Vědci přišli s řešením, jak ochránit SSD před ransomwarem a zašifrováním

8
Ransomware a SSD
Ransomware a SSD
-
Zdroj: Cnews.cz / Depositphotos

Ransomware vám narozdíl od jiných typů útoku data nezničí, ale zašifruje, přičemž útočníci poté požadují výkupné. Je to stále častější způsob, jelikož výkupné lze platit v kryptoměnách. A řada institucí prostě radši zaplatí.

Pod názvem SSD-Insider++ nyní výzkumníci ukázali možné řešení. Jde o program na úrovni firmwaru přímo v řadiči SSD. Ten prý dokáže šifrovací útok ransomwaru detekovat a okamžitě pozastavit jeho vstupní a výstupní operace na disku v řádu sekund.

Na vývoji se podíleli vědci z několika institucí: z korejských univerzit Inha a Ewha, americké univerzity Central Florida a Institutu pro vědu a technologie v korejském Daegu. Výsledek práce publikovali v časopise IEEE Transactions on Computers. Poprvé tuto myšlenku prezentovali na konferenci v roce 2018 a nyní již mají funkční program, přičemž jednají o implementaci s výrobci řadičů.

Ransomware má detekovatelné vzorce chování a zřejmě právě na nich je SSD-Insider++ založen. Narozdíl od používaných softwarových bezpečnostních řešeních v operačním systému ale běží přímo v disku.

7 Figure6 1
zdroj: SemanticScholar.org

Jelikož úspěšné detekci předchází útok a již spuštění šifrování, malá část dat zašifrování neunikne. To by ale mělo být možné zvrátit tím, že originály zůstávají v paměťových čipech NAND a SSD-Insider++ zabrání jejich přemazání funkcí TRIM. Respektive je stihne obnovit před tím, než by k TRIMu došlo.

SSD má být bezpečnější, ale pomalejší

To ale kritizoval bezpečnostní expert z ESETu, který tvrdí, že tvůrci ransomwaru by s tímto chováním TRIMu mohli počítat a svou aplikaci tomu přizpůsobit.

Podle tvůrců SSD-Insider++ mírně zpomaluje rychlost SSD. Latenci zvyšuje v průměru o 15 % a propustnost asi o 8 %. Vědci prý nyní jednají s některými tvůrci řadičů o možné implementaci. Zmínili také potřebu do budoucna zvýšit výkon těchto čipů například pomocí ARMu, aby bylo možné detekovat sofistikovanější hrozby.

Vědci tvrdí, že program otestovali se 100% úspěšností. Dokázal zareagovat do 10 sekund od zahájení útoku a zašifrované soubory poté obnovil během jedné sekundy. SSD-Insider++ neumí ransomware z počítače přímo odebrat, ale dá uživateli čas a možnost to udělat. Jelikož je SSD-Insider++ jen úprava firmwaru, mělo by být možné jej v rámci aktualizace nahrát i do starších SSD disků. SSD-Insider++ by mělo být možné použít i na některé typy plotnových disků.

Samobránící se SSD na jiném principu již existuje a vyvinul jej startup Cigent. Ten použil řadič Phison E12 a v případě detekce útoku má učinit data pro ransomware neviditelnými.

zdroj: The Register

Vědci přišli s řešením, jak ochránit SSD před ransomwarem a zašifrováním
Ohodnoťte tento článek!
5 (100%) 15 hlasů

8 KOMENTÁŘE

  1. Možná, ale jen možná by si mohli nechat poradit od vývojářů od nVidie. LHR2 zatím drží a detekuje těžbu v kratším časovém horizontu než 10s. Možná by techniky zachycení běhu nežádoucího kódu šly využít k analýze detekovatelných vzorců chování Ransomware.

    • Od nVidie by si hlavne malo dať poradiť AMD ako sa to správne robí 👍🤭

      Inak super vec ak to implementujú aj do súčasných SSD. Hlavne optionalne, aby si užívateľ mohol vybrať, či to chce zapnúť aj za cenu toho mierneho spomalenia. Ludia by to určite ocenili.

      • Hůř než do TLC SSD vybavených TLC, nebo TLC SSD vybavených QLC? 😉

        Já z těch všech příspěvků o zparchantělých SSD nakonec koupil ještě druhý Samsung MLC 970 Pro 1TB (s FarCry6 jako bonus). 🙁

    • Klid, výrobci vyrábí to, po čem je poptávka, tedy se to prodá a nebude jim to ležet na skladě. Nepředpokládám, že by přestali vyrábět rychlejší SSD. A takovéhle nářky, že víc zápisů na jednu buňku znamená náš konec, byly už u MLC, následně u TLC, teď u QLC a mluví se o tomtéž u PLC … Nebo by měli výrobci vyrábět stále jen SLC a nic jiného? 🙂
      Mimochodem se stále ještě prodávají HDD, které jsou větší, hlučnější, náchylnější na otřesy a jejich rychlost a reakční doba kapku zaostává za rychlými SSD do PCI-e 4. Jak je to možné? 🙂

      • Debilni komentar. Je videt, ze jsi nikdy na disk prilis nezapisoval, tudiz nemas paru o cem mluvis. TLC menime v praci jak bata cvicky, rozhodne jeho vydrz nestaci. QLC je uplne mimo. MLC a SLC se nevyplati, ikdyz je TLC dost neekologicke.