Vědci přišli s řešením, jak ochránit SSD před ransomwarem a zašifrováním

13. 9. 2021

Sdílet

 Autor: Cnews.cz / Depositphotos
Ransomware vám narozdíl od jiných typů útoku data nezničí, ale zašifruje, přičemž útočníci poté požadují výkupné. Je to stále častější způsob, jelikož výkupné lze platit v kryptoměnách. A řada institucí prostě radši zaplatí.

Pod názvem SSD-Insider++ nyní výzkumníci ukázali možné řešení. Jde o program na úrovni firmwaru přímo v řadiči SSD. Ten prý dokáže šifrovací útok ransomwaru detekovat a okamžitě pozastavit jeho vstupní a výstupní operace na disku v řádu sekund.

Na vývoji se podíleli vědci z několika institucí: z korejských univerzit Inha a Ewha, americké univerzity Central Florida a Institutu pro vědu a technologie v korejském Daegu. Výsledek práce publikovali v časopise IEEE Transactions on Computers. Poprvé tuto myšlenku prezentovali na konferenci v roce 2018 a nyní již mají funkční program, přičemž jednají o implementaci s výrobci řadičů.

Ransomware má detekovatelné vzorce chování a zřejmě právě na nich je SSD-Insider++ založen. Narozdíl od používaných softwarových bezpečnostních řešeních v operačním systému ale běží přímo v disku.

7 Figure6 1 zdroj: SemanticScholar.org

Jelikož úspěšné detekci předchází útok a již spuštění šifrování, malá část dat zašifrování neunikne. To by ale mělo být možné zvrátit tím, že originály zůstávají v paměťových čipech NAND a SSD-Insider++ zabrání jejich přemazání funkcí TRIM. Respektive je stihne obnovit před tím, než by k TRIMu došlo.

SSD má být bezpečnější, ale pomalejší

To ale kritizoval bezpečnostní expert z ESETu, který tvrdí, že tvůrci ransomwaru by s tímto chováním TRIMu mohli počítat a svou aplikaci tomu přizpůsobit.

Podle tvůrců SSD-Insider++ mírně zpomaluje rychlost SSD. Latenci zvyšuje v průměru o 15 % a propustnost asi o 8 %. Vědci prý nyní jednají s některými tvůrci řadičů o možné implementaci. Zmínili také potřebu do budoucna zvýšit výkon těchto čipů například pomocí ARMu, aby bylo možné detekovat sofistikovanější hrozby.

Vědci tvrdí, že program otestovali se 100% úspěšností. Dokázal zareagovat do 10 sekund od zahájení útoku a zašifrované soubory poté obnovil během jedné sekundy. SSD-Insider++ neumí ransomware z počítače přímo odebrat, ale dá uživateli čas a možnost to udělat. Jelikož je SSD-Insider++ jen úprava firmwaru, mělo by být možné jej v rámci aktualizace nahrát i do starších SSD disků. SSD-Insider++ by mělo být možné použít i na některé typy plotnových disků.

bitcoin_skoleni

Samobránící se SSD na jiném principu již existuje a vyvinul jej startup Cigent. Ten použil řadič Phison E12 a v případě detekce útoku má učinit data pro ransomware neviditelnými.

zdroj: The Register

Autor článku

Šéfredaktor Cnews.cz, dříve editor Computeru. Nadšenec do notebooků a příznivce kompaktních smartphonů. Najdete mě na Twitteru nebo LinkedInu.