SSD immuni agli attacchi ransomware? La (potenziale) soluzione si chiama SSD-Insider++

SSD immuni agli attacchi ransomware? La (potenziale) soluzione si chiama SSD-Insider++

Un team di ricercatori ha messo a punto SSD Insider++, una tecnologia che non solo può rilevare le attività dei ransomware, ma anche bloccarle e invertire il processo crittografico ripristinando i dati originali.

di pubblicata il , alle 10:11 nel canale Storage
 

Un team di ricercatori sostiene di poter rendere gli SSD immuni agli attacchi ransomware, rilevando le infezioni e invertendo il processo di crittografia in pochi secondi al costo di un piccolo aumento della latenza. Il lavoro è stato pubblicato su IEEE Transactions on Computers con il titolo "SSD-Assisted Ransomware Detection and Data Recovery Techniques" ed è stato portato avanti da ricercatori sudcoreani della Inha University, del Daegu Institute of Science and Technology e del Cyber Security Department della Ewha Womans University (EWU) insieme ai colleghi della University of Central Florida degli Stati Uniti.

Parlando al sito The Register, il dottorando DaeHun Nyang della EWU ha spiegato in cosa consiste questa tecnica. "Mi è venuta l'idea del rilevamento a livello firmware perché so che molti non installano software anti-ransomware, quindi ho pensato che sarebbe stato bello proteggere le persone senza un anti-ransomware installato sui loro computer, fornendo loro un SSD intrinsecamente anti-ransomware. Fortunatamente, il mio collega Sungjin Lee stava lavorando sulla NAND flash e sapeva che sarebbe stato facile recuperare i dati considerando la cancellazione ritardata di questa memoria".

La soluzione messa a punto, denominata SSD-Insider++, si basa sulla continua ricerca di profili di attività sull'unità per bloccare immediatamente quelli che corrispondono al comportamento degli attacchi ransomware . La tecnologia necessaria è integrata direttamente nel firmware a bordo dell'unità. "Quando SSD-Insider++ rileva un'attività ransomware, l'input/output verso lo storage viene sospeso", ha spiegato Nyang. "Durante la sospensione, gli utenti possono rimuovere il processo legato al ransomware".

La tecnica sembrerebbe diversa da quella applicata da Cigent per le proprie soluzioni professionali e si spinge oltre la semplice rilevazione, andando a invertire qualsiasi danno ai dati in pochi secondi. "SSD-Insider++ non crea alcuna copia dei dati", scrivono nel paper i ricercatori, "ma sfrutta le caratteristiche operative di un SSD che conserva le vecchie versioni dei dati per offuscare un aggiornamento non consono della memoria NAND flash. Ciò ci permette di eseguire il backup dei file originali senza copie aggiuntive e di ripristinare immediatamente i file infettati se necessario".

I risultati, secondo i test svolti, sono più che incoraggianti: si parla del 100% di rilevazione degli attacchi ransomware testati e un ripristino dai danni provocati entro 10 secondi dall'inizio del processo di crittografia. Il tutto con costi relativi, si parla infatti del 12,8-17,3% di maggiore latenza e un throughput in contrazione di circa l'8% nel caso peggiore.

"Abbiamo valutato SSD-Insider++ usando ransomware reali e soluzioni sviluppate internamente, inclusi WannaCry e Mole, mentre erano in esecuzione varie applicazioni in background", ha scritto il team. "La nostra implementazione di SSD-Insider++ ha un'accuratezza nel rilevamento del 100% con quasi lo 0% di FRR/FAR [False Rejection Rate e False Acceptance Rate] nella maggior parte dei casi e una latenza di rilevamento inferiore a 10 secondi".

"Abbiamo anche confermato che SSD-Insider++ recupera i file crittografati entro un secondo senza alcuna perdita di dati. La nostra analisi dei risultati ha dimostrato che SSD-Insider++ è stato accurato e veloce per il rilevamento, e potrebbe recuperare perfettamente un SSD infetto senza alcuna perdita di dati".

Un punto di forza della tecnologia è che, essendo all'interno del firmware, potrebbe essere potenzialmente aggiunta agli SSD esistenti senza la necessità di modifiche hardware. Purtroppo al momento non sembrano esserci aziende interessate alla tecnologia.

"Abbiamo contattato diverse aziende qui in Corea, ma non abbiamo ancora trovato un'azienda per applicare questa tecnologia. Sono molto prudenti nell'adottare nuove soluzioni, specialmente se possono portare a un seppur lieve degrado delle prestazioni, ma siamo interessati a commercializzare questo sistema e [ci stiamo] ancora lavorando".

La tecnologia potrebbe valicare il mondo degli SSD secondo i ricercatori e applicarsi anche agli hard disk, ma solo alle unità recenti basate su tecnologie di registrazione avanzate come la SMR (Shingled Magnetic Recording).

Ma è tutto oro quel che luccica? A smorzare i facili entusiasmi ci pensa Jake Moore, esperto di sicurezza di ESET UK. "La funzionalità sfrutta un ritardo nella cancellazione, il che significa che gli sviluppatori di ransomware potrebbero ancora aggirarla capendo come funziona".

Nell'attesa di sapere se qualche produttore di SSD s'interesserà a SSD-Insider++, la soluzione più valida oggi e anche in futuro è quella di svolgere un regolare backup dei dati, munirsi di suite software di sicurezza e fare molta, molta attenzione: la maggior parte delle infezioni è semplicemente colpa della sbadataggine della persona dietro allo schermo.

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Opteranium10 Settembre 2021, 10:18 #1
beh, a occhio mi sembra una gran cosa. Ma in caso di falso positivo che succede? Ti blocca le scritture a prescindere?
Sam6410 Settembre 2021, 10:22 #2

????

FINE ARTICOLO "la maggior parte delle infezioni è semplicemente colpa della sbadataggine della persona dietro allo schermo."

Magari "davanti" allo schermo, che ci fa uno dietro?
omerook10 Settembre 2021, 10:28 #3
Comunque credo che sara questa la via , realizzare sistemi di storage e backup resilienti agli attacchi ramsower
AlPaBo10 Settembre 2021, 10:53 #4
L'obiezione di Moore mi sembra sia rivolta alla capacità di recuperare il file, non a quella di individuare un processo ransomware in corso.
Vuol dire che solo una parte delle affermazioni è soddisfatta, ma comunque rimane l'altra parte. Individuare e bloccare un ransomware mi sembra già un buon risultato, anche se non si riesce a recuperare qualche file.

Rimangono però due dubbi:
1. Vale la domanda di Opteranium: cosa succede in caso di falso positivo?
2. È possibile sviluppare ransomware che seguono profili di attività diversi, quindi non individuati? Nel qual caso, il firmware richiederebbe aggiornamenti continui, come un antivirus?
omerook10 Settembre 2021, 11:04 #5
per la prima domanda un tpm potrebbe autorizzare le applicazioni legittime
SpyroTSK10 Settembre 2021, 13:15 #6
Probabilmente la soluzione per i malware è:
riempio il disco al 100% con un file IMG, carico un file da criptare su ram, cripto il file, lo copio dentro il file IMG.
Processo che andrà in loop.
Se non ho spazio su disco per salvare l'intera IMG con i file criptati, cancellerò file originali man mano che il processo avanza, altrimenti alla fine elimino tutti i file originali, scompatterò il file IMG e lo espanderò al 100% del disco.
Elimino il file IMG.
FulValBot10 Settembre 2021, 14:29 #7
Peccato però che esistano anche gli hdd e che c'è ancora chi li usa... quindi sta protezione va creata anche per gli hdd
kreijack10 Settembre 2021, 15:15 #8
Originariamente inviato da: Opteranium
beh, a occhio mi sembra una gran cosa. Ma in caso di falso positivo che succede? Ti blocca le scritture a prescindere?


Bella domanda. Riuscire a distinguere il pattern di scrittura di un ransomware rispetto a quella di una normale applicazione (p.e. restore di un backup) dalla "prospettiva" un firmware di un ssd è difficile.

E poi lo ssd come tiene traccia di quali file ha bloccato e come lo comunica con il so ?

E soprattutto vedo molto più semplice per un ransomware aggiornarsi per aggirare un firmware di un ssd, piuttosto che per firmware aggiornarsi per aggirare una nuova versione di ransonware...

Vedremo
giuseppesole11 Settembre 2021, 17:45 #9

Investirci

Che sappiate è già possibile investire sulla tecnologia?
aqua8411 Settembre 2021, 18:07 #10
Originariamente inviato da: Sam64
FINE ARTICOLO "la maggior parte delle infezioni è semplicemente colpa della sbadataggine della persona dietro allo schermo."

Magari "davanti" allo schermo, che ci fa uno dietro?


Forse quello dietro allo schermo aspetta che quello davanti si distrae un attimo per infilargli dentro… un ransomware

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^