Zelfencryptie Western Digital rammelt aan alle kanten

De onderzoekers vellen een hard oordeel over het gebruikte mechanisme. "Na het onderzoek aan het binnenwerk van talloze modellen van de My Passport hard drive series, werden verschillende ernstige kwetsbaarheden ontdekt, die betrekking hebben op zowel de authenticatie als de vertrouwelijkheid van de gebruikersdata", schrijven de onderzoekers. Zij waren in staat verschillende aanvalsstrategieën uit te voeren die de gebruikersdata blootlegden van deze schijven die volledig versleuteld en met een wachtwoord beschermd zijn.

Standaard wachtwoord laat sleutel achter

Zo werd in een geval het 'random' getal nodig voor de versleuteling afgeleid uit de tijd die de computerklok aangaf. In andere gevallen was het eenvoudig de hash van de schijf op de computer over te brengen en daar off-line te kraken. In weer een ander geval was het zelfs mogelijk de data te benaderen zonder dat een wachtwoord nodig was. De harde schijf wordt geleverd met een standaard wachtwoord, maar zelfs wanneer dit is gewijzigd, blijft de sleutel die is gekoppeld aan het standaard wachtwoord op de harde schijf staan. Daardoor is het ontsleutelen van de data volgens de onderzoekers een 'triviale' inspanning. Het probleem kan worden opgelost door het wachtwoord een tweede keer te resetten, maar zonder dat de nietsvermoedende gebruiker op die workaround wordt gewezen is de harde schijf een open boek inde handen van kwaadwillenden.

Zo staan er nog meer kwetsbaarheden en slordige inrichting van de beveiliging in het artikel. Uit het artikel wordt duidelijk dat wie echt wil dat zijn data niet in verkeerde handen vallen, er goed aan doen encryptie van een onafhankelijke partij er bij te gebruiken.