HD SSD promete recuperação e detecção de ransomware
Sistema baseado em firmware recupera dados criptografados em segundos
Uma equipe de pesquisadores afirma que eles podem tornar os SSDs imunes a ataques de ransomware detectando infecções e revertendo criptografia inesperada em questão de segundos, ao custo de um pequeno aumento na latência.
O grupo inclui engenheiros da Universidade inha da Coreia do Sul, do Instituto de Ciência e Tecnologia da Daegu e do Departamento de Segurança Cibernética da Ewha Womans University (EWU), bem como um pesquisador da Universidade da Flórida Central nos EUA.
Conceito SSD-Insider++
O conceito principal do SSD-Insider++ é relativamente simples: procura padrões de atividade de unidade correspondentes a ataques de ransomware, onde os arquivos são criptografados e a chave de descriptografia necessária seja resgatada e para os mesmos em seus rastros.
Em vez de fazê-lo em software, no entanto, ele faz isso diretamente no próprio dispositivo de armazenamento – executando no hardware do controlador.
Um outro ponto é que o SSD-Insider++conta com análises inteligentes para detectar padrões indesejados e, em seguida, bloqueia a unidade, avisando o usuário através de um aplicativo acoplado que ele foi infectado.
“Quando a atividade do ransomware é detectada pelo SSD-Insider++, a entrada/saída do armazenamento é suspensa”, explicou Nyang. “Durante a suspensão, os usuários podem remover o processo do ransomware.”
SSD-Insider++ não se trata apenas de detectar ransomware: seus criadores afirmam que também podem reverter qualquer dano resultante aos dados em questão de segundos.
Resultados e capacidade técnica
O resultado, de acordo com testes em amostras de malware de nível selvagem e de laboratório, é um sistema capaz de detectar 100% dos ataques de ransomware testados e reverter o dano dentro de 10 segundos de início da criptografia – e ao custo relativamente pequeno de um aumento de 12,8% a 17,3% na latência e uma queda de rendimento pior medida em cerca de 8%.
Os pesquisadores dizem que “Em vez disso, ele aproveita as características operacionais de um SSD que mantém versões antigas de dados para ocultar a natureza de atualização fora do local do flash NAND. Isso nos permite fazer backup de arquivos originais sem cópias extras e reverter instantaneamente arquivos infectados, se necessário.” fazendo com que não tenha uso de hardware adicional como processamento, memória e outros.
Um dos principais pontos de venda da tecnologia é que ela existe puramente em firmware, o que significa que ela poderia potencialmente ser adicionada aos SSDs existentes sem a necessidade de quaisquer modificações de hardware. “Acredito que a principal característica do SSD-Insider++ pode ser implementada sem recursos adicionais”, disse Sungjin Lee, PhD, do Instituto Daegu de Ciência e Tecnologia, ao The Register.
Fonte: Revista IEEE Transactions on Computers
