Niewykrywalny malware na SSD; odkryto poważną lukę w dyskach
Po procesorach, kartach graficznych, drukarkach etc. w końcu mamy lukę zabezpieczeń po prostu w dyskach. Jak się okazuje, współczesne SSD umożliwiają instalowanie niewykrywalnych wirusów.
Nie tylko gracze mają nieszczęście przekonać się o pomysłowości hakerów. Dlatego niektórzy badacze profilaktycznie szukają luk w zabezpieczeniach oprogramowania i sprzętu, nim zostaną one odkryte przez „przedsiębiorczych” złodziei. Po Steamie, procesorach, kartach graficznych, drukarkach itd. naukowcy znaleźli sposób na zainstalowanie niewykrywalnego, złośliwego oprogramowania bezpośrednio na dyskach SSD.
Luka odkryta przez badaczy z Uniwersytetu Korei w Seulu (via BleepingComputer.com) opiera się na wykorzystaniu tzw. over-provisioning (OP, dosł. nadzaopatrzenia) powiązanego z technologią flex capacity firmy Micron. Jest ona obecna w praktycznie wszystkich współczesnych SSD i – w największym skrócie – pozwala zwiększyć wydajność i żywotność dysku poprzez dostosowanie wolnej, „surowej” przestrzeni do tej wykorzystywanej przez użytkownika.
Ta pierwsza – de facto puste miejsce – to właśnie wspomniane „over-provisioning”, przy czym owa część SSD jest całkowicie niedostępna dla systemu i programów. Choć nie dotyczy to – jakżeby inaczej – hakerów.
Może Cię zainteresować:
- Kryptowaluty za prawie pół miliona złotych wykopane dzięki luce Log4j
- PS4 złamane 8 lat po premierze, zabezpieczenia PS5 mogą być zagrożone
Koreańczycy przedstawili dwa modele ataku z wykorzystaniem owej luki. Pierwszy to po prostu schowanie malware bezpośrednio w „over-provisioning”. Pokazano to na przykładzie dwóch dysków, obu wykorzystywanych przez użytkownika w połowie. Złośliwy program instaluje się na nadzaopatrzeniu drugiego SSD, na którym powiększa tę „pustą” przestrzeń do 75%, jednocześnie redukując ją do 25% na pierwszym urządzeniu. W efekcie wirus ma więcej miejsca do działania, a użytkownik nadal widzi tyle samo „niewykorzystane” przestrzeni OP (tj. 50%):
W celu uproszczenia opisu przyjęto, że dwa urządzenia pamięci masowej SSD1 i SSD2 są połączone. Każde urządzenie pamięci masowej ma 50% przestrzeni OP. Po zapisaniu złośliwego oprogramowania na dysku SSD2 haker natychmiast zmniejsza obszar OP SSD1 do 25% i zwiększa obszar OP SSD2 do 75%.
W tym czasie złośliwy kod znajduje się w ukrytym obszarze SSD2. Haker, który uzyska dostęp do dysku SSD, może w każdej chwili aktywować wbudowany kod złośliwego oprogramowania poprzez zmianę rozmiaru obszaru OP. Ponieważ zwykli użytkownicy utrzymują 100% obszaru użytkownika na kanale, wykrycie złośliwego działania hakerów nie będzie łatwe.
Drugi model wykorzystuje przestrzeń nieprawidłowych danych (w oryg. invalid data area), gdzie znajdują się informacje de facto usunięte przez system operacyjny, ale fizycznie wciąż obecne na SSD (dyski te rzadko dokonują tak dokładnego czyszczenia). Również w tym przypadku haker może zmienić rozmiar „over-provisioning”, co przełoży się powiększenie tego „bufora” między OP a przestrzenią użytkową.
Na szczęście jak dotąd nie pojawiły się doniesienia na temat przeprowadzenia podobnego ataku przez hakerów. Niemniej koreańscy badacze zalecają producentom implementację opcji pozwalających na monitorowanie OP, lepsze zabezpieczenia menadżerów SSD przed nieautoryzowanymi działaniami w tej przestrzeni oraz algorytmu kasującego, który „fizycznie” usuwałby nieprawidłowe dane bez zmniejszania wydajności w czasie rzeczywistym.