0
0
Uma equipe de pesquisadores afirma que pode tornar SSDs impermeáveis a ataques de ransomware detectando infecções e revertendo criptografia inesperada em questão de segundos, ao custo de um pequeno aumento na latência.
O grupo inclui engenheiros da Universidade Inha da Coreia do Sul, do Instituto Daegu de Ciência e Tecnologia e do Departamento de Segurança Cibernética da Universidade Ewha Womans (EWU), bem como um pesquisador da Universidade da Flórida Central nos EUA.
“Eu tive a ideia de detecção de nível de firmware porque sei que muitos [usuários] não instalam software anti-ransomware”, disse DaeHun Nyang, PhD, da EWU ao The Register sobre a origem do projeto de pesquisa da equipe. “Então eu pensei que seria bom se pudéssemos proteger pessoas que não têm anti-ransomware instalado em seus computadores, fornecendo-lhes um SSD anti-ransomware-intrínseco.
“Felizmente, meu colega Sungjin [Lee] estava trabalhando no flash NAND, e ele sabia que seria fácil recuperar os dados considerando a exclusão atrasada do flash NAND.”
O conceito principal do SSD-Insider++ é relativamente simples: procure padrões de atividade da unidade correspondentes a ataques de ransomware, onde os arquivos são criptografados e a chave de descriptografia necessária resgatada e pare-os em seus rastros. Em vez de fazê-lo no software, no entanto, ele o faz diretamente no próprio dispositivo de armazenamento – executando no hardware do controlador.
“Quando a atividade de ransomware é detectada pelo SSD-Insider++, a entrada/saída para o armazenamento é suspensa”, explicou Nyang. “Durante a suspensão, os usuários podem remover o processo de ransomware.”
De certa forma, SSD-Insider++ é semelhante às unidades de disquete “antivírus” da era Commodore Amiga. Onde um switch físico já foi usado para evitar gravações inesperadas no setor de inicialização de um disquete, o SSD-Insider++ depende de análises inteligentes para detectar padrões indesejados e, em seguida, bloqueia a unidade, avisando o usuário por meio de um aplicativo complementar de que ele foi infectado.
Observamos que o Cignet, por exemplo, oferece SSDs anti-ransomware, embora sua solução pareça vinculada ou dependa do Windows.
Crucialmente, SSD-Insider++ não se trata apenas de detectar ransomware: seus criadores afirmam que também pode reverter qualquer dano resultante aos dados em questão de segundos. “O SD-Insider++ não cria cópias de dados”, escreveu a equipe no jornal.
“Em vez disso, ele aproveita as características operacionais de um SSD que mantém versões antigas de dados para ocultar a natureza de atualização fora do local do flash NAND. Isso nos permite fazer backup de arquivos originais sem cópias extras e reverter instantaneamente arquivos infectados, se necessário.”
O resultado, de acordo com testes em amostras de malware in-the-wild e de laboratório, é um sistema capaz de detectar 100% dos ataques de ransomware testados e reverter os danos dentro de 10 segundos após o início da criptografia – e com o custo relativamente menor de um aumento de 12,8% a 17,3% na latência e uma queda no rendimento do pior dos casos medida em cerca de 8%.
“Avaliamos SSD-Insider++ usando programas de ransomware do mundo real e internos, incluindo WannaCry e Mole, enquanto vários aplicativos em segundo plano estão em execução”, escreveu a equipe. “Nossa implementação do SSD-Insider++ tem 100% de precisão de detecção com quase 0 por cento FRR/FAR [Taxa de Rejeição Falsa e Taxa de Aceitação Falsa] na maioria dos casos com menos de 10 segundos de latência de detecção.
“Também confirmamos que o SSD-Insider++ recupera arquivos criptografados dentro de um segundo sem qualquer perda de dados.
“Nossos resultados de avaliação mostraram que o SSD-Insider++ era preciso e rápido para detecção, e poderia recuperar perfeitamente um SSD infectado sem qualquer perda de dados.”
Um dos principais pontos de venda da tecnologia é que ela existe puramente em firmware, o que significa que poderia potencialmente ser adicionada a SSDs existentes sem a necessidade de modificações de hardware. “Acredito que o principal recurso do SSD-Insider++ pode ser implementado sem recursos adicionais”, disse Sungjin Lee, PhD, do Instituto de Ciência e Tecnologia Daegu ao The Register.
“Para implementar alguns recursos avançados, como detecção baseada em entropia, no entanto, seriam necessários recursos extras de hardware – por exemplo, CPU Arm de maior desempenho ou aceleradores de hardware. Atualmente, os SSDs estão evoluindo para adotar recursos de hardware mais poderosos – por exemplo, CPU Cortex-A Arm, NPU [Unidade de Processamento Neur], FPGA e mecanismos de criptografia/descriptografia – e, portanto, espero que tal requisito de hardware não seja um obstáculo sério para uma ampla adoção do SSD-Insider++.”
No entanto, a capacidade teórica de trazer proteção contra ransomware para SSDs existentes a um custo de desempenho relativamente baixo não faz com que as empresas batam nas portas dos pesquisadores. “Nós abordamos várias empresas aqui na Coréia, mas ainda não encontramos nenhuma empresa para aplicar essa tecnologia”, disse Nyang sobre os esforços da equipe para levar o SSD-Insider++ às massas.
Eles são muito conservadores na adoção de novas tecnologias, especialmente se isso puder levar a uma ligeira degradação do desempenho, mas estamos interessados em comercializar esse sistema e ainda estamos trabalhando nele
“Eles são muito conservadores na adoção de novas tecnologias, especialmente se isso puder levar a uma ligeira degradação do desempenho, [mas] estamos interessados em comercializar esse sistema e [estamos] ainda trabalhando [nele].”
Embora focado no armazenamento de estado sólido, há o potencial de expandir o conceito para certos outros dispositivos de armazenamento também. “O SSD-Insider++ não pode ser usado para HDDs convencionais onde os dados do usuário são atualizados no local. Para HDDs recentes – por exemplo, unidades SMR [Gravação Magnética Repromeada] – baseadas em mídia magnética somente anexada, a mesma ideia de SSD-Insider++ pode ser aplicada diretamente”, nos disse Lee.
“Além disso, em comparação com SSDs, os HDDs empregam CPUs low-end e, portanto, SSD-Inside++ podem causar sobrecargas não desprezíveis – mas uma poderosa unidade de computação pode ser desnecessária, considerando [a] baixa taxa de transferência e a longa latência dos HDDs.”
“Infelizmente, esse novo recurso pode não ser infalível”, disse Jake Moore, especialista em segurança da ESET UK, ao The Register em um comunicado projetado para moderar as expectativas. “A função aproveita um atraso na exclusão, o que significa que os desenvolvedores de ransomware ignorariam e ainda poderiam ignorar esse recurso com o conhecimento de como esse antídoto opera.
“Com esse nível de compromisso com a proteção, um processo de backup padrão ainda seria eficiente e é o que a maioria das empresas já adere. É, no entanto, o início de melhores processos na batalha contra o inimigo do século XXI que ainda causa estragos em todo o mundo diariamente.”
O artigo sobre SSD-Insider++, SSD-Assisted Ransomware Detection e Data Recovery Techniques, foi publicado na revista IEEE Transactions on Computers sob termos de acesso fechado.
FONTE: THE REGISTER