Onderzoekers van Korea University hebben een beveiligingsprobleem ontdekt in ssd's, dat gebruikmaakt van de flexibele cache-grootte die in veel moderne ssd's aanwezig is. Het kan leiden tot amper vindbare malware in delen van de ssd die verborgen blijven.
Veel ssd's gebruiken overprovisioning om de levensduur van het geheugen te vergroten. Door een deel van het geheugen, over het algemeen ongeveer 7 tot 25%, aan te wijzen als niet bruikbaar kan de degradatie van de cellen worden uitgesteld. Deze bits kunnen namelijk later worden ingezet, zodra de vaker gebruikte bits beginnen af te takelen. Het vrijgestelde deel is flexibel inzetbaar door de firmware, afhankelijk van de intensiteit van de applicaties die je draait verandert het formaat.
Het deel is niet alleen niet zichtbaar als je je bestanden ernaartoe verplaatst, ook het besturingssysteem en zelfs antivirussoftware hebben er geen zicht op. Dit kan worden misbruikt. In een paper beschrijven de wetenschappers dat een hacker met behulp van de firmware het formaat van de overprovisioning-ruimte aan kan passen, waardoor de invalid data area overblijft. Hier zit na het veranderen van de ruimte nog data in die volgens de onderzoekers nog meer dan zes maanden (vermoedelijk bij gemiddeld gebruik) te bemachtigen kan zijn voor de hacker, omdat de data nog niet is overgeschreven.
Het tweede aanvalsmodel maakt gebruik van twee ssd's. De malware wordt in het deel van één van de twee opslagmedia geplaatst dat voor de gebruiker (en dus ook voor de aanvaller) beschikbaar is. Door daarna het overprovisioning-deel van de ene ssd te verkleinen en van de andere te vergroten kan de malware aan het zicht van antivirussoftware worden onttrokken.
Gelukkig zijn er al oplossingen bedacht. Het deel dat wordt gebruikt voor overprovisioning kan leeg worden gemaakt na het aanpassen, met een algoritme dat de prestaties niet beïnvloedt. Voor de tweede aanval kan de ratio van gespaarde ruimte in real-time worden gemonitord. Als dit te veel verandert kan de firmware een waarschuwing naar het besturingssysteem sturen. Als laatste kan de toegang tot de management-app voor de app zo goed mogelijk worden beveiligd tegen indringers.
Bron: Arxiv
