Учёные разработали 100-процентную защиту от вирусов-шифровальщиков для SSD

[душман]

Команда южнокорейских и американских исследователей разработала систему защиты данных на SSD, спасающую от атак программ-шифровальщиков и позволяющую немедленно восстанавливать данные. Система SSD-Insider++ позволяет «отменять» неожиданные попытки шифрования в течение считанных секунд.

По мнению исследователей, сама технология NAND-памяти позволяет легко восстановить данные благодаря её природе «отложенного удаления» информации. Концепция SSD-Insider++ предусматривает оценку моделей активности накопителей в случае атак программ-шифровальщиков, используемых злоумышленниками для вымогательства средств в обмен на ключ для дешифровки данных. 

Вместо защиты программными средствами система полагается непосредственно на само устройство — защита осуществляется ещё на уровне контроллера с помощью специальной прошивки. По словам исследователей, идея защиты на уровне прошивки пришла потому, что большинство пользователей не заботятся об установке ПО для борьбы с программами-вымогателями. Таким образом, SSD буквально займутся самообороной.

Как только зарегистрирована активность программы-вымогателя, приостанавливается ввод/вывод данных и в это время пользователь может отменить процесс шифрования. При этом уже зашифрованные данные восстанавливаются в течение нескольких секунд.

В результате тестов технология справилась со 100 % лабораторных и реальных образцов программ-вымогателей, а информация восстанавливалась в течение максимум 10 секунд с момента начала шифрования. Цена такой функциональности — рост задержек работы на 12,8-17,3 %, что с лихвой компенсируется высоким уровнем безопасности.

Главной отличительной чертой технологии является именно её использование на уровне прошивки — другими словами, соответствующую функциональность в теории можно добавить даже уже использующимся SSD без модификации самого железа. Впрочем, для некоторых дополнительных функций потребуется больше вычислительных мощностей.

При этом идея надёжной защиты от программ-вымогателей за счёт сравнительно небольшого снижения производительности не вызвала восторга у вендоров. По данным учёных, предложения были сделаны нескольким компаниям в Южной Корее, но ни одна из них не выразила готовности применять технологию.

Хотя SSD-Insider++ разрабатывалась специально для SSD, потенциально её вариации можно использовать и для накопителей других типов, за исключением традиционных HDD. При этом возможно использование с относительно новыми HDD записью SMR-типа (Shingled Magnetic Recording).