Pod názvem SSD-Insider++ nyní výzkumníci ukázali možné řešení. Jde o program na úrovni firmwaru přímo v řadiči SSD. Ten prý dokáže šifrovací útok ransomwaru detekovat a okamžitě pozastavit jeho vstupní a výstupní operace na disku v řádu sekund.
Na vývoji se podíleli vědci z několika institucí: z korejských univerzit Inha a Ewha, americké univerzity Central Florida a Institutu pro vědu a technologie v korejském Daegu. Výsledek práce publikovali v časopise IEEE Transactions on Computers. Poprvé tuto myšlenku prezentovali na konferenci v roce 2018 a nyní již mají funkční program, přičemž jednají o implementaci s výrobci řadičů.
Ransomware má detekovatelné vzorce chování a zřejmě právě na nich je SSD-Insider++ založen. Narozdíl od používaných softwarových bezpečnostních řešeních v operačním systému ale běží přímo v disku.
zdroj: SemanticScholar.orgJelikož úspěšné detekci předchází útok a již spuštění šifrování, malá část dat zašifrování neunikne. To by ale mělo být možné zvrátit tím, že originály zůstávají v paměťových čipech NAND a SSD-Insider++ zabrání jejich přemazání funkcí TRIM. Respektive je stihne obnovit před tím, než by k TRIMu došlo.
SSD má být bezpečnější, ale pomalejší
To ale kritizoval bezpečnostní expert z ESETu, který tvrdí, že tvůrci ransomwaru by s tímto chováním TRIMu mohli počítat a svou aplikaci tomu přizpůsobit.
Podle tvůrců SSD-Insider++ mírně zpomaluje rychlost SSD. Latenci zvyšuje v průměru o 15 % a propustnost asi o 8 %. Vědci prý nyní jednají s některými tvůrci řadičů o možné implementaci. Zmínili také potřebu do budoucna zvýšit výkon těchto čipů například pomocí ARMu, aby bylo možné detekovat sofistikovanější hrozby.
Vědci tvrdí, že program otestovali se 100% úspěšností. Dokázal zareagovat do 10 sekund od zahájení útoku a zašifrované soubory poté obnovil během jedné sekundy. SSD-Insider++ neumí ransomware z počítače přímo odebrat, ale dá uživateli čas a možnost to udělat. Jelikož je SSD-Insider++ jen úprava firmwaru, mělo by být možné jej v rámci aktualizace nahrát i do starších SSD disků. SSD-Insider++ by mělo být možné použít i na některé typy plotnových disků.
Samobránící se SSD na jiném principu již existuje a vyvinul jej startup Cigent. Ten použil řadič Phison E12 a v případě detekce útoku má učinit data pro ransomware neviditelnými.
zdroj: The Register
ČLÁNKY DO MAILU