转载

西部数据（WD）自加密硬盘被曝存在漏洞

某团队的研究人员称，有几个版本加密西部数据硬盘有着许多的漏洞，黑客一旦获取到了物理接触的机会，就能轻松获取里面的数据，在这期间可以无视硬盘的密码。

西部数据硬盘的自加密

上述的那篇论文称为“ 也谈西部数据硬盘加密–自加密盘安全系列 ”，里面列举了一系列西部数据My Passport和My Book版本硬盘的漏洞。黑客利用这些漏洞，可以在窃取一个存在漏洞的硬盘后，对其里面的内容进行解密，无论密码有多随机、冗长。而这系列硬盘产品的本意为通过自带加密硬盘上所有数据的功能，让用户不必费时费力去使用软件来加密硬盘。

许多硬盘都会使用USB接口连接到电脑SATA接口去解密加密数据，在用户输入正确的密码之前，接口应该是被锁住的。为了防止黑客至少每秒数十亿次的猜测尝试，最初的纯文本密码是加盐后并进行1000次SHA256 hash迭代加密的。

千里之堤溃于蚁穴

即使开发者已经很用心，但由于一个小漏洞的存在，导致黑客可以很短的时间内破解密码。在某个案例中，底层的KEY是可以预测的，因为它是来自于当前计算机时间生成的的随机数。这个漏洞在去年被修复了，但市面上仍然存在大量硬盘还有漏洞。在某些情况下，黑客可以提取硬盘的hash到另一个计算机中，以便进行离线破解。

接下来我们要谈的另一个漏洞，就相当于一个后门了。有了它，黑客在不知道密码的情况下，就可以解密用户的数据。

存在漏洞的每个硬盘都有一个默认密码，即使用户重置密码后，原默认密码的key仍然存储在设备上，黑客能借此轻松将硬盘解密。当然，也有解决的办法，用户两次重置密码后就能解决这个问题，但谁又有这个闲工夫把刚买不久的硬盘重置两次呢？除非是健忘者罢了。

这篇36页的论文PDF 提出了设备内置加密的可靠性的讨论，读者想要确保加密安全，也许还是得依靠第三方的专业加密。虽然这些加密不一定完美，但至少他们历时更久，经历了更多的考验和风雨。

*参考来源： AR ，编译/dawner，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM

正文到此结束