Un grupo de investigadores coreanos recientemente han desarrollado un conjunto de ataques contra algunas unidades de estado sólido (SSD) en la que podrían realizar la instalación de malware en una ubicación que está fuera del alcance del usuario y las opciones de seguridad.
Los ataque son dirigidos para las unidades con funciones de capacidad flexible y apuntan a un área oculta en el dispositivo llamada sobre aprovisionamiento, que es ampliamente utilizada por los fabricantes de SSD en estos días, con el objetivo de optimizar el rendimiento en sistemas de almacenamiento basados en flash NAND.
Los ataques a nivel de hardware ofrecen la máxima persistencia y sigilo. Como ya ha sucedido anteriormente, los delincuentes han estado trabajando en diferentes software sofisticados para implementar ataques contra las unidades HDD, ocultando código malicioso en los sectores de la unidad que son inalcanzables.
¿Qué es la capacidad flexible en las unidad SSD?
Es una característica de las unidades SSD, la cual permite que los dispositivos de almacenamiento puedan ajustar de forma automática el espacio sin procesar para lograr un mejor rendimiento al absorber los volúmenes de carga de escritura.
Este sistema se encarga de crear y ajustar el búfer de espacio, también llamado sobre aprovisionamiento que por lo general toma entre el 7% y el 25% de la unidad de almacenamiento.
El área de sobre aprovisionamiento es invisible para el sistema operativo y cualquier aplicación que se ejecute en él, incluidas las soluciones de seguridad y las herramientas antivirus.
A medida que el usuario ejecuta diferentes programas, la unidad SSD ajusta este espacio de forma automática para iniciar el trabajo, esto dependiendo de la intensidad de lectura y escritura que requiera dicho programa o aplicación.
Modelos de ataque
El primer ataque realizado por los investigadores Coreanos, se hizo en un área de datos no valido con información no borrada, la cual se encuentra entre el espacio utilizable del SSD y el área de sobre aprovisionamiento (OP).
Con este primer ataque, los investigadores explican que los ciberdelincuentes tienen acceso a cambiar el área de OP, creando de esta forma un espacio de datos para ser explotado.
Aquí es donde reside el problema, ya que muchos fabricantes de unidades SSD no borran el área de datos no válido para ahorrar recursos, ellos argumentan que con solo romper el enlace de la tabla de mapeo es suficiente para que los usuarios este a salvo de cualquier ataque, pero a quedado demostrado que nos es así.
El segundo ataque se ha realizado en el área OP, un espacio secreto al que los usuarios no tienen acceso, pero si los piratas lo pueden hacer para inyectar código malicio sin despertar ninguna sospecha del usuario final.
Lógicamente este tipo de ataques son mucho más sofisticados, ya que se realizan de forma sigilosa, y la detección de dicho código malicioso, a parte de que requiere dedicarle mucho tiempo, también se requiere de técnicas forenses altamente especializadas para detectarlos.
Medidas contra los ataques
Como medida de evitar ataques, en el primer caso los investigadores proponen a los fabricantes de unidades SSD que borren el área OP con un algoritmo de borrado, el cual no afectaría el rendimiento en tiempo real.
En el segundo caso de ataque, los investigadores recomiendan una protección efectiva en contra la introducción de código malicioso en el área OP. Se habla de un sofisticado sistema de monitoreo de velocidad de datos validos o inválidos que se encarguen de la proporción dentro de los SSD en tiempo real.
Si quieres echarle un vistazo más detallado al informe publicado por los investigadores puedes visitar este enlace.
¿Qué te parece?
Te recomendamos ?
Comentarios!