الأدلة الجنائية التخزين المرفقة: التحليل الأمني لـ Tecus NAS

0 301

Thecus قامت بتصنيع أجهزة NAS لأكثر من 15 عامًا. تقوم الشركة بتطوير نظام التشغيل NAS القائم على Linux، و TeCusos. في هذا الوقت، الإصدار الأحدث من نظام التشغيل هو TeCusos 7. تعلن شركة Tecus عن تشفير البيانات الآمن في معظم أجهزة NAS الخاصة بها. تتيح أداة التشفير المستندة إلى حجم الشركة للمستخدمين تشفير كامل حجم RAID الخاص بهم، والدفاع عن البيانات الأساسية في حالات سرقة الجهاز الفعلي. وجدنا أن تنفيذ (ثيكو) للتشفير فريد إلى حد ما. في هذا البحث، سنقوم بالتحقق من مطالبات الشركة المصنعة والتحقق من مدى أمان تنفيذ Thecus' لتشفير AES 256 بت.

خلاصة وملخص

يستخدم Tecus تشفير AES 256 بت القائم على وحدة التخزين مع مفتاح تشفير واحد ثابت وغير قابل للتغيير. يتم إنشاء ملف مفتاح التشفير 3968 بايت (31744 بت) في الوقت الذي يقوم فيه المستخدم بإنشاء وحدة تخزين مشفرة جديدة استنادًا إلى كلمة مرور المستخدم (4-16 حرفًا، 0-9، a-z، A-Z فقط). إنشاء عدة وحدات تخزين مشفرة بنفس كلمة المرور ينتج ملفات مفاتيح تشفير مختلفة.

يتم تخزين مفتاح التشفير على محرك أقراص أوسب خارجي (الخيار الوحيد، القسري) وليس لديه أي حماية إضافية.

يتم إلغاء تأمين وحدة التخزين المشفرة تلقائيًا بمجرد قيام المستخدم بإدخال محرك أقراص USB الذي يحتوي على مفتاح التشفير الصحيح.

لا يتم استخدام كلمة المرور الأصلية التي كتبها المستخدم عند إنشاء وحدة تخزين مشفرة مرة أخرى، في أي مكان. لا يمكن للمستخدمين تغيير كلمة مرور التشفير. لا يمكن للمستخدمين تشفير البيانات الموجودة. لا يمكن للمستخدمين فك تشفير وحدات التخزين المشفرة بشكل دائم. تتطلب أي تغييرات على التشفير حذف وإعادة إنشاء وحدة التخزين وملئه بالبيانات. يفتقر نظام التشفير بأكمله إلى أي نوع من الوثائق التقنية.

نظام الحماية بأكمله غير موثق تماما. على سبيل المثال، ليس من الواضح ما هي كلمة المرور المستخدمة لأن المستخدم لا يضطره إلى كتابتها مرة أخرى (من أي وقت مضى) لتحميل أو الوصول إلى وحدات التخزين المشفرة خلاف ذلك.

ملاحظة: يتم دعم SED من قبل TeCusos ولكن لم يتم اختباره في مختبرنا.

اختبار مقاعد البدلاء

قمنا بتحليل جهاز Tecus N2810 استنادًا إلى معالج Intel Celeron N2810. تم استخدام قرص صلب أحمر غير Sed WD لإعداد NAS إجراء التحليل. كان NAS يعمل على أحدث إصدار متاح من ثيكوسوس 7.

التشفير القائم على وحدة التخزين

يدعم TeCusos التشفير القائم على وحدة التخزين. بخلاف التشفير القائم على المجلدات الذي يسمح بحماية (أو عدم حماية) المشاركات الفردية، يحمي التشفير القائم على وحدة التخزين وحدة تخزين RAID بأكملها. أقرب تشابه للتشفير القائم على وحدة التخزين سيكون BitLocker في Microsoft Windows أو FileVault 2 في Apple macOS. ومع ذلك، فإن تطبيق Tecus هو أكثر أساسية بكثير مقارنة مع أدوات التشفير القرص الكامل أبل أو مايكروسوفت.

تشفير

يمكن للمستخدمين تشفير وحدات تخزين RAID الفارغة التي تم إنشاؤها حديثًا (بغض النظر عن عدد الأقراص؛ يمكن تشفير وحدة تخزين RAID أحادية القرص بنفس السهولة التي يمكن تشفيرها وحدة تخزين تمتد عبر أقراص فعلية متعددة).

تشفير وحدة تخزين موجودة غير ممكن. يجب على المرء أولا إزالة وحدة التخزين، وإنشاء واحدة جديدة ووضع علامة في مربع «تشفير». ونتيجة لذلك، لا يتم دعم تشفير وحدات التخزين مع البيانات الموجودة.

الخطوة الأولى هي إنشاء وحدة تخزين جديدة:

تتطلب ميزة التشفير الاختيارية كلمة مرور. يجب أن تتكون كلمة المرور من 4 إلى 16 حرفًا؛ ويتم دعم مجموعات الأحرف 0-9، a-z، A-Z (لا توجد أحرف خاصة ولا أحرف محلية).

لا يتعين على المستخدمين حفظ كلمة المرور هذه لأنها لن تضطر إلى كتابتها مرة أخرى للوصول إلى البيانات المشفرة. بدلاً من ذلك، سيقوم TeCusos بإنشاء مفتاح تشفير 3968 بايت (31744 بت)، وتخزين هذا المفتاح على محرك أقراص USB خارجي يجب توصيله بـ NAS في وقت إنشاء وحدة التخزين المشفرة.

بمجرد أن يقوم المستخدم بإدخال محرك أقراص USB خارجي (مثل محرك أقراص محمول) في أحد منافذ USB المتاحة، يقوم NAS بحفظ مفتاح التشفير على محرك الأقراص هذا وإنشاء وحدة التخزين المشفرة وتركيبها.

تركيب وحدات التخزين المشفرة

يتم تركيب وحدات التخزين المشفرة تلقائيًا عندما يقوم المستخدم بإدخال محرك أقراص USB يحتوي على مفتاح تشفير وحدة التخزين في أي منفذ USB متوفر على Tecus NAS. لا توجد مطالبات إضافية، وليس هناك حاجة لفتح واجهة المستخدم ويب.

يتم دعم السيناريوهات التالية.

يتم تشغيل NAS أو إعادة تمهيد؛ لا يتم إدخال محرك أقراص USB يحتوي على مفتاح التشفير. في هذه الحالة، يتم تأمين وحدة التخزين المشفرة، والبيانات غير قابلة للوصول. ومع ذلك، يمكن لـ NAS إكمال تسلسل التمهيد حيث يتم تخزين نظام التشغيل الرئيسي (وبعض ملفات التكوين) على شريحة تخزين NAND صغيرة وليس على القرص الصلب (ق).

يتم تشغيل أو إعادة تشغيل NAS؛ يتم إدخال محرك أقراص USB الذي يحتوي على مفتاح التشفير. في هذه الحالة، سيتم تركيب وحدة التخزين المشفرة بحلول الوقت الذي يكمل فيه الجهاز تسلسل التمهيد.

السيناريو الأكثر إثارة للاهتمام هو عندما يتم تشغيل ناس أو إعادة تمهيد دون إدراج محرك أقراص أوسب، والمستخدم إدراج محرك أقراص أوسب الذي يحتوي على مفتاح التشفير في نقطة لاحقة. في هذه الحالة، سيقوم نظام التشغيل بالتعرف تلقائيا على محرك أقراص أوسب، وقراءة مفتاح التشفير وتركيب وحدة التخزين المشفرة تلقائيا.

تأمين وحدات التخزين المشفرة

كما أحسب، يتم تركيب وحدات التخزين المشفرة تلقائيًا عندما يقوم المستخدم بإدخال محرك أقراص USB الصحيح. ماذا يحدث بعد إزالة محرك أقراص USB؟ في هذه الحالة، تحافظ NAS على وحدة التخزين المشفرة مثبتة. تبقى وحدة التخزين مثبتة حتى يتم إيقاف تشغيل NAS أو إعادة تمهيد، أو حتى يقوم المستخدم بتأمين وحدة التخزين يدويًا من خلال واجهة المستخدم على الويب.

فك التشفير

إذا كنت معتادًا على BitLocker، فربما تعرف أنه من الممكن بسهولة إزالة كلمة المرور من وحدة تخزين مشفرة. ومن المثير للاهتمام، لن يقوم BitLocker بفك تشفير أي بيانات تم تشفيرها بالفعل؛ بدلاً من ذلك، سيقوم فقط بتخزين مفتاح التشفير غير المغلف في رأس وحدة التخزين، مما يسمح للنظام بالتقاط المفتاح والوصول إلى المعلومات بدون كلمة مرور. سيتم حفظ أي معلومات جديدة محفوظة على وحدات تخزين BitLocker هذه غير مشفرة.

مع ثيكوس، الوضع هو أبسط من ذلك بكثير. لا يمكن للمستخدمين إزالة التشفير أو فك تشفير وحدات التخزين المشفرة بشكل دائم، الفترة. الطريقة الوحيدة لفك تشفير البيانات بشكل دائم هي إزالة وحدة التخزين المشفرة، وإعادة إنشاء وحدة التخزين دون تشفير وملئه بالبيانات.

تغيير كلمة المرور: مستحيل

قبل عقود، جاء المصنعون بفكرة رائعة لفصل المفاتيح الثنائية التي تستخدم في الواقع لتشفير وفك تشفير البيانات، والأسرار التي يوفرها المستخدم والتي تستخدم للوصول إلى البيانات. في التشفير المتماثل، يمكن استخدام مفتاح تشفير ثنائي فريد واحد فقط لتشفير البيانات وفك تشفيرها؛ وهذا ما يسمى مفتاح تشفير الوسائط (أو مفتاح تشفير البيانات). ومع ذلك، يمكن للمستخدمين إلغاء تأمين البيانات المشفرة باستخدام أنواع مختلفة متعددة من بيانات الاعتماد مثل كلمات مرور النص العادي، وبيانات الاعتماد المخزنة على بطاقات ذكية آمنة أو وحدات TPM، والمفاتيح الثنائية (الملفات) أو مجموعات منها. يتم استخدام بيانات الاعتماد هذه (مفاتيح التشفير الرئيسية) لتشفير (التفاف) مفتاح تشفير الوسائط. يمكن استخدام مفاتيح تشفير المفاتيح المتعددة المختلفة للالتفاف على نفس مفتاح تشفير الوسائط، مما يسمح للمستخدم بتغيير كلمة المرور ذات النص العادي على الفور، إضافة أو إزالة البطاقات الذكية وغيرها من بيانات الاعتماد.

لا يستخدم TeCusos 7 مفهوم مفاتيح التشفير الرئيسية. يتم استخدام كلمة مرور النص العادي الأصلي للمستخدم لإنتاج مفتاح تشفير وسائط واحد ثابت. لا يمكن تغيير كلمة المرور ولا مفتاح التشفير بعد تشفير وحدة التخزين.

ملاحظات

بينما يطلب من المستخدمين إدخال كلمة مرور عند تشفير وحدة التخزين، لن يتم استخدام كلمة المرور هذه مرة أخرى في أي مكان في واجهة TeCusos. لم أتمكن من العثور على أي إشارات إلى كلمة المرور هذه في الوثائق التقنية Tecus أو قاعدة المعرفة عبر الإنترنت. لا يتم استخدام كلمة المرور لفك تشفير البيانات أو لتركيب أقسام مشفرة. لن يتعين على المستخدمين كتابة كلمة المرور هذه مرة أخرى. وبعبارة أخرى، تبدو كلمة المرور زائدة تماما في هذا الإعداد. و عدم و جود تفسير مناسب, ناهيك عن و ثائق تقنية شاملة, يجعلني أهز رأسي.

تنتج TeCusos مفاتيح تشفير مختلفة عند إنشاء وحدات تخزين محمية بنفس كلمة المرور. هذا هو تلميح جيد أن كلمة المرور مملحة مع بعض البيانات العشوائية. عدم وجود وثائق مناسبة يجعل هذا التخمين جيدة مثل أي الآخرين.

تشفير Tecus و SEES

يدعم TeCusos تشفير SED (محرك التشفير الذاتي)، كما هو موضح على لقطة الشاشة أدناه.

لم نختبر تنفيذ سد بسبب عدم وجود القرص الصلب متوافق. وبالنظر إلى التكلفة وتحديد موقع السوق في Tecus N2810، فمن المرجح أن يتم استخدام النموذج مع محركات الأقراص الصلبة NAS من الدرجة الاستهلاكية مثل سلسلة Western Digital Red أو Seagate Ironwolf، وكلاهما يفتقران إلى دعم SED.

ما هي المخاطر التي يغطيها نموذج الأمن Tecus

يتم تجريد النموذج الأمني المستخدم من قبل TeCusos وصولا الى الضروريات العارية. لدي الملاحظات التالية حول نموذج Tecus الأمني.

ليس من الواضح لماذا يطالب النظام بكلمة مرور إذا تعذر استخدام كلمة المرور هذه لإلغاء تأمين وحدات التخزين ولا يمكن تغييرها. إذا كانت كلمة مرور المستخدم مطلوبة فقط كبذرة عشوائية من نوع ما، فيجب الكشف عنها وتوثيقها بشكل صحيح.

و عدم و جود أي نوع من الوثائق التقنية لنظام حماية البيانات أمر غير مشجع. قد يكون هذا مقبولاً للمستخدم المنزلي والاستخدام المكتبي الصغير في بعض الأحيان، ولكنه غير مقبول لأي شيء يتجاوز ذلك.

يتم تخزين مفتاح التشفير على محرك أقراص أوسب منفصل. يمكن للمستخدمين إدراج محرك أقراص USB هذا بسهولة في أي وقت لإلغاء قفل وحدات التخزين المشفرة تلقائيًا. ونتيجة لذلك، يستند نظام الحماية بأكمله حصرا على «شيء لديك». أي شخص لديه حق الوصول إلى محرك أقراص أوسب الذي يحمل مفتاح التشفير سوف تكون قادرة على تحميل وحدات التخزين المشفرة.

كما يمكن للمرء أن يرى، كل شيء يأتي إلى ما إذا كان المهاجم لديه حق الوصول إلى محرك أقراص أوسب الذي يحتوي على مفاتيح التشفير أم لا.

إذا تم تخزين مفتاح تشفير USB بشكل منفصل عن وحدة NAS، ويتم إيقاف تشغيل NAS، يتم حماية البيانات المشفرة ضد سرقة محركات الأقراص الصلبة وسرقة وحدة NAS بأكملها.

إذا كان المهاجم لديه حق الوصول إلى كل من وحدة NAS ومحرك أقراص USB الذي يحتوي على مفتاح التشفير، فإن الحماية لا شيء.

الاستنتاج: ثيكوس التشفير مقابل ميكروسوفت بيتلوكر

عندما يتعلق الأمر بتشفير القرص الكامل، فإن Microsoft BitLocker و Apple FileVault 2 هما أول الأشياء التي تتبادر إلى الذهن، حيث أن TrueCrypt و Veracrypt هما الأكثر شعبية في تطبيقات الطرف الثالث. يتم دعم التشفير الآمن، وإدارة المفاتيح الشاملة وطرق متعددة لتشفير وفتح وحدات التخزين من قبل جميع هذه الحاويات التشفير.

عندما يتعلق الأمر بتشفير التخزين المرفقة، فإنك مرحب بك مرة أخرى إلى العصر الحجري. تفتقر تشفير AES الإعلاني النموذجي لـ NAS 256 بت إلى أي نوع من إدارة المفاتيح؛ في كثير من الأحيان إلى النقطة التي لا يمكن للمستخدم حتى تغيير كلمة مرور التشفير الخاصة به دون حذف وحدة التخزين بأكملها، وإعادة إنشاء، وإعادة تشفير وإعادة ملء مع البيانات. ليس لدى العديد من الشركات المصنعة لـ NAS أي فكرة عن وجود مفاتيح تشفير الوسائط المنفصلة ومفاتيح تشفير المفاتيح، ناهيك عن مثيلاتها المتعددة. لا يسمح نظام NAS النموذجي الذي يباع لمستخدم منزلي أو مكتب صغير بتشفير البيانات الموجودة أو إزالة كلمة المرور من وحدات التخزين المشفرة إذا لم تعد بحاجة لحمايتها.

كل هذه التصريحات صحيحة لـ TeCusos 7. عدم وجود حتى إدارة المفاتيح الأساسية، وعدم القدرة على تغيير كلمة مرور التشفير، وعدم القدرة على تشفير أو فك تشفير وحدات التخزين الموجودة يجعل تشفير Tecus NAS واحدة من أقل الأجهزة مرونة على الإطلاق. و يفتقر نظام الحماية إلى الشفافية أو أي نوع من الوثائق التقنية. كيف يأتي النظام بمفتاح تشفير 3968 بايت استنادًا إلى كلمة مرور المستخدم من 4 إلى 16 حرفًا؟ في حالة فقدان البيانات، هل من الممكن فك تشفير البيانات باستخدام كلمة مرور المستخدم بدلاً من مفتاح التشفير؟ هل يحتوي المفتاح على كلمة مرور المستخدم، تجزئة كلمة مرور، أم أنه في الغالب بيانات عشوائية؟ لا يوجد أي من هذه الأسئلة إجابات في الوثائق التقنية.

وفي الوقت نفسه، فإن تنفيذ التشفير بسيط ومباشر. استنادًا إلى ملف مخزنة على محرك أقراص USB قابل للإزالة، سيكون من المستحيل فك تشفير البيانات بدون محرك أقراص USB المذكور (ما لم يتم العثور على ثغرة أمنية). ومن المرجح أن يكون هذا التشفير كافياً لحماية معظم البيانات المخزنة من قبل مستخدمي المنازل والمكاتب الصغيرة.

بواسطة أوليغ أفونين في 2020-01-09 14:02:01 مصدر إلكومسوفت بلوق:

Attached Storage Forensics: Security Analysis of Thecus NAS

احصل على إشعارات فورية مباشرة على جهازك ، اشترك الآن.

تعليقات
جار التحميل...

يستخدم موقع الويب هذا ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على هذا ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك.موافققراءة المزيد