Support

Open search

Sicherheitslücke in selbstverschlüsselnden Samsung-SSDs: Fehlerbehebung?

Highlighted
Apprentice

Moin zusammen,

 

wir nutzen mehrere Samsung SSDs der Modelle 850 Evo und 970 Evo, die laut Samsung-Spezifikation alle eine AES-256-Bit-Hardwareverschlüsselung bieten sollen.

 

Nach aktuellen Erkenntnissen weist die Implementierung der Hardwareverschlüsselung der 850 Evo jedoch so starke Sicherheitslücken auf, dass sich die angeblich „verschlüsselten“ Daten ohne Kenntnis eines Passworts auslesen lassen, vgl. https://www.ru.nl/publish/pages/909275/draft-paper_1.pdf.

 

Leider habe ich von Samsung bisher keinerlei Informationen zur Behebung der Sicherheitslücken gefunden, sondern lediglich den lapidaren Hinweis, man solle eine Software-Verschlüsselung nutzen, vgl. https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/.

 

Wer kann mir sagen, ob für das Modell 850 Evo bereits eine fehlerbereinigte Firmware-Version bereitsteht bzw. ob die gefundenen Sicherheitslücken über ein Firmware-Update überhaupt behebbar sind?

 

Für das Modell 970 Evo würde mich interessieren, ob diese SSDs ebenfalls von den beschriebenen Sicherheitslücken betroffen sind und falls ja, wie Samsung diese zu beheben gedenkt.

7 ANTWORTEN 7
FabianD Moderator
Moderator

Hallo BeBa47,

 

das offizielle Statement von Samsung lautet so:

 

Samsung Electronics wurde vom National Cyber Security Centre in den Niederlanden (NCSC-NL) über mögliche Schwachstellen einiger unserer SSDs informiert. Diese Schwachstellen können es potenziellen Angreifern ermöglichen, Informationen von einer SSD ohne Passwortverifizierung zu erhalten. Die Lücke kann allerdings nicht aus der Ferne ausgenutzt werden und beschränkt sich daher auf Situationen, in denen der Angreifer direkten Zugriff auf die SSD hat.

 

Bei Samsung nehmen wir den die Sicherheit und den Datenschutz unserer Kunden sehr ernst. Daher arbeiten wir seit den ersten Hinweisen eng mit der NCSC-NL an einer Lösung. Wir werden die Situation weiterhin beobachten und stelle unter folgendem Link stetige Updates bereit: www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/.

 

Viele Grüße


FabianD
*Samsung Community Moderator*
*****************************
Samsung Support-Mitarbeiter gesucht!
Du liebst den Kontakt und die Kommunikation mit Menschen und begeisterst dich für technische Produkte? Dann suchen wir genau dich. Jetzt auch von zuhause aus möglich! Schreib uns eine Privatnachricht für weitere Infos.

Apprentice

Hallo Fabian,

 

danke für Deine Rückmeldung. Leider beantwortet die offizielle Stellungnahme keine meiner Fragen. Insbesondere finde ich immer noch keinerlei Information von Samsung, welche Serien von der Sicherheitslücke betroffen sind, ob die Sicherheitslücke grundsätzlich per Firmware-Update behoben werden kann oder ob sie so fundamental ist, dass sie gar nicht behebbar ist. Für externe Modelle scheint ein Patch bereit zu stehen. Wieso (noch) nicht für interne Modelle? Inwiefern greift hier die 5-jährige Garantie? Tauscht Samsung betroffene Modelle kostenfrei gegen nicht betroffene SSDs? Sofern es überhaupt nicht betroffene Modelle gibt...

 

Als führendem SSD-Hersteller, dem Sicherheit wichtig ist, sollte es Samsung möglich sein, seinen Kunden adäquate Informationen bereitzustellen, zumal die Sicherheitslücke nicht erst seit gestern bekannt ist.

 

Bitte informieren Sie mich - und alle anderen betroffenen Kunden - über das weitere Vorgehen hinsichtlich dieser schwerwiegenden Sicherheitslücke. Vielen Dank!

Apprentice
Und noch eine kurze Ergänzung, zu der von Dir verlinkten Landing-Page: Die Seite scheint seit 10 Tagen unverändert zu sein. Sie trägt noch nicht mal ein Datum, von wann die Informationen sind. Unter „stetigen Updates“ hätte ich mir etwas anderes erwartet...
Apprentice

Hallo FabianD,

 

es sind nun zwei Monate vergangen, ohne dass von Samsung neue Informationen zu den Sicherheitslücken zur Verfügung gestellt wurden. Wie ist der aktuelle Stand? Wird es einen Fix geben oder sind die Sicherheitslücken so fundamental, dass sie nicht durch ein Firmware-Update behoben werden können?

 

FabianD Moderator
Moderator

Hallo BeBa47,

 

wenn es zu dem Thema neue Informationen gibt, wird Samsung sie über die oben verlinkte Seite bekannt geben. Bei einer konkreten Frage zu den von dir genutzten SSDs helfen dir auch gerne unsere SSD-Spezialisten weiter, die du unter der Rufnummer 06196 77 555 77 erreichst (Montag bis Freitag zwischen 08:30 und 17:00 Uhr). Alternativ kannst du die folgende E-Mail Adresse nutzen: hotline@hanaro.eu.

 

Viele Grüße


FabianD
*Samsung Community Moderator*
*****************************
Samsung Support-Mitarbeiter gesucht!
Du liebst den Kontakt und die Kommunikation mit Menschen und begeisterst dich für technische Produkte? Dann suchen wir genau dich. Jetzt auch von zuhause aus möglich! Schreib uns eine Privatnachricht für weitere Infos.

Apprentice

Guten Morgen!

 

Es sind nun 10 Monate vergangen, seitdem die Sicherheitslücken veröffentlicht wurden. Die Informationsseite von Samsung wurde seitdem nicht aktualisiert, obwohl Samsung "stetige Updates" bereitstellen wollte . Daher nochmals meine Frage: Wie ist der aktuelle Stand? Wurden die Sicherheitslücken behoben und falls ja, wie erhalten die Anwender eine "sichere" SSD? Auch meine Frage, ob die NVMe-SSDs (970er Serie) ebenfalls von den Sicherheitslücken betroffen sind, wurde bisher nicht beantwortet...

AlwinS Moderator
Moderator

Hallo @BeBa47,

 

bei den Informationen auf der von dir verlinkten Seite handelt es sich um den aktuellen Stand. Diese Infos sind prinzipiell erst einmal generell gültig. Wenn du spezifische Fragen zu einzelnen SSD-Speichern hast, würden wir dich bitten, dich mit unseren Experten für Speichermedien in Verbindung zu setzen. Du erreichst sie unter der Rufnummer 00800 8010 8011 oder alternativ unter der folgenden E-Mail Adresse: hotline@hanaro.eu.

 

Liebe Grüße

AlwinS
*Samsung Community - Moderator*
----------------------------------------------
ICH BIN IM URLAUB! Bitte schreibt mir keine PNs, denn ich kann euch erst ab dem 21.10.19 wieder antworten.

Autoren, für die die meisten Likes vergeben wurden