Koreli araştırmacılar, SSD’lere (solid-state drives) karşı kullanıcının ve güvenlik çözümlerinin erişemeyeceği bir yere kötü amaçlı yazılım yerleştirmeyi sağlayan bir dizi saldırı geliştirdi. Esnek kapasite özelliklerine sahip sürücüler için geçerli olan bu saldırılar, bu günlerde SSD üreticileri tarafından NAND flash tabanlı depolama sistemlerinde performans optimizasyonu için yaygın olarak kullanılan over-provisioning adı verilen cihazdaki gizli bir alanı hedefliyor.

13-3

SSD’ye yerleşen kötü amaçlı yazılımlar nasıl çalışıyor?

Donanım düzeyinde gerçekleşen bu saldırılar oldukça gizli bir şekilde gerçekleşiyor ve kalıcı oluyor. Esnek kapasite, yazma iş yükü hacimlerini emerek daha iyi performans elde etmek için depolama cihazlarının ham ve kullanıcı tarafından tahsis edilen alanın boyutlarını otomatik olarak ayarlamasını sağlayan Micron Technology’den SSD’lerde bulunan bir özelliği kullanıyor.

Over-provisioning adı verilen bu işlem, genellikle toplam disk kapasitesinin %7 ila %25’ini alan bir arabellek oluşturan ve ayarlayan dinamik bir sistemdir. Güvenlik çözümleri ve anti-virüs araçları dahil olmak üzere işletim sistemi ve üzerinde çalışan uygulamalar tarafından görülmez bir yapıya sahip oluyor. SSD yöneticisi bu alanı, yazma veya okuma yoğunluğuna bağlı olarak iş yüklerine göre otomatik olarak ayarlıyor.

SSD saldırısı nasıl yapılıyor?

Seul’de bulunan Kore Üniversitesi’nin araştırmacıları tarafından modellenen bir saldırı, kullanılabilir SSD alanı ile Over-provisioning (OP) alanı arasında yer alan ve boyutu ikisine bağlı olan, silinmemiş bilgiler içeren geçersiz bir veri alanını hedefleyerek saldırıyı simüle ettiler. Ortaya çıkan araştırma makalesi, bir bilgisayar korsanının üretici yazılımı yöneticisini kullanarak OP alanının boyutunu değiştirebileceğini ve böylece sömürülebilir geçersiz veri alanı oluşturabileceğini ortaya koydu.

Buradaki sorun, birçok SSD üreticisinin kaynaklardan tasarruf etmek için geçersiz veri alanını silmemeyi seçmesidir. Bu alan, eşleme tablosunun bağlantısını kesmenin yetkisiz erişimi önlemek için yeterli olduğu varsayımı altında, uzun süreler boyunca verilerle dolu kalıyor. Bu zayıflıktan yararlanan bir kötü amaçlı yazılım ise potansiyel olarak hassas bilgilere erişim sağlayabilir.

Araştırmacılar, NAND flash bellekteki faaliyetlerin altı aydan uzun süredir silinmemiş verileri ortaya çıkarabileceğini belirtiyor. İkinci bir saldırı modelindeyse OP alanı, bir tehdit aktörünün kötü amaçlı yazılımları gizleyebileceği, kullanıcıların izleyemediği veya silemeyeceği gizli bir yer olarak kullanılabiliyor.

Açıklamayı basitleştirmek için iki depolama cihazının SSD1 ve SSD2’nin bir kanala bağlı olduğu varsayılmıştır. Her depolama aygıtının %50 OP alanı vardır. Bilgisayar korsanı kötü amaçlı yazılımı SSD2’de depoladıktan sonra, hemen SSD1’in OP alanını %25’e düşürür ve SSD2’nin OP alanını %75’e genişletir.

Yazılım kodu SSD2’nin gizli alanına dahil ediliyor. SSD’ye erişim elde eden bir bilgisayar korsanı, OP alanını yeniden boyutlandırarak herhangi bir zamanda gömülü kötü amaçlı yazılım kodunu etkinleştirebilir. Normal kullanıcılar kanalda yüzde 100 kullanıcı alanı bulundurdukları için hackerların bu tür kötü niyetli davranışlarını tespit etmek kolay olmayacaktır.

Nasıl önlem alabiliriz?

Araştırmacılar, birinci tür saldırıya karşı bir savunma olarak, SSD üreticilerinin OP alanını gerçek zamanlı performansı etkilemeyecek bir sözde silme algoritmasıyla silmesini öneriyor. Çünkü böyle bir saldırının bariz avantajı, gizli olmasıdır. OP alanlarındaki kötü amaçlı kodu tespit etmek yalnızca zaman alıcı olmakla kalmaz, aynı zamanda son derece uzmanlaşmış adli teknikler gerektirir.