ATA Security Feature Set: Biztonsági probléma vagy sem?

Hardver

Hogyan veszélyeztetik az adataidat az ATA biztonsági parancsok

A fenti alcímmel jelent meg egy cikk a minap a heise.de oldalon. A cikkben arról van szó, hogy a modern ATA lemezeket jelszóval védhetjük. A funkciót notebookok merevlemezeinél használják elsősorban, hogy ellopás vagy elvesztés esetén ne lehessen a merevlemezek tartalmához hozzáférni. (Aki látott már modernebb IBM notebookot, az tudhatja, hogy hiába veszi ki belőle a merevlemezt és teszi azt be egy másik gépbe, arról nem biztos, hogy fog adatot olvasni. Ennek az oka az, hogy az IBM előszeretettel használja ezt a funkciót.)

Ennek a biztonsági mechanizmusnak - a Security Feature Set-nek, amely része az ATA specifikációnak - az a lényege, hogy két jelszót állíthatunk be a merevlemezeinkre. A két 32 bit hosszú jelszó a Master password és a User password.Ha a merevlemezen beállítjuk az User password-öt, aktiválódik a védelem, míg a Master password beállítása esetén nem. A Master password arra való, hogy elfelejtett User password esetén még vissza lehessen állítani az adatokat. Abban az esetben ha mindegyik password elvész, a merevlemez mehet a kukába. Mivel ez a funkció nem csak a notebookok merevlemezeiben van jelen, hanem évek óta megtalálható majdnem az összes asztali gépbe szánt merevlemezben (ATA, SATA) is, a cikk írója szerint ez egy biztonsági probléma forrása lehet.

Jelenlétét egyszerűen ellenőrizhetjük pl. a hdparm segítségével:

# hdparm -I /dev/hda

[...]
Security:

Master password revision code = 65534
supported
not enabled
not locked
frozen
not expired: security count
not supported: enhanced erase
34min for SECURITY ERASE UNIT.

[...]

Mivel az User password-öt gyakorlatilag egy egyszerű programmal (pl. Atapwd) be lehet állítani, elképzelhető olyan eset, hogy egy malware vagy valamilyen más ártó szándékú program ezt meg is teszi. A cikk írója arra gondol, hogy kétes eredetű programok telepítésekor azok ártó szándékkal beállíthatják ezt a User password-öt.

Annak érdekében, hogy ez ne történhessen meg, a fejlesztők kitaláltak egy Security Freeze Lock opciót, amellyel le lehet tiltani a password-ök beállítását a következő hideg indításig (cold boot). Eredetileg ezeket a dolgokat a számítógép BIOS-ának kellene végeznie (jelszó változtatás, ellenőrzés, fagyasztás) és a notebookok egy részénél ezt a BIOS meg is teszi. A BIOS a gép indítása után, de még az operációs rendszer indítása előtt beállítja a Security Freeze Lock opciót, hogy a jelszó változtatás kontroll alatt maradjon. Viszont az asztali gépeknél ez a funkció általában hiányzik a BIOS-okból...

Mi lehet a megoldás? Egyesek szerint olyan gépeknél, ahol nincs opció a BIOS-ban ennek a funkciónak a kezelésére, ott az operációs rendszer boot-olásakor kellene beállítani a Security Freeze Lock-ot, hogy semmilyen program ne tudja a jelszavakat beállítani. A heise.de oldal már el is készített egy patchelt hdparm-ot, amelyet kibővítettek egy -F kapcsolóval, így az képes a bootfolyamat során a Security Freeze Lock-ot beállítani.

Vannak olyanok, akik szerint már a kernelnek kéne ezzel a dologgal törödni, és már az operációs rendszer kernelének bootolásakor be kellene állítani a Freeze Lock-ot. A fejlesztők között is megindult a beszélgetés a témában. A Linux listán itt található egy levél az ügyben, míg a FreeBSD listán itt.

A heise.de cikke itt.

( Pedro v | 2005. 04. 05., k – 17:59 )

Mi a helyzet az elektronika cserejevel?

Hol taroja ezt a passwordot? Vagy esetleg ezzel kodolja az adatokat es a wincsin mar csak a kodolt adat tarolodik?

Esetleg a belso elektronika tarolja a passwordot?

uDv,

PEdro

( monas | 2005. 04. 05., k – 03:17 )

Hol es mikor keri e jelszot - ja es mi keri a jelszot? BIOS? Merjek evvel jatszadozni?

Mint irtam, a jelszo megadasara, megvaltoztatasara a BIOS setup lenne hivatott. Ott tudod megadni a jelszot, miutan a gep minden bekapcsolas utan fogja azt kerni. Egyes notebook-oknal ez a funkcio implementalva is van, mig mas tipusoknal nincs. Az asztali gepeknel pedig (tudtommal) egyaltalan nincs. Abban az esetben, ha nincs implementalva a BIOS-ban es a gep a boot folyamat soran nem adja ki a Freeze-t (akar BIOS-bol) a lemeznek es valamilyen idegen program azt beallitja (mondjuk arto szandekkal), akkor bajban vagy, mert az adataidhoz nem fogsz tudni hozzaferni.

Hogy merjel-e ezzel jatszani? Ha a BIOS-ban van ilyen opciod, akkor az semmiben nem kulonbozik attol, mintha a BIOS passwordot allitanad be. Abban viszont igen, hogy ha elfelejted a jelszot, akkor ezt egy BIOS kisutessel nem fogod ``kiutni''. Egyszer probaltam egy ugyfel IBM notebookjarol adatot menteni azutan, hogy elfelejtette ezt a jelszot. A lemezt felismerte, kerte a jelszot, de nem bootolt. Gondoltam kiveszem a lemezt, beteszem egy asztali gepbe aztan majd jol lementem. Hat az asztali gepben sem szolalt meg. En nem talaltam megoldast...

Nekem bootolaskor keri, ez az elso dolog, amit kerdez, a bootup password elott.

Ha Linuxot inditok, akkor boot utan ujra kerdezi, Win inditasa utan mar nem kerdezi.

Nekem ebben az a fura, hogy pl. az en bios-om nem engedi a valtoztatast, ha a regi jelszot meg nem adom.

Ha viszont egy malware a korabbi jelszo nelkul meg tudja valtoztatni, akkor nem er az egesz semmit, hisz akkor barki meg tudna ezt valtoztatni egy vedett hd eseten.

Tehat azt tudom elkepzelni, hogy egy olyan hd eseten van ez, amikor nincs beallitva a jelszo.

Akkor viszont be kellene allitani a master passwordot, es ha valaki atallitja a user pass-t, akkor a master pass hasznalataval ki lehet utni.

Nem?

( csabka v | 2005. 04. 05., k – 10:29 )

Hali!

Lehet, hogy én értettem félre az angol cikket, de ahogy a cikket értelmeztem nem a BIOS jelszavazhatóságáról van szó (aminél van Master pass és user pass... no meg, hogy a Security hatásköre a setup, vagy épp a system), hanem arról van itt szó, hogy a merevlemezek is képesek jelszavas védelemre (Master és User passal ők is).

Tehát, ha ez meg lett adva, akkor addig nem lehet működésre bírni, míg a jelszót be nem írjuk. Mivel a BIOS-ok nem támogatják, ezért valszínű be sem tudod írni sehova SzVSz (hangsúlyozom a winchi jelszava -bármely bios, esetén-).

Szóval, a mai PC-s BIOS-ok nem ismerik a merevlemezek jelszavazhatóságát, ezért ha valaki (vagy valami) szoftveresen beír egy (pl generált) jelszót akkor már akármelyik gépbe berakodhatod a winchit (leginkább a kukába), mivel már megszívtad, s adataidhoz nem férsz hozzá.

Üdv:

Csabka

> BIOS jelszavazhatóságáról

Senki sem allitotta, hogy arrol van szo. A merevlemezt lehet password-del vedeni, amit modern notebookoknal a BIOS setupban lehet elkovetni. Megfelelo programmal azonban az operacios rednszer alol is, ha a Freeze Lock nincs beallitva.

> hogy a merevlemezek is képesek jelszavas védelemre (Master és User passal ők is)

Igy van.

> Tehát, ha ez meg lett adva, akkor addig nem lehet működésre bírni, míg a jelszót be nem írjuk.

Igy van.

> Mivel a BIOS-ok nem támogatják, ezért valszínű be sem tudod írni sehova SzVSz (hangsúlyozom a winchi jelszava -bármely bios, esetén-).

A notebook BIOS-ok egy resze tamogatja, egy resze nem, az asztali gepek BIOS-a nem.

> Szóval, a mai PC-s BIOS-ok nem ismerik a merevlemezek jelszavazhatóságát, ezért ha valaki (vagy valami) szoftveresen beír egy (pl generált) jelszót akkor már akármelyik gépbe berakodhatod a winchit (leginkább a kukába), mivel már megszívtad, s adataidhoz nem férsz hozzá.

Errol szol a cikk. Leirtad megegyszer. :-)

Ha notebookra kotod akkor is keri a jelszot. Ha nem tudod a jelszot, akkor nem fogsz rola adatot olvasni. Meg kulonben mi ertelme lenne az egesznek ha ellopas eseten egy masik gepben az adatokat le lehetne olvasni? Ilyen egyszeru modszerrel biztos, hogy nem. Esetleg valami deephack segitsegevel...