Jihokorejští bezpečnostní experti Na Young Ahn a Dong Hoon Lee vyvinuli sadu útoků na disky SSD, umožňující uložení malwaru na místo, které je mimo dosah uživatele a bezpečnostních řešení. Postup se zaměřuje na skrytou oblast označovanou jako Over-Provisioning (OP), kterou výrobci hojně využívají pro optimalizaci výkonu úložišť založených na pamětech NAND flash.

Jihokorejští bezpečnostní experti Na Young Ahn a Dong Hoon Lee vyvinuli sadu útoků na disky SSD, umožňující uložení malwaru na místo, které je mimo dosah uživatele a bezpečnostních řešení. Postup se zaměřuje na skrytou oblast označovanou jako Over-Provisioning (OP), kterou výrobci hojně využívají pro optimalizaci výkonu úložišť založených na pamětech NAND flash.

Over-Provisioning je funkce, která poskytuje přídavnou kapacitu určenou pro data, jež mají být z SSD vymazána, aniž by došlo k přerušení či poklesu výkonu systému. Vyhrazený prostor může být dynamicky upravován, což přináší výhody, mezi něž patří vyšší rychlost a delší životnost úložiště.

Over-Provisioning je funkce, která poskytuje přídavnou kapacitu určenou pro data, jež mají být z SSD vymazána, aniž by došlo k přerušení či poklesu výkonu systému. Vyhrazený prostor může být dynamicky upravován, což přináší výhody, mezi něž patří vyšší rychlost a delší životnost úložiště.

Oblast pro Over-Provisioning zabírá obvykle 7 až 25 % celkové kapacity disku. Pro pochopení nebezpečnosti útoku tímto způsobem je zásadní, že tato část SSD je neviditelná pro operační systém a všechny aplikace, které na něm běží, včetně bezpečnostních řešení a antivirových nástrojů. Jak uživatel spouští různé aplikace, management SSD automaticky upravuje tento prostor podle pracovní zátěže v závislosti na tom, jak jsou náročné na zápis nebo čtení.

Oblast pro Over-Provisioning zabírá obvykle 7 až 25 % celkové kapacity disku. Pro pochopení nebezpečnosti útoku tímto způsobem je zásadní, že tato část SSD je neviditelná pro operační systém a všechny aplikace, které na něm běží, včetně bezpečnostních řešení a antivirových nástrojů. Jak uživatel spouští různé aplikace, management SSD automaticky upravuje tento prostor podle pracovní zátěže v závislosti na tom, jak jsou náročné na zápis nebo čtení.

Jeden z útoků, který výzkumníci z Korejské univerzity v Soulu modelovali, se zaměřuje na neviditelnou oblast s nesmazanými informacemi, která se nachází mezi uživateli dostupným prostorem a oblastí pro Over-Provisioning. Její velikost logicky závisí na velikosti těchto dvou oblastí.

Jeden z útoků, který výzkumníci z Korejské univerzity v Soulu modelovali, se zaměřuje na neviditelnou oblast s nesmazanými informacemi, která se nachází mezi uživateli dostupným prostorem a oblastí pro Over-Provisioning. Její velikost logicky závisí na velikosti těchto dvou oblastí.

Odborníci ve své práci vysvětlují, že hacker může pomocí správce firmwaru změnit velikost oblasti OP, a vytvořit tak zneužitelný a prakticky neviditelný prostor pro data. Problém spočívá v tom, že mnoho výrobců SSD tuto oblast z důvodu šetření prostředků nemaže. Malware využívající tuto slabinu by tak mohl získat přístup k potenciálně citlivým informacím.

Odborníci ve své práci vysvětlují, že hacker může pomocí správce firmwaru změnit velikost oblasti OP, a vytvořit tak zneužitelný a prakticky neviditelný prostor pro data. Problém spočívá v tom, že mnoho výrobců SSD tuto oblast z důvodu šetření prostředků nemaže. Malware využívající tuto slabinu by tak mohl získat přístup k potenciálně citlivým informacím.

Forenzní analýza paměti NAND flash přitom může odhalit data, která byla smazána až před šesti měsíci. Jako obranu proti tomuto typu útoku Na Young Ahn a Dong Hoon Lee navrhují, aby výrobci SSD mazali oblast OP pomocí algoritmu pseudo-erase, který by neměl mít zásadní vliv na výkon úložiště.

Forenzní analýza paměti NAND flash přitom může odhalit data, která byla smazána až před šesti měsíci. Jako obranu proti tomuto typu útoku Na Young Ahn a Dong Hoon Lee navrhují, aby výrobci SSD mazali oblast OP pomocí algoritmu pseudo-erase, který by neměl mít zásadní vliv na výkon úložiště.

Ve druhém modelu útoku je oblast pro Over-Provisioning využívána jako tajné místo, které uživatelé nemohou monitorovat nebo vymazat a kam by mohl útočník ukrýt malware. „Hacker, který získá přístup k disku SSD, může kdykoli aktivovat vložený malwarový kód změnou velikosti oblasti OP.“ uvádí zpráva.

Ve druhém modelu útoku je oblast pro Over-Provisioning využívána jako tajné místo, které uživatelé nemohou monitorovat nebo vymazat a kam by mohl útočník ukrýt malware. „Hacker, který získá přístup k disku SSD, může kdykoli aktivovat vložený malwarový kód změnou velikosti oblasti OP.“ uvádí zpráva.

Jasnou výhodou takového útoku je, že je dokonale skrytý před uživatelem i jakýmkoli bezpečnostním softwarem. Odhalení škodlivého kódu v oblastech OP je nejen časově náročné, ale vyžaduje také specializované forenzní techniky.

Jasnou výhodou takového útoku je, že je dokonale skrytý před uživatelem i jakýmkoli bezpečnostním softwarem. Odhalení škodlivého kódu v oblastech OP je nejen časově náročné, ale vyžaduje také specializované forenzní techniky.

V případě tohoto typu útoku je potenciálně účinným bezpečnostním opatřením proti injektáži malwaru do oblasti OP implementace systémů pro monitorování rychlosti validních a nevalidních dat, které sledují poměry v rámci SSD v reálném čase.

V případě tohoto typu útoku je potenciálně účinným bezpečnostním opatřením proti injektáži malwaru do oblasti OP implementace systémů pro monitorování rychlosti validních a nevalidních dat, které sledují poměry v rámci SSD v reálném čase.

Výzkum sice ukazuje, že oblast Over-Provisioning na SSD lze teoreticky zneužít k uložení škodlivého softwaru, je však nepravděpodobné, že by v současné době k takovým útokům docházelo v reálném světě.

Výzkum sice ukazuje, že oblast Over-Provisioning na SSD lze teoreticky zneužít k uložení škodlivého softwaru, je však nepravděpodobné, že by v současné době k takovým útokům docházelo v reálném světě.

Korejci objevili způsob, jak schovat malware do nepřístupné oblasti SSD. Antiviry ho tam neodhalí

Korejci objevili způsob, jak schovat malware do nepřístupné oblasti SSD. Antiviry ho tam neodhalí

Over-Provisioning je funkce, která poskytuje přídavnou kapacitu určenou pro data, jež mají být z SSD vymazána, aniž by došlo k přerušení či poklesu výkonu systému. Vyhrazený prostor může být dynamicky upravován, což přináší výhody, mezi něž patří vyšší rychlost a delší životnost úložiště.
Oblast pro Over-Provisioning zabírá obvykle 7 až 25 % celkové kapacity disku. Pro pochopení nebezpečnosti útoku tímto způsobem je zásadní, že tato část SSD je neviditelná pro operační systém a všechny aplikace, které na něm běží, včetně bezpečnostních řešení a antivirových nástrojů. Jak uživatel spouští různé aplikace, management SSD automaticky upravuje tento prostor podle pracovní zátěže v závislosti na tom, jak jsou náročné na zápis nebo čtení.
Jeden z útoků, který výzkumníci z Korejské univerzity v Soulu modelovali, se zaměřuje na neviditelnou oblast s nesmazanými informacemi, která se nachází mezi uživateli dostupným prostorem a oblastí pro Over-Provisioning. Její velikost logicky závisí na velikosti těchto dvou oblastí.
Odborníci ve své práci vysvětlují, že hacker může pomocí správce firmwaru změnit velikost oblasti OP, a vytvořit tak zneužitelný a prakticky neviditelný prostor pro data. Problém spočívá v tom, že mnoho výrobců SSD tuto oblast z důvodu šetření prostředků nemaže. Malware využívající tuto slabinu by tak mohl získat přístup k potenciálně citlivým informacím.
11
Fotogalerie

Korejci objevili způsob, jak schovat malware do nepřístupné oblasti SSD. Antiviry ho tam neodhalí

Jihokorejští bezpečnostní experti Na Young Ahn a Dong Hoon Lee vyvinuli sadu útoků na disky SSD, umožňující uložení malwaru na místo, které je mimo dosah uživatele a bezpečnostních řešení. Postup se zaměřuje na skrytou oblast označovanou jako Over-Provisioning (OP), kterou výrobci hojně využívají pro optimalizaci výkonu úložišť založených na pamětech NAND flash.

Over-Provisioning je funkce, která poskytuje přídavnou kapacitu určenou pro data, jež mají být z SSD vymazána, aniž by došlo k přerušení či poklesu výkonu systému. Vyhrazený prostor může být dynamicky upravován, což přináší výhody, mezi něž patří vyšší rychlost a delší životnost úložiště.

Vytvoření neviditelného prostoru

Oblast pro Over-Provisioning zabírá obvykle 7 až 25 % celkové kapacity disku. Pro pochopení nebezpečnosti útoku tímto způsobem je zásadní, že tato část SSD je neviditelná pro operační systém a všechny aplikace, které na něm běží, včetně bezpečnostních řešení a antivirových nástrojů. Jak uživatel spouští různé aplikace, management SSD automaticky upravuje tento prostor podle pracovní zátěže v závislosti na tom, jak jsou náročné na zápis nebo čtení.

Funkce flexibilní kapacity v jednotce SSD 
Funkce flexibilní kapacity v jednotce SSD

Jeden z útoků, který výzkumníci z Korejské univerzity v Soulu modelovali, se zaměřuje na neviditelnou oblast s nesmazanými informacemi, která se nachází mezi uživateli dostupným prostorem a oblastí pro Over-Provisioning. Její velikost logicky závisí na velikosti těchto dvou oblastí.

Odborníci ve své práci vysvětlují, že hacker může pomocí správce firmwaru změnit velikost oblasti OP, a vytvořit tak zneužitelný a prakticky neviditelný prostor pro data. Problém spočívá v tom, že mnoho výrobců SSD tuto oblast z důvodu šetření prostředků nemaže. Malware využívající tuto slabinu by tak mohl získat přístup k potenciálně citlivým informacím.

Forenzní cíl v oblasti OP Forenzní cíl v oblasti OP

Forenzní analýza paměti NAND flash přitom může odhalit data, která byla smazána až před šesti měsíci. Jako obranu proti tomuto typu útoku Na Young Ahn a Dong Hoon Lee navrhují, aby výrobci SSD mazali oblast OP pomocí algoritmu pseudo-erase, který by neměl mít zásadní vliv na výkon úložiště.

Schování malwaru do nepřístupné oblasti

Ve druhém modelu útoku je oblast pro Over-Provisioning využívána jako tajné místo, které uživatelé nemohou monitorovat nebo vymazat a kam by mohl útočník ukrýt malware. „Hacker, který získá přístup k disku SSD, může kdykoli aktivovat vložený malwarový kód změnou velikosti oblasti OP.“ uvádí zpráva.

Příklad injektáže malwaru v prostoru OP Příklad injektáže malwaru v prostoru OP

Jasnou výhodou takového útoku je, že je dokonale skrytý před uživatelem i jakýmkoli bezpečnostním softwarem. Odhalení škodlivého kódu v oblastech OP je nejen časově náročné, ale vyžaduje také specializované forenzní techniky.

V případě tohoto typu útoku je potenciálně účinným bezpečnostním opatřením proti injektáži malwaru do oblasti OP implementace systémů pro monitorování rychlosti validních a nevalidních dat, které sledují poměry v rámci SSD v reálném čase.

Výzkum sice ukazuje, že oblast Over-Provisioning na SSD lze teoreticky zneužít k uložení škodlivého softwaru, je však nepravděpodobné, že by v současné době k takovým útokům docházelo v reálném světě.

Určitě si přečtěte

Články odjinud