Niewykrywalny malware na SSD; odkryto poważną lukę w dyskach
Po procesorach, kartach graficznych, drukarkach etc. w końcu mamy lukę zabezpieczeń po prostu w dyskach. Jak się okazuje, współczesne SSD umożliwiają instalowanie niewykrywalnych wirusów.
Nie tylko gracze mają nieszczęście przekonać się o pomysłowości hakerów. Dlatego niektórzy badacze profilaktycznie szukają luk w zabezpieczeniach oprogramowania i sprzętu, nim zostaną one odkryte przez „przedsiębiorczych” złodziei. Po Steamie, procesorach, kartach graficznych, drukarkach itd. naukowcy znaleźli sposób na zainstalowanie niewykrywalnego, złośliwego oprogramowania bezpośrednio na dyskach SSD.
Luka odkryta przez badaczy z Uniwersytetu Korei w Seulu (via BleepingComputer.com) opiera się na wykorzystaniu tzw. over-provisioning (OP, dosł. nadzaopatrzenia) powiązanego z technologią flex capacity firmy Micron. Jest ona obecna w praktycznie wszystkich współczesnych SSD i – w największym skrócie – pozwala zwiększyć wydajność i żywotność dysku poprzez dostosowanie wolnej, „surowej” przestrzeni do tej wykorzystywanej przez użytkownika.
Ta pierwsza – de facto puste miejsce – to właśnie wspomniane „over-provisioning”, przy czym owa część SSD jest całkowicie niedostępna dla systemu i programów. Choć nie dotyczy to – jakżeby inaczej – hakerów.
Źródło: BleepingComputer.com
Może Cię zainteresować:
- Kryptowaluty za prawie pół miliona złotych wykopane dzięki luce Log4j
- PS4 złamane 8 lat po premierze, zabezpieczenia PS5 mogą być zagrożone
Koreańczycy przedstawili dwa modele ataku z wykorzystaniem owej luki. Pierwszy to po prostu schowanie malware bezpośrednio w „over-provisioning”. Pokazano to na przykładzie dwóch dysków, obu wykorzystywanych przez użytkownika w połowie. Złośliwy program instaluje się na nadzaopatrzeniu drugiego SSD, na którym powiększa tę „pustą” przestrzeń do 75%, jednocześnie redukując ją do 25% na pierwszym urządzeniu. W efekcie wirus ma więcej miejsca do działania, a użytkownik nadal widzi tyle samo „niewykorzystane” przestrzeni OP (tj. 50%):
W celu uproszczenia opisu przyjęto, że dwa urządzenia pamięci masowej SSD1 i SSD2 są połączone. Każde urządzenie pamięci masowej ma 50% przestrzeni OP. Po zapisaniu złośliwego oprogramowania na dysku SSD2 haker natychmiast zmniejsza obszar OP SSD1 do 25% i zwiększa obszar OP SSD2 do 75%.
W tym czasie złośliwy kod znajduje się w ukrytym obszarze SSD2. Haker, który uzyska dostęp do dysku SSD, może w każdej chwili aktywować wbudowany kod złośliwego oprogramowania poprzez zmianę rozmiaru obszaru OP. Ponieważ zwykli użytkownicy utrzymują 100% obszaru użytkownika na kanale, wykrycie złośliwego działania hakerów nie będzie łatwe.
Drugi model wykorzystuje przestrzeń nieprawidłowych danych (w oryg. invalid data area), gdzie znajdują się informacje de facto usunięte przez system operacyjny, ale fizycznie wciąż obecne na SSD (dyski te rzadko dokonują tak dokładnego czyszczenia). Również w tym przypadku haker może zmienić rozmiar „over-provisioning”, co przełoży się powiększenie tego „bufora” między OP a przestrzenią użytkową.
Źródło: BleepingComputer.com
Na szczęście jak dotąd nie pojawiły się doniesienia na temat przeprowadzenia podobnego ataku przez hakerów. Niemniej koreańscy badacze zalecają producentom implementację opcji pozwalających na monitorowanie OP, lepsze zabezpieczenia menadżerów SSD przed nieautoryzowanymi działaniami w tej przestrzeni oraz algorytmu kasującego, który „fizycznie” usuwałby nieprawidłowe dane bez zmniejszania wydajności w czasie rzeczywistym.
Więcej:Awaria AWS powoduje wiele problemów w internecie. Gry i usługi nie działają
Komentarze czytelników
Jerry_D Senator
W sumie już w 2013 wyszło, że NSA stosowało niewykrywalne (dla normalnych antywirusów) i nieusuwalne trojany w firmware dysków twardych, więc pewnie na takie metody zużytkowania dysków SSD też już dawno wpadli.
zanonimizowany1353630 Konsul
Jak nic ja mam ten mallware. Nie pozwala nawet antywira zainstalować.
zanonimizowany1359977 Senator
Najmądrzejszym rozwiązaniem i posunięciem jest zdrowy rozsądek i stawianie na rozwiązania offline+ backupy i zabezpieczenia fizyczne, a nie chmury, aplikacje itd.
Trzeba założyć, ze wszelki soft online dzisiaj jest wadliwy i może w każdej chwili nawalić.
Banki i urzędy powinny mieć backup co każdą operację podstaswowy i rozszerzony czyli dzienny o 23.59. który po zrobieniu nie jest dostępny z zewnątrz.
Sam robie 2x backup na dyskach zewnętrznych i najważniejsz pliki wypalam na płytę BD firmy Verbatim i chowam w pudełku do ciemnej szafy.
Ktoś mądry kiedyś powiedział "chmura to bzdura" i ma rację, to rozwiązania ulotne niczym pamięc RAM, działają dopóki czegoś nie zabraknie, są dane w tej chwili, ale ani nie obiecane, ani trwałe.
To wszystko działa tylko jak jest idealnie, dobrze i sielsko.
Mądry człowiek żyje tak, żeby mu było dobrze teraz, ale i mógł żyć dobrze dalej jak walnie Internet.
świat zachodni za bardzo wisi na internecie, za mało na zdrowym rozsądku.
zanonimizowany1359995 Konsul
Co powoduje wirus kopanie dyskami twardymi i do 2022 ceny dysków skoczą do góry i fabryka intela nie pomoże bo procesory też będą drogie i nic nie zrobicie.
GRYOnline.pl:
tvgry.pl:
