Ataque de malware en el área SSD oculta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Investigadores de la Universidad de Corea, Seúl, Corea del Sur, han compartido un artículo de investigación detallado sobre ataques de malware dentro del área oculta de SSD.

La mayoría de los SSD basados en flash NAND modernos exhiben "sobreaprovisionamiento", una técnica para utilizar el espacio reservado para mejorar el rendimiento.

Los SSD de Micron Technology incluso vienen con "Función de capacidad flexible" que ajusta el espacio disponible en la unidad de acuerdo con la carga de trabajo. Dichos SSD tienden a ofrecer un rendimiento mejorado incluso con tareas tediosas.

Para garantizar un rendimiento y un funcionamiento tan óptimos, las áreas de sobreaprovisionamiento (OP) permanecen inaccesibles para el usuario u "ocultas". Por lo tanto, si bien un usuario puede no utilizar este espacio, un código malicioso puede usarlo para residir y permanecer oculto.

Como se demostró, un adversario puede usar ataques de firmware para enviar el código malicioso a estas áreas de OP variables ocultas en un SSD. Entonces, el atacante puede crear bloques de datos inválidos explotables, que generalmente permanecen ilegibles de forma predeterminada.

Por lo tanto, el atacante puede acceder a datos confidenciales de los bloques de datos no válidos. De manera similar, un atacante puede incluso usar ataques de firmware para ocultar información (incluido el malware) en el área de OP variable.

Al describir un ataque de moderación para ocultar datos, el documento dice:

"Al usar el firmware que administra el tamaño del área OP, el usuario puede realizar cualquier operación deseada en el área oculta ... Suponiendo que el usuario tiene autoridad tanto sobre el firmware como sobre la capa de conversión flash, el usuario puede posteriormente invalidar la información secreta almacenada después de almacenarlo en el área de usuario. De acuerdo con esta operación de procesamiento de invalidación, la información secreta no se elimina físicamente del área de usuario y solo se elimina la entrada de la tabla de mapeo"

El malware oculto de esta manera puede evadir en gran medida la detección (excluyendo el análisis forense detallado que requeriría mucho tiempo y sería costoso).

Mitigaciones sugeridas

Los investigadores proponen algunos métodos para mitigar tales ataques, que incluyen notablemente el uso de unidades de autocifrado (SED).

El cifrado a nivel de hardware proporciona protección de acceso a los datos antes del arranque. Además, las otras estrategias de mitigación propuestas incluyen recolección segura de basura, operación de borrado flexible para el área OP que no afecta el rendimiento, monitoreo de la relación de datos válidos / inválidos en tiempo real para evitar ataques de divulgación de datos y el empleo de detección basada en inteligencia artificial.

Fuente:
Latest Hacking News
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Es una vieja maniobra de los fabricantes de discos duros, le colocan huecos de seguridad adrede y luego... todos los modos de intrusion se lo pasan a la NSA , desde que se fabricaban discos ide  (como el que yo uso todabia)  hacian eso y lo siguen haciendo no es una novedad pero lo fue en 2015/2016 cuando se empezó a hablar sobre eso en muchas paginas web. Hay aplicasiones muy pero muy simples y livianas que ayudan a dejar afuera a los hackers, un programita para plataformas windows muy conocido desde hace mucho "Hostsman" ayuda a cerrar puertas a intrusos que podrian espiar la PC