МИР ПЕРИФЕРИЙНЫХ УСТРОЙСТВ ПК

технический журнал для специалистов сервисных служб

  • Увеличить размер шрифта
  • Размер шрифта по умолчанию
  • Уменьшить размер шрифта

Система безопасности HDD. Особенности работы с дисковыми паролями.

Конфиденциальность данных, хранящихся на дисковых накопителях компьютеров, является одним из важнейших условий функционирования большинства организаций, как больших, так и маленьких, и является одним из важнейших компонентов личной безопасности отдельных граждан. Именно проблему обеспечения безопасности пользовательских данных решает система паролей, устанавливаемых на дисковые накопители. Общий порядок функционирования паролей описывается стандартами ATA, хотя каждый производитель дисков может вносить и свои особенности в систему паролей. Разобраться во всех нюансах дисковых паролей поможет предлагаемая вашему вниманию статья.

 

Самыми распространенными способами ограничения доступа к конфиденциальной информации, хранящейся на диске, являются:

- создание шифрованных разделов на диске;

- архивирование с паролем;

- установка на логическом уровне пароля на файловую систему (специальными программами в boot-секторе HDD);

- физическая смена жесткого диска целиком (использование mobile rack).

Но у каждого из этих способов есть свой недостаток. Информация все равно остается на носителе, и хотя она в явном виде не доступна (программы защиты часто ограничиваются шифровкой лишь загрузочной записи, оставляя неизменной даже FAT), ее можно легко извлечь с такого диска, используя дисковые редакторы, или программы для восстановления информации, например, Easy Recovery.

Шифровка файлов "на лету" более устойчива к взлому, но для ее работы требуется постоянно находящийся в памяти резидент, перехватывающий часть API системы и создающий немалую нагрузку на центральный процессор. Кроме того, возможны сбои и "зависания" такой программы, что создает целый ряд проблем. Также не стоит сбрасывать со счета возможность повреждения шифрованного раздела, например, вирусами. Все этого приводят к значительным сложностям при последующем извлечении информации.

Система безопасности пользовательских данных должна соответствовать трем основным требованиям.

1) Во-первых, система безопасности должна быть независимой от операционной и файловой системы.

2) Во-вторых, система безопасности должна быть надежной и взламывать ее должно быть очень трудно.

3) В-третьих, система безопасности не должна отнимать вычислительные ресурсы системы.

Начиная с момента принятия ATA/ATAPI-3 в 1996 году, защиту информации можно осуществлять средствами и силами контроллера жестких дисков. Система безопасности – Security Set или Security Mode – позволяет защитить все содержимое диска не только от чтения, но и от записи, и даже от низкоуровневого форматирования. Этого удалось добиться, встроив программу защиты непосредственно в дисковый накопитель. Управление этой программой осуществляется несколькими специальными командами, предаваемыми на диск через IDE-интерфейс с помощью соответствующих утилит. Кроме того, BIOS'ы некоторых системных плат позволяют ставить пароли на современные винчестеры. Особенно актуальна система безопасности для ноутбуков, в которых наличие дисковых паролей является, фактически, обязательным.

 

Система безопасности

В соответствии со стандартами ATA/ATAPI (в частности, при написании данной статьи мы будем опираться на ATA/ATAPI-8) система безопасности дисков является опциональной, т.е. используется исключительно по желанию пользователя. Система безопасности позволяет управлять паролями, которые ограничивают доступ к данным, хранящимся на диске. Стандарт ATA описывает два типа паролей:

- User Password (пароль пользователя);

- Master Password (пароль администратора).

Кроме того, в стандарте описывается два уровня безопасности:

-High (высокий);

- Maximum (максимальный).

Дисковое устройство, которое оснащено системой безопасности, должно поддерживать, как минимум, следующие команды:

- SECURITY SET PASSWORD (команда установки User-пароля);

- SECURITY UNLOCK (команда снятия блокировки при вводе правильного User-пароля);

- SECURITY ERASE PREPARE (команда подготовки данных к уничтожению);

- SECUTITY ERASE UNIT (команда уничтожения данных);

-SECURITY FREEZE LOCK (команда приостановки блокирования диска);

-SECURUTY DISABLE PASSWORD (команда отмены системы безопасности, т.е. отмены User-пароля).

Возможность поддержки дисковым накопителем системы безопасности и ее текущее состояние отражается в блоке данных (блоке идентификации – паспорте), получаемом при помощи команды IDENTIFY DEVICE. В этом блоке данных, системе безопасности соответствуют два слова:

- слово с адресом 82 (наличие этого слова обязательно в блоке данных);

- слово с адресом 128 (наличие этого слова в блоке данных опционально).

Если [бит 1] слова с адресом 82 установлен в лог.1, то дисковый накопитель поддерживает систему безопасности, а если этот бит установлен в лог.0, то использование User-пароля невозможно. Слово с адресом 128 описывает текущее состояние системы безопасности и его формат представлен в табл.1.

 

Таблица 1.

Бит

Назначение

0

Если бит установлен в лог.1, то диском поддерживается система безопасности. Состояние этого бита не изменяется.

1

Если бит установлен в лог.1, то система безопасности разрешена.

2

Если бит установлен в лог.1, то диск находится в состоянии LOCK (заблокирован до ввода пароля).

3

Если бит установлен в лог.1, то диск находится в состоянии FROZEN (пароль "заморожен")

4

Бит устанавливается в лог.1, когда счетчик попыток ввода пароля превысил допустимое значение (5 попыток).

5

Если бит установлен в лог.1, то диском поддерживается "расширенная очистка". Состояние этого бита не изменяется.

6-7

Биты зарезервированы

8

Бит уровня защиты. Если бит установлен в лог.1, то установлен уровень защиты Maxi-mum. Если бит установлен в лог.0, то установлен уровень защиты High.

9-15

Биты зарезервированы

Рассмотрим особенности паролей и уровней безопасности.

User-пароль

User-пароль служит для ограничения доступа к пользовательской информации. При установке User-пароля винчестер входит в состояние LOCK (заблокирован) и отвергает такие команды, как чтение и запись. Следовательно, информацию с запаролированного диска нельзя ни прочитать, ни изменить, ни стереть. Сделать это можно только после снятия пароля или после временного разблокирования диска. При установке User-пароля задается уровень безопасности (High или Maximum), т.е. уровень защиты является параметром команды, устанавливающей User-пароль. Уровень безопасности определяет, как будет реагировать винчестер на ввод Master-пароля. Система безопасности диска активизируется только после того, как User-пароль посылается на винчестер с помощью команды SECURITY SET PASSWORD.

Master-пароль

Master-пароль – это уникальный код, который хранится в служебной зоне накопителя, иногда в зашифрованном виде. Master-пароль не предназначен для защиты информации. Master-пароль предназначен для удаления User-пароля в случае потери последнего. При помощи Master-пароля накопитель невозможно ни заблокировать, ни разблокировать. Master-пароль можно только изменить. Установка Master-пароля никак не отражается на работе накопителя. Master-пароль устанавливается на заводе-изготовителе диска, и, в принципе, Master-пароли основных производителей HDD известны.

Уровень безопасности High

Накопитель, заблокированный с уровнем защиты High, можно разблокировать либо при помощи Master-пароля, либо при помощи User-пароля. Поэтому при защите диска стоит иметь в виду, что если Master-пароль не был своевременно изменен, то разблокировать накопитель с уровнем защиты High не составляет особого труда. Для разблокирования диска, находящегося в режиме High, используется команда SECURITY UNLOCK, пересылающая на диск Master-пароль.

Уровень безопасности Maximum

При установке уровня защиты Maximum разблокировать накопитель можно только лишь, зная User-пароль. Если же User-пароль неизвестен, но при этом известен Master-пароль, то разблокировать накопитель можно лишь с одновременным уничтожением всех данных. Если установлен уровень защиты Maximum, то для разблокирования накопителя Master-паролем используются команды SECURITY ERASE PREPARE и SECURITY ERASE UNIT, в которой указан Master-пароль.

Графическое представление принципа разблокирования диска с помощью User-пароля и Master-пароля, представлено на рис.1.

Рис. 1

Еще раз обращаем внимание читателей на то, что Master-пароль не является какой-то "универсальной отмычкой", а позволяет разблокировать накопитель только при определенном стечении обстоятельств (когда User-пароль неизвестен, но при этом установлен уровень защиты High).

Если же неизвестны ни User-пароль, ни Master-пароль, то защищенный диск становится физически негодным для хранения информации. Не зная Master-пароля, разблокировать диск практически нельзя, даже ценой потерянных данных (хотя, при определенных условиях, пароль, если он не зашифрован, можно прочитать с поверхности диска с помощью технологических команд). Поэтому работа с системой безопасности HDD требует как от пользователя, так и от сервисного специалиста предельной внимательности и осторожности.

После того, как система безопасности активизирована установкой User-пароля, доступ к данным будет заблокирован только после перезагрузки системы выключением питания, т.е. для того, чтобы пароль вступил в силу, необходимо выключить, а затем снова включить компьютер.

Интересной командой, относящейся к системе безопасности диска, является SECURITY FREEZE LOCK (блокировка или "заморозка" защиты). Выполнение этой команды вводит диск в состояние FROZEN и запрещает изменение паролей до перезагрузки системы. Главным назначением этой команды является защита установленных паролей от несанкционированных атак на систему безопасности, например, со стороны вирусов.

Представление о том, какие команды выполняются накопителем HDD при работе в различных режимах безопасности, дает таблица 2, в которой знаком "+" обозначаются исполняемые команды. "Нет" в ячейках таблицы указывает, что исполнение данной команды в данном режиме блокируется, а знаком "***" отмечены команды, разрешение на исполнение которых, осуществляется по усмотрению производителя HDD.

 

Таблица 2.

Команда

Состояние диска

LOCK 

UNLOCK 

FROZEN 

CFA ERASE SECTORS 

нет

+

+

CFA REQUEST EXTENDED ERROR CODE

+

+

+

CFA TRANSLATE SECTOR

+

+

+

CFA WRITE MULTIPLE WITHOUT ERASE

нет

+

+

CFA WRITE SECTORS WITHOUT ERASE

нет

+

+

CHECK MEDIA CARD TYPE

нет

+

+

CHECK POWER MODE

+

+

+

CONFIGURE STREAM

нет

+

+

DEVICE CONFIGURATION

нет

+

+

DEVICE RESET

+

+

+

DOWNLOAD MICROCODE

***

***

***

EXECUTE DEVICE DIAGNOSTIC

+

+

+

FLUSH CACHE

нет

+

+

FLUSH CACHE EXT

нет

+

+

GET MEDIA STATUS

нет

+

+

IDENTIFY DEVICE

+

+

+

IDENTIFY PACKET DEVICE

+

+

+

IDLE

+

+

+

IDLE IMMEDIATE

+

+

+

MEDIA EJECT

нет

+

+

MEDIA LOCK

нет

+

+

MEDIA UNLOCK

нет

+

+

NOP

+

+

+

PACKET

нет

+

+

READ BUFFER

+

+

+

READ DMA

нет

+

+

READ DMA EXT

нет

+

+

READ DMA QUEUED

нет

+

+

READ DMA QUEUED EXT

нет

+

+

READ LOG EXT

нет

+

+

READ MULTIPLE

нет

+

+

READ MULTIPLE EXT

нет

+

+

READ NATIVE MAX ADDRESS

+

+

+

READ NATIVE MAX ADDRESS EXT

+

+

+

READ SECTOR(S)

нет

+

+

READ SECTOR(S) EXT

нет

+

+

READ STREAM DMA EXT

нет

+

+

READ STREAM EXT

нет

+

+

READ VERIFY SECTOR(S)

нет

+

+

READ VERIFY SECTOR EXT

нет

+

+

SECURITY DISABLE PASSWORD

нет

+

нет

SECURITY ERASE PREPARE

+

+

нет

SECURITY ERASE UNIT

+

+

нет

SECURITY FREEZE LOCK

нет

+

+

SECURITY SET PASSWORD

нет

+

нет

SECURITY UNLOCK

+

+

нет

SERVICE

нет

+

+

SET FEATURES

+

+

+

SET MAX ADDRESS

нет

+

+

SET MAX ADDRESS EXT

нет

+

+

SET MAX SET PASSWORD

нет

+

+

SET MAX LOCK

нет

+

+

SET MAX FREEZE LOCK

нет

+

+

SET MAX UNLOCK

нет

+

+

SET MULTIPLE MODE

+

+

+

SLEEP

+

+

+

SMART DISABLE OPERATIONS

+

+

+

SMART ENABLE/DISABLE AUTOSAVE

+

+

+

SMART ENABLE OPERATIONS

+

+

+

SMART EXECUTE OFF-LINE IMMEDIATE

+

+

+

SMART READ DATA

+

+

+

SMART READ LOG

+

+

+

SMART RETURN STATUS

+

+

+

SMART WRITE LOG

+

+

+

STANDBY

+

+

+

STANDBY IMMEDIATE

+

+

+

WRITE BUFFER

+

+

+

WRITE DMA

нет

+

+

WRITE DMA EXT

нет

+

+

WRITE DMA FUA EXT

нет

+

+

WRITE DMA QUEUED

нет

+

+

WRITE DMA QUEUED EXT

нет

+

+

WRITE DMA QUEUED FUA EXT

нет

+

+

WRITE LOG EXT

нет

+

+

WRITE MULTIPLE

нет

+

+

WRITE MULTIPLE EXT

нет

+

+

WRITE MULTIPLE FUA EXT

нет

+

+

WRITE SECTOR(S)

нет

+

+

WRITE SECTOR(S) EXT

нет

+

+

WRITE STREAM DMA EXT

нет

+

+

WRITE STREAM EXT

нет

+

+

Рис. 2

Разницу в общей последовательности функционирования диска с установленной и неустановленной системой безопасности, демонстрирует рис.2. Кроме того, рис.3 дает представление об особенности функционирования дискового накопителя при использовании системы безопасности на примере дисков IBM.

 

Рис. 3

При подборе неизвестного пароля следует помнить о такой особенности системы безопасности, как ограничение количества попыток ввода пароля. Эта функция также прописана в стандартах ATA/ATAPI и суть ее сводится к следующему. Дисковое устройство должно быть оснащено счетчиком ограничения попыток. Назначением этого счетчика является предотвращение повторяющихся попыток подбора пароля. Значение счетчика декрементируется (уменьшается на единицу) при каждой ошибке ввода User-пароля или Master-пароля. Если значение счетчика достигает нуля, диск прерывает исполнение команд ввода пароля (команд SECURITY ERASE UNIT и SECURITY UNLOCK) до тех пор, пока диск не будет выключен, либо пока не пройдет аппаратный сброс системы. Начальным значением счетчика является число 5, т.е. после пяти неудачных попыток подбора пароля, система "зависает" и приходится перезагружать компьютер. После перезагрузки системы счетчик опять устанавливается в значение 5.

Состояние счетчика попыток указывается в блоке идентификации – слово с адресом 128 (бит 4, называемый EXPIRE – см. табл.1). Если этот бит установлен в лог.1, то это означает, что счетчик обнулился, т.е. уже было 5 неправильных попыток ввода пароля. После сброса системы бит 4 слова 128 опять возвращается в состояние лог.0 до следующих пяти неправильных попыток. Ограничение в 5 попыток соответствует только User-паролю, и отсутствует, если для разблокирования диска используется Master-пароль.

В стандартах ATA/ATAPI предусматривается семь состояний системы безопасности (SEC0 – SEC6). Переход диска из одного состояния в другое осуществляется при возникновении какого-либо события (ввод команды, включение/выключение питания, сброс системы). Все эти семь состояний и условия перехода накопителя из одного состояния в другое представлены на рис.4.

Рис. 4

На этом мы закончим обзор теоретических основ системы безопасности дисков, и перейдем к практическим моментам использования дисковых паролей.

Установка/снятие паролей может осуществляться различными специализированными утилитами, например такими, как:

- ATA Security Tool;

- HDAT;

- ATAPWD;

- MHDD;

- HDD Unlock Wizard;

- Victoria;

- HDDL;

- VTOOL и др.

В ноутбуках, как правило, имеются встроенные утилиты для работы с паролями. Кроме того, для установки и снятия паролей могу быть использованы программно-аппаратные комплексы, одним из которых является, например PC-3000.

При снятии пароля желательно пользоваться той же самой программой, с помощью которой данный пароль был установлен, так как в противном случае может возникнуть ситуация, когда правильно введенный пароль (с точки зрения пользователя) не принимается накопителем. Однако, справедливости ради, стоит отметить, что такая ситуация может возникнуть даже и в том случае, когда для установки и снятия пароля используется одна и та же программа. И этому явлению можно предложить несколько объяснений.

Во-первых, одной из самых частых причин того, что накопитель, запароленный одной программой, не открывается другой – это использование программами разных символов-заполнителей. USER-пароль состоит из 32-х символов. В таком виде он подается в накопитель, и хранится в нем. Когда пользователь ставит пароль, он может выбрать любую его длину, но в винчестер всегда передается 32 байта - это введенные с клавиатуры символы, плюс нужное количество байтов-заполнителей. Обычно ими служит нулевой байт (код 00h) или символ пробела (код 20h), реже другое значение (например, код FFh).

Пользователь программы-шифровальщика может не знать, какой заполнитель использует данная программа. Поэтому при вводе этого же пароля через другую программу, в накопитель также будут переданы заполнители, но уже другие, и винчестер выдаст ошибку (неправильный пароль). Исходя из этого, разумно предположить, что самым верным решением будет ввод всех 32-х символов, если обычный способ не помогает. В таких известных программах как Victoria и MHDD - пароль дополняется нулями автоматически. В тоже время, программа HDDL дополняет пароль пробелами.

Во-вторых, может использоваться шифрованный пароль. Иногда встречается ситуация, когда программа-установщик пароля передает в винчестер не набранные с клавиатуры символы, а их шифрованную по определенному алгоритму комбинацию. Сделано это для исключения разблокирования винчестера другими программами (обычно данный способ используется для защиты информации в портативных устройствах). Алгоритмов шифровки существует огромное количество - это и перестановки символов местами, и арифметико-логические преобразования (сдвиги, вращение бит, операции типа XOR и AND, сложение с константой и т.п.). При этом пользователь обычно ничего не знает о том, что вводимый им пароль шифруется. Для разблокирования такого винчестера необходимо пользоваться тем средством, которым пароль был установлен.

Как мы отмечали в первой части нашей статьи, в некоторых случаях разблокировать накопитель можно с помощью Master-пароля, поэтому сервисный специалист должен, по возможности, знать эти Master –пароли, или уметь находить их на диске. Некоторые Master-пароли представлены в табл.3.


Таблица 3.

Накопители 

Master-пароль 

Fujitsu 

32 пробела 

Fujitsu серии MPG/ MPC/MPD/MPE/MPF 

1) Информация о Master-пароле, одинаковом для всей серии,  хранится в служебном модуле 12 (0Ch)

2) Информация о User-пароле, одинаковом для всей серии, хранится в служебном  модуле 13 (0Dh) 

Hitachi, серий DK23AA/ DK23BA/DK23CA 

32 пробела 

IBM серии  DTTA 

CED79IJUFNATIT + 18 пробелов 

IBM серии   DJNA  

VON89IJUFSUNAJ + 18 пробелов 

IBM серии   DPTA 

VON89IJUFSUNAJ + 18 пробелов 

IBM серии   DTLA 

RAM00IJUFOTSELET + 16 пробелов 

Maxtor N40P 

Maxtor INIT SECURITY TEST STEP + 1 пробел (длина пароля 31 символ) 

Maxtor 541D 

Maxtor + 26 пробелов 

Samsung  

Имеется три возможные комбинации:

1) BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB (32символа "B")

2) AAAAAAAAAAAAAAAAAAAAAAAAAAAAAA (32 символа "А")

3) tttttttttttttttttttttttttttttttt (32 символа"t") 

Seagate 

Seagate + 25 пробелов 

Toshiba 

32 пробела 

Western Digital 

WDCWDCWDCWDCWDCWDCWDCWDCWDCWDCWD 

Western Digital серии xB 

Пароль находится в конце второго сектора на 2 треке в открытом виде 

Western Digital серий 07AA/ 272AA/450AA/205AA 

Пароль находится в конце третьего сектора на 1 треке в открытом виде 

Примечание. В данной таблице пароли представлены строго с учетом  регистра, поэтому  при вводе паролей, необходимо соблюдать именно такое написание, как указано в данной таблице.

 

Иногда дисковые утилиты могут самопроизвольно устанавливать пароль в случае некорректного завершения работы программы. Ниже представлены пароли, устанавливаемые в определённых ситуациях наиболее популярными дисковыми программами:

1) Программа MHDD версий 3.x при возникновении внутренней ошибки устанавливает пароль из 32 букв "A" или 32 букв "B" (большие латинские).

2) Программа HDDL при неудачной попытке быстрого стирания и при других сбоях и зависаниях устанавливает пароль "fuck + 28 пробелов".

3) Комплекс HRT устанавливает 32 символа с кодом 0. Для того чтобы ввести такой пароль в MHDD, достаточно в ответ на запрос пароля нажать [ENTER].

На этом и закончим. А нашим читателям пожелаем успехов в работе с системой безопасности дисковых накопителей, и еще раз обратим внимание на всю серьезность и ответственность работы с дисковыми паролями.

  Буи официальный сайт

Профессиональная инфракрасная паяльная станция

 

Восстановление данных на HDD.
Профессиональные технологии, програмные и аппаратные средства.
www.xprt.ru

Яндекс.Метрика
Рейтинг@Mail.ru Яндекс цитирования