Betreff: Sicherheitslücke in selbstverschlüsselnden Samsung-SSDs: Fehlerbehebung?

BeBa47 · ‎08-11-2018

Moin zusammen,

wir nutzen mehrere Samsung SSDs der Modelle 850 Evo und 970 Evo, die laut Samsung-Spezifikation alle eine AES-256-Bit-Hardwareverschlüsselung bieten sollen.

Nach aktuellen Erkenntnissen weist die Implementierung der Hardwareverschlüsselung der 850 Evo jedoch so starke Sicherheitslücken auf, dass sich die angeblich „verschlüsselten“ Daten ohne Kenntnis eines Passworts auslesen lassen, vgl. https://www.ru.nl/publish/pages/909275/draft-paper_1.pdf.

Leider habe ich von Samsung bisher keinerlei Informationen zur Behebung der Sicherheitslücken gefunden, sondern lediglich den lapidaren Hinweis, man solle eine Software-Verschlüsselung nutzen, vgl. https://www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/.

Wer kann mir sagen, ob für das Modell 850 Evo bereits eine fehlerbereinigte Firmware-Version bereitsteht bzw. ob die gefundenen Sicherheitslücken über ein Firmware-Update überhaupt behebbar sind?

Für das Modell 970 Evo würde mich interessieren, ob diese SSDs ebenfalls von den beschriebenen Sicherheitslücken betroffen sind und falls ja, wie Samsung diese zu beheben gedenkt.

FabianD · ‎13-11-2018

Hallo BeBa47,

das offizielle Statement von Samsung lautet so:

Samsung Electronics wurde vom National Cyber Security Centre in den Niederlanden (NCSC-NL) über mögliche Schwachstellen einiger unserer SSDs informiert. Diese Schwachstellen können es potenziellen Angreifern ermöglichen, Informationen von einer SSD ohne Passwortverifizierung zu erhalten. Die Lücke kann allerdings nicht aus der Ferne ausgenutzt werden und beschränkt sich daher auf Situationen, in denen der Angreifer direkten Zugriff auf die SSD hat.

Bei Samsung nehmen wir den die Sicherheit und den Datenschutz unserer Kunden sehr ernst. Daher arbeiten wir seit den ersten Hinweisen eng mit der NCSC-NL an einer Lösung. Wir werden die Situation weiterhin beobachten und stelle unter folgendem Link stetige Updates bereit: www.samsung.com/semiconductor/minisite/ssd/support/consumer-notice/.

Viele Grüße

BeBa47 · ‎19-11-2018

Hallo Fabian,

danke für Deine Rückmeldung. Leider beantwortet die offizielle Stellungnahme keine meiner Fragen. Insbesondere finde ich immer noch keinerlei Information von Samsung, welche Serien von der Sicherheitslücke betroffen sind, ob die Sicherheitslücke grundsätzlich per Firmware-Update behoben werden kann oder ob sie so fundamental ist, dass sie gar nicht behebbar ist. Für externe Modelle scheint ein Patch bereit zu stehen. Wieso (noch) nicht für interne Modelle? Inwiefern greift hier die 5-jährige Garantie? Tauscht Samsung betroffene Modelle kostenfrei gegen nicht betroffene SSDs? Sofern es überhaupt nicht betroffene Modelle gibt...

Als führendem SSD-Hersteller, dem Sicherheit wichtig ist, sollte es Samsung möglich sein, seinen Kunden adäquate Informationen bereitzustellen, zumal die Sicherheitslücke nicht erst seit gestern bekannt ist.

Bitte informieren Sie mich - und alle anderen betroffenen Kunden - über das weitere Vorgehen hinsichtlich dieser schwerwiegenden Sicherheitslücke. Vielen Dank!

BeBa47 · ‎19-11-2018

Und noch eine kurze Ergänzung, zu der von Dir verlinkten Landing-Page: Die Seite scheint seit 10 Tagen unverändert zu sein. Sie trägt noch nicht mal ein Datum, von wann die Informationen sind. Unter „stetigen Updates“ hätte ich mir etwas anderes erwartet...

BeBa47 · ‎13-02-2019

Hallo FabianD,

es sind nun zwei Monate vergangen, ohne dass von Samsung neue Informationen zu den Sicherheitslücken zur Verfügung gestellt wurden. Wie ist der aktuelle Stand? Wird es einen Fix geben oder sind die Sicherheitslücken so fundamental, dass sie nicht durch ein Firmware-Update behoben werden können?

FabianD · ‎14-02-2019

Hallo BeBa47,

wenn es zu dem Thema neue Informationen gibt, wird Samsung sie über die oben verlinkte Seite bekannt geben. Bei einer konkreten Frage zu den von dir genutzten SSDs helfen dir auch gerne unsere SSD-Spezialisten weiter, die du unter der Rufnummer 06196 77 555 77 erreichst (Montag bis Freitag zwischen 08:30 und 17:00 Uhr). Alternativ kannst du die folgende E-Mail Adresse nutzen: hotline@hanaro.eu.

Viele Grüße

BeBa47 · ‎13-09-2019

Guten Morgen!

Es sind nun 10 Monate vergangen, seitdem die Sicherheitslücken veröffentlicht wurden. Die Informationsseite von Samsung wurde seitdem nicht aktualisiert, obwohl Samsung "stetige Updates" bereitstellen wollte . Daher nochmals meine Frage: Wie ist der aktuelle Stand? Wurden die Sicherheitslücken behoben und falls ja, wie erhalten die Anwender eine "sichere" SSD? Auch meine Frage, ob die NVMe-SSDs (970er Serie) ebenfalls von den Sicherheitslücken betroffen sind, wurde bisher nicht beantwortet...

AlwinS · ‎26-09-2019

Hallo @BeBa47,

bei den Informationen auf der von dir verlinkten Seite handelt es sich um den aktuellen Stand. Diese Infos sind prinzipiell erst einmal generell gültig. Wenn du spezifische Fragen zu einzelnen SSD-Speichern hast, würden wir dich bitten, dich mit unseren Experten für Speichermedien in Verbindung zu setzen. Du erreichst sie unter der Rufnummer 00800 8010 8011 oder alternativ unter der folgenden E-Mail Adresse: hotline@hanaro.eu.

Liebe Grüße

Originalthema:

Sicherheitslücke in selbstverschlüsselnden Samsung-SSDs: Fehlerbehebung?