Dell è a conoscenza delle segnalazioni di vulnerabilità nella crittografia hardware di determinate self-encrypting drive (SED) di tipo SSD, come descritto in Vulnerability Note VU# 395981 . Stiamo esaminando il possibile impatto di queste vulnerabilità sui nostri prodotti e forniamo aggiornamenti quanto più rapidamente possibile. La nostra prima priorità è proteggere i nostri clienti e garantire la sicurezza dei loro dati e computer.
La vulnerabilità descritta nella nota VU#395981 definisce le caratteristiche di una vulnerabilità che può consentire l'accesso a unità protette tramite implementazioni di BitLocker con accelerazione hardware, comunemente definite eDrive, nonché a molte unità SED.
Le unità gestite da BitLocker con crittografia con accelerazione hardware si basano sulla specifica eDrive , il che potrebbe non significare necessariamente che siano self-encrypting drive (SED) (laspecifica eDrive richiede la conformità allo standard IEEE 1667 , che differisce dalla specifica OPAL2 di molte tecnologie di gestione delle self-encrypting drive).
I requisiti delle specifiche per eDrive (il nome Microsoft per BitLocker con accelerazione hardware) sono disponibili qui: https://docs.microsoft.com/en-us/windows/security/information-protection/encrypted-hard-drive
Questa vulnerabilità interessa anche alcune unità SED, molte delle quali rientrano nella specifica TCG OPAL e OPAL2 , definita qui: https://trustedcomputinggroup.org/resource/storage-work-group-storage-security-subsystem-class-opal/
Questa vulnerabilità interessa i dischi stessi e non il software Dell Encryption e non influisce su tutte le unità. Dell sta collaborando con i suoi fornitori per determinare l'impatto e garantire l'attuazione di piani di correzione per le unità interessate.
Per i clienti che utilizzano la soluzione Dell Self-Encrypting Drive Manager, Dell consiglia di aggiungere un ulteriore livello di sicurezza ai loro computer, Fino a quando non è disponibile il firmware aggiornato per questi dischi, i clienti devono applicare Dell Policy Based Encryption ai computer con unità identificate come potenzialmente vulnerabili.
Sui dispositivi che eseguono Policy Based Encryption su un'unità SED è possibile abilitare la crittografia delle unità SED con la chiave System Data Encryption. Per ulteriori informazioni, fare riferimento a: Come abilitare la crittografia SDE per Dell Encryption Enterprise o Dell Encryption Personal sui sistemi con self-encrypting drive (in inglese).
In alternativa, è possibile sostituire la crittografia basata su hardware con una crittografia basata su software in BitLocker se è necessaria una soluzione di crittografia dell'intero volume.
I clienti con BitLocker Manager di Dell che temono di essere vulnerabili ai problemi descritti in VU#395981 possono mitigare i rischi aggiornando le policy. Se si disabilitano le policy tramite Dell Security Management Server of Use Hardware-Based Encryption for Fixed Data Drives, e la stessa policy per le unità del sistema operativo e le unità rimovibili (ogni tipo di unità dispone di una policy simile per sfruttare l'accelerazione hardware, se disponibile) si disabilita la possibilità di utilizzare la crittografia con accelerazione hardware su queste unità. Se un'unità utilizzava eDrive o la crittografia con accelerazione hardware per la protezione, l'unità decrittografa e ricrittografa i dati con una metodologia basata su software.
Queste policy sono policy basate sull'endpoint e si trovano all'interno del set di policy di crittografia BitLocker nella rispettiva categoria per il tipo di unità (volume del sistema operativo, volume di dati fisso, archiviazione rimovibile). Per ulteriori informazioni sulla modifica di una policy all'interno di Dell Security Management Server, consultare: Come modificare le policy in Dell Data Protection Server
Per i clienti che non eseguono Dell Data Security Management Server, le impostazioni per consentire la crittografia basata su hardware (se disponibile sulle unità) possono essere gestite utilizzando l'oggetto Criteri di gruppo (GPO) o le voci del Registro di sistema. Questi dati relativi ai GPO sono disponibili sul sito Microsoft nelle policy per:
Per coloro che desiderano individuare rapidamente se le unità potrebbero essere vulnerabili, Dell può fornire DellOpalCheckerLite
, un'utilità che può essere utilizzata, utilizzando uno script, per identificare le SED e determinarne lo stato.
Lo script DellOpalCheckerLite
Può essere eseguito utilizzando la riga di comando. È necessario fornire il numero dell'unità relativa al disco che si desidera analizzare. Ad esempio, per analizzare il primo disco presentato al sistema operativo, che è in genere l'unità del sistema operativo, è possibile utilizzare la sintassi:
DellOpalCheckerLite.exe 0
Se sono presenti altri numeri di dischi, è possibile specificare righe aggiuntive in uno script per ottenere lo stato degli altri dischi del computer.
Per ogni istanza, il DellOpalCheckerLite
viene eseguita, la variabile del computer ERRORLEVEL viene aggiornata e può essere chiamata per analizzare lo stato del disco.
Questo elenco contiene i valori di output dall'esecuzione di DellOpalCheckerLite
:
SUPPORTED_NOT_OWNED | 0 | Il test indica un'installazione con esito positivo. |
NOT_SUPPORTED | 1 | Il test indica che questo disco non è supportato. |
SUPPORTED_OWNED | 2 | Il test indica che il disco è supportato, ma la AdminSP ha già un proprietario. |
COMPATIBILITY_ERROR | 3 | Il test indica un problema di compatibilità. |
NO_OPAL_DISK | 4 | Il test indica che non si tratta di un disco Opal. |
LOCKINGSP_ACTIVE_NOT_OWNED | 6 | Il test indica che la LockingSP è attiva e che la AdminSP ha il SID = MSID (il test precedente potrebbe non essere riuscito). |
LOCKINGSP_ACTIVE_OWNED_TESTSID | 7 | Il test indica che la LockingSP è attiva, ma che la AdminSP è già di proprietà del SID del test DellOpalChecker (il test precedente potrebbe non essere riuscito). |
OTHER_ERROR | 50 | Altri errori non specificati |
PARAMETER_ERROR | 100 | Parametro non valido |
MUST_BE_ADMINISTRATOR | 101 | Per eseguire il test, il livello di esecuzione del programma deve essere Administrator. |
Di seguito è riportato un esempio di output di un'unità OPAL supportata (return code ERRORLEVEL = 0).
Per ulteriori informazioni su questa vulnerabilità e le note di produttori specifici, consultare:
United States Computer Emergency Readiness Team: https://www.us-cert.gov/ncas/current-activity/2018/11/06/Self-Encrypting-Solid-State-Drive-Vulnerabilities
Samsung: https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/
Crucial: http://www.crucial.com/usa/en/support-ssd
Ulteriori informazioni sulla vulnerabilità: https://www.kb.cert.org/vuls/id/395981/
Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.