Koreli araştırmacılar, SSD’lere (solid-state drives) karşı kullanıcının ve güvenlik çözümlerinin erişemeyeceği bir yere fena amaçlı yazılım yerleştirmeyi elde eden bir takım hücum geliştirdi. Esnek kapasite özelliklerine haiz sürücüler için geçerli olan bu saldırılar, bu günlerde SSD üreticileri tarafınca NAND flash tabanlı depolama sistemlerinde performans optimizasyonu için yaygın olarak kullanılan over-provisioning adında olan cihazdaki gizli saklı bir alanı hedefliyor.

SSD’ye yerleşen fena amaçlı yazılımlar iyi mi çalışıyor?

Donanım düzeyinde gerçekleşen bu saldırılar oldukça gizli saklı bir halde gerçekleşiyor ve kalıcı oluyor. Esnek kapasite, yazma iş yükü hacimlerini emerek daha iyi performans elde etmek için depolama cihazlarının ham ve kullanıcı tarafınca tahsis edilen alanın boyutlarını otomatikman ayarlamasını elde eden Micron Technology’den SSD’lerde bulunan bir özelliği kullanıyor.

Over-provisioning adında olan bu işlem, çoğu zaman toplam disk kapasitesinin %7 ila %25’ini alan bir arabellek oluşturan ve ayarlayan dinamik bir sistemdir. Güvenlik çözümleri ve anti-virüs araçları dahil olmak suretiyle işletim sistemi ve üstünde çalışan uygulamalar tarafınca görülmez bir yapıya haiz oluyor. SSD yöneticisi bu alanı, yazma yada okuma yoğunluğuna bağlı olarak iş yüklerine gore otomatikman ayarlıyor.

SSD saldırısı iyi mi yapılıyor?

Seul’de bulunan Kore Üniversitesi’nin araştırmacıları tarafınca modellenen bir hücum, kullanılabilir SSD alanı ile Over-provisioning (OP) alanı içinde yer edinen ve boyutu ikisine bağlı olan, silinmemiş bilgiler içeren geçersiz bir veri alanını hedefleyerek saldırıyı simüle ettiler. Ortaya çıkan araştırma makalesi, bir bilgisayar korsanının üretici yazılımı yöneticisini kullanarak OP alanının boyutunu değiştirebileceğini ve böylece sömürülebilir geçersiz veri alanı oluşturabileceğini ortaya koydu.

Buradaki problem, birçok SSD üreticisinin kaynaklardan tutum etmek için geçersiz veri alanını silmemeyi seçmesidir. Bu alan, eşleme tablosunun bağlantısını kesmenin yetkisiz erişimi önlemek için kafi olduğu varsayımı altında, uzun süreler süresince verilerle dolu kalıyor. Bu zayıflıktan yararlanan bir fena amaçlı yazılım ise potansiyel olarak duyarlı bilgilere erişim sağlayabilir.

Araştırmacılar, NAND flash bellekteki faaliyetlerin altı aydan uzun süredir silinmemiş verileri ortaya çıkarabileceğini belirtiyor. İkinci bir hücum modelindeyse OP alanı, bir tehdit aktörünün fena amaçlı yazılımları gizleyebileceği, kullananların izleyemediği yada silemeyeceği gizli saklı bir yer olarak kullanılabiliyor.

Açıklamayı basitleştirmek için iki depolama aletinin SSD1 ve SSD2’nin bir kanala bağlı olduğu varsayılmıştır. Her depolama aygıtının %50 OP alanı vardır. Bilgisayar korsanı fena amaçlı yazılımı SSD2’de depoladıktan sonrasında, derhal SSD1’in OP alanını %25’e düşürür ve SSD2’nin OP alanını %75’e genişletir.

Yazılım kodu SSD2’nin gizli saklı alanına dahil ediliyor. SSD’ye erişim elde eden bir bilgisayar korsanı, OP alanını tekrardan boyutlandırarak herhangi bir zamanda gömülü fena amaçlı yazılım kodunu etkinleştirebilir. Düzgüsel kullanıcılar kanalda yüzde 100 kullanıcı alanı bulundurdukları için hackerların bu tür fena niyetli davranışlarını saptamak kolay olmayacaktır.

Iyi mi tedbir alabiliriz?

Araştırmacılar, birinci tür saldırıya karşı bir müdafa olarak, SSD üreticilerinin OP alanını gerçek zamanlı performansı etkilemeyecek bir sözde silme algoritmasıyla silmesini öneriyor. Zira bu şekilde bir saldırının belirgin pozitif yanları, gizli saklı olmasıdır. OP alanlarındaki fena amaçlı kodu saptamak yalnızca vakit alıcı olmakla kalmaz, bununla birlikte son aşama uzmanlaşmış adli teknikler gerektirir.

İkinci hücum türü için, OP alanına fena amaçlı yazılım enjekte etmeye karşı potansiyel olarak etkili bir güvenlik önlemi, SSD’lerin içindeki oranı gerçek zamanlı olarak izleyen geçerli-geçersiz veri hızı seyretme sistemleri uygulamaktır. Geçersiz veri oranı ansızın mühim seviyede arttığında, kullanıcı bir uyarı ve OP alanında doğrulanabilir bir veri silme işlevi seçeneği alabilir.

Son olarak, SSD yönetim uygulaması, yetkisiz erişime karşı kuvvetli savunmalara haiz olmalıdır. Araştırmacılar, mevzuyla ilgili yaptıkları açıklamada şunları söylemiş oldu:

Fena niyetli bir bilgisayar korsanı olmasanız bile, yanlış yönlendirilmiş bir çalışan, herhangi bir zamanda OP alanı değişken yazılımını kullanarak gizli saklı detayları kolayca özgür bırakabilir ve sızdırabilir.

Siz bu mevzu hakkında ne düşünüyorsunuz? Görüşlerinizi yorumlarda bizlerle paylaşmayı ihmal etmeyin!