Jihokorejští bezpečnostní experti Na Young Ahn a Dong Hoon Lee vyvinuli sadu útoků na disky SSD, umožňující uložení malwaru na místo, které je mimo dosah uživatele a bezpečnostních řešení. Postup se zaměřuje na skrytou oblast označovanou jako Over-Provisioning (OP), kterou výrobci hojně využívají pro optimalizaci výkonu úložišť založených na pamětech NAND flash.
Over-Provisioning je funkce, která poskytuje přídavnou kapacitu určenou pro data, jež mají být z SSD vymazána, aniž by došlo k přerušení či poklesu výkonu systému. Vyhrazený prostor může být dynamicky upravován, což přináší výhody, mezi něž patří vyšší rychlost a delší životnost úložiště.
Vytvoření neviditelného prostoru
Oblast pro Over-Provisioning zabírá obvykle 7 až 25 % celkové kapacity disku. Pro pochopení nebezpečnosti útoku tímto způsobem je zásadní, že tato část SSD je neviditelná pro operační systém a všechny aplikace, které na něm běží, včetně bezpečnostních řešení a antivirových nástrojů. Jak uživatel spouští různé aplikace, management SSD automaticky upravuje tento prostor podle pracovní zátěže v závislosti na tom, jak jsou náročné na zápis nebo čtení.
Funkce flexibilní kapacity v jednotce SSD
Jeden z útoků, který výzkumníci z Korejské univerzity v Soulu modelovali, se zaměřuje na neviditelnou oblast s nesmazanými informacemi, která se nachází mezi uživateli dostupným prostorem a oblastí pro Over-Provisioning. Její velikost logicky závisí na velikosti těchto dvou oblastí.
Odborníci ve své práci vysvětlují, že hacker může pomocí správce firmwaru změnit velikost oblasti OP, a vytvořit tak zneužitelný a prakticky neviditelný prostor pro data. Problém spočívá v tom, že mnoho výrobců SSD tuto oblast z důvodu šetření prostředků nemaže. Malware využívající tuto slabinu by tak mohl získat přístup k potenciálně citlivým informacím.
Forenzní cíl v oblasti OP
Forenzní analýza paměti NAND flash přitom může odhalit data, která byla smazána až před šesti měsíci. Jako obranu proti tomuto typu útoku Na Young Ahn a Dong Hoon Lee navrhují, aby výrobci SSD mazali oblast OP pomocí algoritmu pseudo-erase, který by neměl mít zásadní vliv na výkon úložiště.
Schování malwaru do nepřístupné oblasti
Ve druhém modelu útoku je oblast pro Over-Provisioning využívána jako tajné místo, které uživatelé nemohou monitorovat nebo vymazat a kam by mohl útočník ukrýt malware. „Hacker, který získá přístup k disku SSD, může kdykoli aktivovat vložený malwarový kód změnou velikosti oblasti OP.“ uvádí zpráva.
Příklad injektáže malwaru v prostoru OP
Jasnou výhodou takového útoku je, že je dokonale skrytý před uživatelem i jakýmkoli bezpečnostním softwarem. Odhalení škodlivého kódu v oblastech OP je nejen časově náročné, ale vyžaduje také specializované forenzní techniky.
V případě tohoto typu útoku je potenciálně účinným bezpečnostním opatřením proti injektáži malwaru do oblasti OP implementace systémů pro monitorování rychlosti validních a nevalidních dat, které sledují poměry v rámci SSD v reálném čase.
Výzkum sice ukazuje, že oblast Over-Provisioning na SSD lze teoreticky zneužít k uložení škodlivého softwaru, je však nepravděpodobné, že by v současné době k takovým útokům docházelo v reálném světě.
