt davon ab, welchen Microcontroller das jeweilige Modell verwendet. So würden etwa die Platten mit dem INIC-3608 die Passwörter sogar im Klartext im EEPROM speichern. Hier braucht es dann einfach nur mehr ein solches Lesegerät und nicht einemal eine Brute-Force-Attacke. Etwas besser sieht es bei den My-Passport-Platten mit JM538S-Controller von JMIcron aus. Aber eben nur etwas da hier schwache Zufallszahlen verwendet wurden.

Reaktion

In einer Stellungnahme heißt es von Western Digital, dass man die Sache derzeit untersuche. Updates oder gar einen fixen Zeitrahmen für diese verspricht man bislang aber nicht. Eine Liste der betroffenen Platten findet sich im Bericht der Sicherheitsforscher. Den Nutzern sei empfohlen statt der Western-Digital-Lösung lieber eigene Software zur Festplattenverschlüsselung einzusetzen. (red, 25.10.2015)

  • Finger weg von der Hardwareverschlüsselung bei vielen Western Digital-Platten.
    grafik: western digital

    Finger weg von der Hardwareverschlüsselung bei vielen Western Digital-Platten.

Share if you care.