Malware kan zich verbergen op onzichtbaar SSD-deel

Security-onderzoekers van de Universiteit van Korea in Seoul hebben een reeks aanvallen ontwikkeld waarmee malware zich kan verbergen in een flexibel opslagdeel van bepaalde SSD's (solid state drives). Één van de methodes is het misbruiken van de firmwaremanager om het SSD-deel voor overprovisionering aan te passen zodat er een (mis)bruikbaar opslaggebied wordt aangemaakt. Dat stuk van de SSD-capaciteit is dan echter niet geldig voor normaal gebruik, en daarmee buiten bereik van gewone gebruikers en eventuele antimalware die zij draaien.

Wissen is niet altijd wissen

Een andere aanvalsmethode die ze hebben ontwikkeld, maakt gebruik van flexibele capaciteit die SSD's van fabrikant Micron bieden. Daarbij is de beschikbare capaciteit van een SSD afhankelijk van de gebruikte toepassing; als er hogere schrijfsnelheden nodig zijn dan wordt de capaciteit verkleind waardoor het IOPS-prestatieniveau (Input/Output Operations Per Second) wat omhoog kan. In de 'opgeofferde' opslagruimte kan malware zich ook verbergen.

Veel fabrikanten van SSD's kiezen ervoor om ongeldige (of gewiste) data niet echt te wissen, maar slechts ontoegankelijk te maken. Dit vanwege efficiëntie en om slijtage van de geheugenchips in SSD's te minimaliseren. Gegevens kunnen daardoor nog lange tijd op de SSD blijven staan. De onderzoekers van de universiteit in Zuid-Korea merken in hun paper op dat forensisch onderzoek van NAND-geheugenchips soms data oplevert die wel zes maanden oud zijn. Eerder hebben security-onderzoekers in Nederland al aan AG Connect uitgelegd dat de focus van fabrikanten op prestatieniveau en energiezuinigheid ten koste gaat van de beveiliging.

Datalekkage en tegenmaatregelen

Naast het gevaar van kwaadaardige code die zich na een infectie weet te verbergen voor zogeheten persistence, waarschuwen de Koreaanse onderzoekers voor het risico van datalekkage. Zowel externe aanvallers als bijvoorbeeld ook interne medewerkers kunnen verborgen informatie op SSD's nog tevoorschijn halen. Als tegenmaatregel voor verborgen malware adviseren de hardwarehackers realtime monitoring van SSD-capaciteit. Als tegenmaatregel voor 'achtergebleven' data is het advies om SSD's geheel (dus inclusief segmenten voor over-provisioning) te wissen met een grondig wipe-algoritme.