InfoLAB 12.11.2024. – Nove varijante računalnih virusa koje koriste „skriveni“ dio SSD diskova za izvođenje malicioznih radnji, pri čemu je skriven i od većine antivirusnih programa.
Istraživači s Korejskog sveučilišta u Seoulu u svojem članku detaljno opisuju razne metode napada koristeći se tehnologijom koju većina modernih SSD diskova koriste, zvana „over-provisioning“.
Ta tehnologija uvedena je da poboljša performanse i pouzdanost SSD diskova.
Over-provisioning:
Općenito, proizvođači SSD-ova već izdvajaju 7%–25% prostora kao over-provisioning područje. Korisnik može stvoriti više tog prostora jednostavnim stvaranjem particija manjih od dostupnog fizičkog prostora. Iako to područje nije vidljivo na razini operativnog sustava, SSD kontroler ga i dalje može vidjeti i koristiti.
Svrha tog prostora je da služi kao privremena memorija koju disk prepisuje nakon što iskoristi preostali slobodan prostor (pri tome smanjujući broj čitanja i pisanja; jednostavnije i brže je zapisati podatke na prazan prostor nego prepisati postojeće podatke).
SSD diskovi ovakve operacije provode na hardware-levelu, točnije; za ovakve vrste operacija većinom je zadužen sam kontroler koji se nalazi na disku, te ovakve operacije nisu vidljive krajnjem korisniku (optimizacija, čišćenje i raspodjela podataka su radnje o kojima brine kontroler a uvelike utječu na brzinu čitanja/ zapisivanja, brzinu odziva i na sveukupnu dugotrajnost samog diska)
Nadogradnja firmwarea:
Proizvođači često izdaju nove nadogradnje koda koji sam kontroler koristi (firmware uređaja), posebno ako se uoči neki problem koji je moguće riješiti nadogradnjom koda. No, isto tako moguće je zamaskirati maliciozni kod unutar nadogradnje, te umetnuti ga u kontroler uz samu nadogradnju firmwarea. Nadogradnjom firmarea koji sadrži maliciozni kod, hakeri mogu dobiti pristup tim „skrivenim“ sektorima diska koji mogu sadržavati stare podatke koje kontroler još nije maknuo ili koji još nisu prepisani drugim podacima.
S obzirom da taj „skriveni“ prostor nije vidljiv od strane korisnika (za njegovo postojanje zna isključivo kontroler na samome disku) ni antivirusni programi u većini slučajeva ne pristupaju tim lokacijama te ne traže maliciozni kod, pa virusi imaju sigurnu „zonu“ gdje mogu sakupljati podatke korisnika koji nisu ni svjesni što se dešava u pozadini.
Nažalost, jedna od najčešćih preporuka za poboljšanje sigurnosti (nadogradnja firmwarea) može postati izvor problema kojeg bi ova radnja inače trebala spriječiti.
Zaključak:
Ova vrsta napada i sigurnosnog propusta ovisi od diska do diska, jer se kontroleri i njihove operacije razlikuju od modela do modela (sve ovisno o načinu na koji je kontroler programiran te koliko često provodi „čišćenje“ tih preostalih blokova podataka); pri čemu krajnji korisnici ne mogu vidjeti kad i koliko često se ova operacija obavlja.
Najbolji lijek je i dalje napraviti prvo sigurnosni backup podataka te nakon toga obavljanje redovitog ažuriranja firmwarea pri čemu je iznimno bitno preuzimati isti isključivo sa službene stranice proizvođača.
Ukoliko trebate savijet ili profesionalnu podršku, obratite nam se.