Kórejským expertom sa podarilo odhaliť slabé miesto SSD diskov, ktoré umožňuje malvéru uložiť sa na miesto, ktoré je mimo dosahu používateľov a bezpečnostných riešení. Škodlivý softvér môže byť umiestnený v skrytom oddieli nazývanom „over-provisioning“, ktorý v súčasnosti výrobcovia SSD často využívajú na optimalizáciu výkonu. Na tému upozornili portály Tom’s Hardware a BleepingComputer.

Hackeri môžu zneužiť často využívanú funkciu

„Over-provisioning“ je funkcia, respektíve technika, ktorá zlepšuje životnosť a výkon SSD diskov využívajúcich statické NAND flash pamäte. „Over-provisioning“ je v podstate prázdna rezervná oblasť, ktorá zvyčajne zaberá 7 až 25 % celkovej kapacity disku. Oblasť je pre operačný systém neviditeľná, takže skrytá zostáva aj pre všetky ďalšie aplikácie vrátane antivírusov.

arXiv.org/BleepingComputer

V prípade, že používateľ spúšťa rôzne aplikácie, správa SSD automaticky prispôsobí tento priestor pracovnej záťaži v závislosti od náročnosti na zápis a čítanie.

Experti modelovali dva útoky, ktoré využívajú práve túto funkciu SSD. V prvom útoku demonštrovali zraniteľnosť neplatnej dátovej oblasti s nevymazanými informáciami (údaje odstránené z OS, nie však fyzicky vymazané), ktorá sa nachádza medzi využiteľným priestorom SSD a „over-provisioning“ sektorom.

NEPREHLIADNI:
Z hoaxu jeden z najväčších hackerských útokov histórie. Kryptoburzu okradli o stámilióny

Výskumníci vysvetľujú, že hackeri môžu zmeniť veľkosť „over-provisioning“ oblasti prostredníctvom správcu firmvéru, čím zároveň vytvoria ďalší priestor v neplatnej dátovej oblasti. Keďže mnoho výrobcov SSD diskov túto oblasť nevymazáva, priestor zostáva vyplnený údajmi, z ktorých hackeri môžu získať potencionálne citlivé informácie.

V druhom útoku bol malware uložený priamo v „over-provisioning“ oblasti. V tomto prípade však boli použité dva SSD disky, ktoré boli prepojené a fungovali ako jeden celok, pričom „over-provisioning“ zaberal 50 % kapacity.

Po „uložení škodlivého softvéru na SSD 2, hacker okamžite zníži „over-provisioning“ oblasť SSD 1 na 25 % a rozšíri OP oblasť SSD2 na 75 %“, cituje expertov portál BleepingComputer. Uložený malware, ktorý sa nachádza na SSD 2 môže potom hacker kedykoľvek aktivovať zmenou veľkosti „over-provisioning“ oblasti.

Keďže veľkosť „over-provisioning“ oblasti zostáva naďalej 50 % z celkovej kapacity, zdá sa, že táto oblasť zostala nedotknutá a žiadny škodlivý kód sa v nej nenachádza.

arXiv.org/BleepingComputer

Výhodou tohto druhu útoku je jeho nenápadnosť, pričom detekcia škodlivého softvéru v tejto oblasti je nesmierne časovo náročná a vyžaduje špeciálne techniky a postupy. Kórejskí výskumníci ako riešenie odporúčajú výrobcom SSD diskov vymazávať over-provisioning oblasť pomocou algoritmu pseudo vymazávania, ktorá neovplyvní výkon zariadenia v reálnom čase.

Taktiež im odporúčajú implementovať nový monitorovací systém, ktorý by monitoroval pomer platnej a neplatnej oblasti dát. Navyše, užívateľ by mal mať  prístup k nástrojom na správu SSD, ktoré môžu zmeniť veľkosť tejto oblasti.