Opslagschijven in miljoenen computers wereldwijd die het predicaat ‘veilig’ hebben, blijken dat niet te zijn. Nijmeegse digital security-onderzoekers ontdekten dat de versleuteling die is ingebouwd in zulke schijven, te omzeilen is. Zes maanden geleden waarschuwden ze fabrikanten Samsung en Crucial al, vandaag brengen ze het nieuws naar buiten.

Hoge bazen van Samsung kwamen dit voorjaar vanuit Zuid-Korea naar Nederland om te horen wat de Nijmeegse onderzoekers hadden ontdekt. Was de versleuteling van hun opslagschijven te omzeilen? Ja, luidde het antwoord van Bernard van Gastel en Carlo Meijer. Door de schijven te manipuleren, konden ze zonder wachtwoord bij de gegevens, terwijl dat uitdrukkelijk niet de bedoeling is. Het gaat om schijven die in doodgewone computers worden gebruikt over de hele wereld.

Solderen

Met name ziekenhuizen, ministeries en instanties als de politie zijn erop gebrand dat hun apparaten worden voorzien van een versleuteling. Zonder wachtwoord zou niemand bij mogelijk gevoelige informatie moeten kunnen.

‘Fabrikanten als Samsung en Crucial leveren opslagschijven waarin de versleuteling al is ingebouwd, je hoeft als gebruiker alleen nog zelf een wachtwoord in te stellen’, vertelt Van Gastel. ‘De beveiliging zou waterdicht zijn, zo luidt de claim. Maar dat is dus niet zo.’

Die ontdekking deed promovendus Meijer nadat hij op een middag samen met Van Gastel van het werk naar huis was gefietst. Ze hadden gefilosofeerd over hoe zo’n schijf in elkaar zat en waar misschien zwaktes konden zitten. Meijer begon thuis te prutsen.

‘Je soldeert er wat draadjes op en probeert de software te manipuleren’

‘Op een chip op de printplaat van de schijf draait software. Je soldeert er wat draadjes op en probeert de software te manipuleren zodat de controle van het wachtwoord wordt overgeslagen. Dat lukte tot mijn verbazing. Zonder een wachtwoord kwam ik bij de gegevens.’ Opgewonden belde hij meteen met zijn collega.

Organisaties ingelicht

Zo kwam het onderzoek aan het rollen. Het lukte Meijer en Van Gastel de beveiliging te omzeilen op verschillende modellen van de opslagschijven en op externe harde schijven die gewoon in de winkel te koop zijn. De uitkomsten waren dermate alarmerend dat ze aanklopten bij het National Cyber Security Center (NCSC). Van Gastel: ‘Als wetenschappers hadden we de taak dit verantwoord naar buiten te brengen. De fabrikanten zijn geïnformeerd en kregen zes maanden de tijd het probleem op te lossen.’

Vertrouwelijk werden ook al grote organisaties wereldwijd – waaronder de Radboud Universiteit ­– ingelicht met het advies hun computers te controleren op de gebruikte hardware en indien nodig extra beveiliging te installeren. De kans bestaat immers dat computerfanaten na de bekendmaking van dit nieuws ook zullen proberen de versleuteling te omzeilen. ‘Als extra beveiliging adviseren wij een softwarepakket’, zegt Van Gastel. ‘Bijvoorbeeld VeraCrypt. Dat is gratis te downloaden en uit studies zijn tot nu toe geen kwetsbaarheden gebleken.’

Risico

Het beveiligingsprobleem kan ook spelen op particuliere computers, alleen zullen de gevolgen waarschijnlijk minder groot zijn als een gewone burger zijn laptop in de trein laat liggen en een kwaadwillende er vervolgens mee aan het solderen slaat. Meijer: ‘Maar als het bijvoorbeeld een laptop betreft van iemand die bij Justitie werkt, kan een datalek heel gevaarlijk zijn. Het risico is groot dat je nonchalanter omgaat met je computer als je in de overtuiging verkeert dat-ie goed is beveiligd.’

Vandaag brengen de onderzoekers hun bevindingen naar buiten, een wetenschappelijke publicatie volgt nog. Wat de fabrikanten met hun waarschuwing hebben gedaan, weten ze nog niet. ‘We wachten af waar ze mee komen.’