Lässt sich bei Geräten der My Passport und My Book-Reihen vergleichsweise einfach austricksen
Datensicherheit ist in den vergangenen Jahren auch bei Speichermedienherstellern eine immer wichtigeres Thema geworden. Also liefert so mancher Hersteller seine externen Festplatten mittlerweile mit eigenen Chips zur Verschlüsselung aus. Darunter auch Western Digital, dass bei den Platten der My Book und My Passport-Reihe eine entsprechende Lösung mitliefern. Genau diese erweist sich nun aber als fehlerhaft.
Ausgetrickst
So ist es einem Team von Sicherheitsforschern gelungen, die Hardwareverschlüsselung der Western-Digital-Platten auszutricksen. In Folge konnten sie ohne Probleme auf die Daten zugreifen, wie heise.de berichtet.
Bugs
Das Problem ist dabei weniger die Verschlüsselung selbst – diese ist mit AES weiterhin sicher – sondern die Art wie das Passwort gespeichert wird. Zwar werde dies mit SHA256 gehasht und zusätzlich mit einem Salt versehen, leider hat Western Digital aber bei der Implementierung gepatzt. Mit vorberechneten Hash-Tabellen und einem Brute-Force-Angriff lasse sich so recht flott das Passwort knacken.
Unterschiede
Wie groß die reale Gefährdung ist, hängt nicht zuletzt davon ab, welchen Microcontroller das jeweilige Modell verwendet. So würden etwa die Platten mit dem INIC-3608 die Passwörter sogar im Klartext im EEPROM speichern. Hier braucht es dann einfach nur mehr ein solches Lesegerät und nicht einemal eine Brute-Force-Attacke. Etwas besser sieht es bei den My-Passport-Platten mit JM538S-Controller von JMIcron aus. Aber eben nur etwas da hier schwache Zufallszahlen verwendet wurden.
Reaktion
In einer Stellungnahme heißt es von Western Digital, dass man die Sache derzeit untersuche. Updates oder gar einen fixen Zeitrahmen für diese verspricht man bislang aber nicht. Eine Liste der betroffenen Platten findet sich im Bericht der Sicherheitsforscher. Den Nutzern sei empfohlen statt der Western-Digital-Lösung lieber eigene Software zur Festplattenverschlüsselung einzusetzen. (red, 25.10.2015)
