Actualités

SSD : quand la zone d’Over-Provisioning est détournée pour injecter un malware ou ex-filtrer des données ! (Pas Over-Protected du coup…)

Technique courante et tout à fait normale pratiquée par les fabricants de disques SSDs, l’OP ou Over-Provisioning (Sur-Provisionnement) permet une allocation-stockage minimale de l’ensemble du SSD pour assurer une longévité-produit (mémoire, écriture, notamment) honorable sur le long terme. Zone non-visible pour l’utilisateur (hors cas de partitions), elle peut occuper entre 7 % et 25 % de l’espace-disque et constitue une zone de transit gérée par le contrôleur-mémoire NAND tout en assurant les remplacements entre les blocs-couches effacées ou obsolètes par celles qui sont disponibles ou libres. Une mécanique logicielle qui se doit d’être bien rôdée – hors impondérable technique physique lié au disque SSD jugé increvable par les plus convertis à ce type de stockage – qui se retrouve aujourd’hui au cœur de vulnérabilités assez conséquentes.

 

 

Mises en lumière par deux chercheurs sécuritaires sud-coréens issus de l’Ecole supérieure de sécurité de l’information à l’Université de Corée à Séoul (Na Young Ahn, Institut de cyber-sécurité et vie privée et Dong Hoon Lee), voici la teneur des des exploits, au nombre de deux :

 

 

  • Profitant des technologies-fabricant permettant d’ajuster en temps réel la zone OP, un individu malveillant peut modifier via micro-logiciel la taille de cette zone, en la rendant, par exemple, plus petite. Se produit, alors, un état de “zone de données invalide” (ce qui génère, dans la foulée, la re-création de cette zone : un point que les chercheurs souligne de manière positive et sans incidence avec le PoC mais dans la logique de la ré-inscription de la zone) et peut permettre, durant un temps certain (avant génération d’une nouvelle zone, quand re-génération il y a, suivant la méthodologie appliquée au disque !), une ex-filtration de données peut avoir lieu : l’ensemble et l’intégrité du contenu-disque est compromis (que la donnée soit personnelle ou sensible) en terme de lecture, écriture (modification-donnée) et suppression de ces données ;

 

  • Détournement potentiel de la zone OP pour en faire un “coffre-fort secret” : étant donné que la zone OP n’est pas une zone visible par l’utilisateur (uniquement du point de vue – technique – du contrôleur de la mémoire flash NAND), un cyber-attaquant pourrait en profiter pour distiller une charge virale ou malware en injectant du code malveillant. Sous la houlette du micro-logiciel ou firmware, la zone OP servira de transit entre deux supports de stockage, par exemple, en déplaçant la charge virale d’un SSD à un autre (tout en ajustant, après ce copié-collé douteux, la zone OP au plus fort du côté du futur SSD infecté (en réception). Du fait de la difficulté de détection entre les zones valides, non-valides, utilisateur et zone cachée (puisqu’en général, rappellent les chercheurs, l’utilisateur requerra toujours un usage à 100 % de son disque SSD, en stockage), pour l’heure, aucune atténuation officielle n’est prévue par les fabricants.

 

Que cela soit pour les cellules à une couche, trois couches ou plusieurs couches (SLC, TLC, MLC), toutes sont impactées par ces vulnérabilités. Des recommandations sont émises pour tenter de contourner le problème, en attendant que les fabricants puissent véritablement proposer une solution sécuritaire pérenne :

 

  • Démocratiser sur tout les SSDs la norme gouvernementale FIPS140-2, en changeant l’appellation en disque SED (Self-Encryption Drives) que l’on trouve déjà dans le commerce mais en tant que modèle spécifique (avec cette technologie). A noter que les chercheurs rappellent qu’un bug réside dans le débogage JTAG : cela conduit à une “modification de la routine de la vérification du mot de passe” et permet, toujours, de pouvoir valider une authentification correcte dans ce cas précis ;
  • Mise en place d’un verrou sécuritaire ou veille au niveau de l’accès-permission du micro-logiciel (firmware) des disques SSDs ;
  • Ne pas délaisser les données résiduelles (supprimées) depuis la NAND afin d’éviter une récupération éventuellement frauduleuses ou d’un nid favorable pour cacher une charge virale ;
  • Mise en place d’opération de “pseudo-effacement” : pour améliorer le ratio performance-coût et en adéquation avec le fonctionnement en temps réel, la méthode traditionnelle d’effacement est à délaisser au profit d’une méthode permettant d’éviter un terrain favorable à une intrusion sécuritaire. Là aussi, les fabricants doivent mettre en place des recherches à ce niveau pour optimiser la vitesse de suppression sans que celle-ci soit trop longue (avec le remplacement ou génération nouvelle de données) pour laisser s’instiller une injection-code ;
  • Toujours pour la même finalité que le point ci-avant, il faut envisager “la solution Zone NameSpace” (ZNS) pour réduire la zone OP et la table de mappage, tout en optimisant la DRAM. Il est assurée que les gains en lecture-écriture seront encore plus améliorés, théoriquement ;
  • Assurer et vérifier que la donnée supprimée l’est vraiment, via un outil dédié à concevoir par les fabricants ;
  • Assurer “l’intégrité du gestionnaire” : les chercheurs coréens re-soulignent de l’importance d’avoir des employés-salariés de confiance. Une inconnue variable qu’il convient d’étudier, est-il rappelé puisque la charge virale ou vecteur peut-être instillé par une équipe en interne voire une personne qui n’aurait eu aucun motif mais qui aurait décidé (divergences, vengeance, pour le plaisir : motifs très aléatoires sauf si l’on est devin… et, encore, l’avenir n’est pas fixe !) de charger l’exploit. Un paramètre, comme toujours, à observer finement avec, plus généralement, une approche qui peut payer : valoriser ses employés et ne pas créer de ressentiment ou, du moins, de raison d’en cultiver ;
  • Enfin, il est recommandé aux fabricants d’emprunter la voie de l’intelligence artificielle comme outils ou ressources pour détecter, via un “processeur spécial“, les cyber-attaques de cet acabit.

 

Une liste de résolutions 2022 bien fournie pour les fabricants de SSDs qui devront très vite rectifier sécuritairement le tir pour cette technologie adulée et de plus en plus plébiscitée… A veiller !

 

 

Source : IEEExplore – 20, 27 Décembre 2021 – Disques SSDs : PoC permettant une aspiration de données et l’injection-code d’un malware depuis la zone OP.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6