Bezpečnost | SSD | Malware

Korejci objevili způsob, jak schovat malware do nepřístupné oblasti SSD. Antiviry ho tam neodhalí

Jihokorejští bezpečnostní experti Na Young Ahn a Dong Hoon Lee vyvinuli sadu útoků na disky SSD, umožňující uložení malwaru na místo, které je mimo dosah uživatele a bezpečnostních řešení. Postup se zaměřuje na skrytou oblast označovanou jako Over-Provisioning (OP), kterou výrobci hojně využívají pro optimalizaci výkonu úložišť založených na pamětech NAND flash.

Over-Provisioning je funkce, která poskytuje přídavnou kapacitu určenou pro data, jež mají být z SSD vymazána, aniž by došlo k přerušení či poklesu výkonu systému. Vyhrazený prostor může být dynamicky upravován, což přináší výhody, mezi něž patří vyšší rychlost a delší životnost úložiště.

Vytvoření neviditelného prostoru

Oblast pro Over-Provisioning zabírá obvykle 7 až 25 % celkové kapacity disku. Pro pochopení nebezpečnosti útoku tímto způsobem je zásadní, že tato část SSD je neviditelná pro operační systém a všechny aplikace, které na něm běží, včetně bezpečnostních řešení a antivirových nástrojů. Jak uživatel spouští různé aplikace, management SSD automaticky upravuje tento prostor podle pracovní zátěže v závislosti na tom, jak jsou náročné na zápis nebo čtení.

Klepněte pro větší obrázek 
Funkce flexibilní kapacity v jednotce SSD

Jeden z útoků, který výzkumníci z Korejské univerzity v Soulu modelovali, se zaměřuje na neviditelnou oblast s nesmazanými informacemi, která se nachází mezi uživateli dostupným prostorem a oblastí pro Over-Provisioning. Její velikost logicky závisí na velikosti těchto dvou oblastí.

Odborníci ve své práci vysvětlují, že hacker může pomocí správce firmwaru změnit velikost oblasti OP, a vytvořit tak zneužitelný a prakticky neviditelný prostor pro data. Problém spočívá v tom, že mnoho výrobců SSD tuto oblast z důvodu šetření prostředků nemaže. Malware využívající tuto slabinu by tak mohl získat přístup k potenciálně citlivým informacím.

Klepněte pro větší obrázek Forenzní cíl v oblasti OP

Forenzní analýza paměti NAND flash přitom může odhalit data, která byla smazána až před šesti měsíci. Jako obranu proti tomuto typu útoku Na Young Ahn a Dong Hoon Lee navrhují, aby výrobci SSD mazali oblast OP pomocí algoritmu pseudo-erase, který by neměl mít zásadní vliv na výkon úložiště.

Schování malwaru do nepřístupné oblasti

Ve druhém modelu útoku je oblast pro Over-Provisioning využívána jako tajné místo, které uživatelé nemohou monitorovat nebo vymazat a kam by mohl útočník ukrýt malware. „Hacker, který získá přístup k disku SSD, může kdykoli aktivovat vložený malwarový kód změnou velikosti oblasti OP.“ uvádí zpráva.

Klepněte pro větší obrázek Příklad injektáže malwaru v prostoru OP

Jasnou výhodou takového útoku je, že je dokonale skrytý před uživatelem i jakýmkoli bezpečnostním softwarem. Odhalení škodlivého kódu v oblastech OP je nejen časově náročné, ale vyžaduje také specializované forenzní techniky.

V případě tohoto typu útoku je potenciálně účinným bezpečnostním opatřením proti injektáži malwaru do oblasti OP implementace systémů pro monitorování rychlosti validních a nevalidních dat, které sledují poměry v rámci SSD v reálném čase.

Výzkum sice ukazuje, že oblast Over-Provisioning na SSD lze teoreticky zneužít k uložení škodlivého softwaru, je však nepravděpodobné, že by v současné době k takovým útokům docházelo v reálném světě.

Diskuze (9) Další článek: Webkamera pro Teams má vypnutý mikrofon. Hovadina roku 2021 od Microsoftu [komentář]

Témata článku: Bezpečnost, Antivirus, Jižní Korea, SSD, Malware, Data, Korejec, Oblast, Uživatelé, Soul, Antiviry na Heureka.cz



Navrhli jsme si základní desku Bobík 32S2. Stálo to pár dolarů a za čtyři dny dorazila z Asie

Navrhli jsme si základní desku Bobík 32S2. Stálo to pár dolarů a za čtyři dny dorazila z Asie

** Dnes si ukážeme, že design tištěného obvodu zvládne i zelenáč ** Díky editoru EasyEDA si vystačíte s webovým prohlížečem ** Hotovou desku vyrobí hongkongský JLCPCB

Jakub Čížek
BastleníDIYPojďme programovat elektroniku
QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

QR kódy jsou skvělý pomocník, ale i zlý pán. Tohle jsou nejčastější podvody, které vás mohou připravit o peníze

** Čtvercový grafický kód usnadňuje život už mnoho let ** S rostoucí oblibou a využitím přibývá i podvodů ** Nejčastěji jsou podvody zaměřeny na podstrčení falešného kódu

Martin Miksa
PodvodQR kódBezpečnost
Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

Šedý trh s předplatným se vymyká kontrole. Spotify, Netflix nebo Disney+ můžete mít doslova za pár korun

** Sdílení účtů mezi kamarády je jen začátek ** Dnes letí nákupy předplatných v Indii nebo na Aliexpressu ** Superlevné „netflixy“ ale mohou nakonec spíš škodit

Lukáš Václavík
PředplatnéNetflixSpotify
Nejlepší filmy na Netflixu v roce 2021. Všechny mají český dabing nebo titulky

Nejlepší filmy na Netflixu v roce 2021. Všechny mají český dabing nebo titulky

Tyto filmy byly v roce 2021 na českém Netflixu nejoblíbenější. Nerozlišujeme žánr, stáří ani hodnocení na filmových webech. Jde o oblíbenost, kterou sleduje web FlixPatrol a počítá z ní souhrnné žebříčky.

Ondřej Králík
Netflix
Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

Izrael díky speciální kamufláži zařídil pro své vojáky „neviditelnost“

** Materiál „Kit 300“ představuje vizuální i termální kamufláž ** Dokáže zablokovat tepelné vyzařování maskovaného vojáka či třeba stroje ** Velký kus materiálu Kit 300 může ukrýt vozidlo až do velikosti Hummeru

Stanislav Mihulka
IzraelMateriálArmáda
Rusko obviňuje astronautku NASA ze sabotáže Mezinárodní vesmírné stanice
Jiří Černý
Mezinárodní vesmírná staniceNASARusko