นักวิจัยเกาหลีใต้ พบช่องโหว่ใน SSD มีพื้นที่ลับ Over-Provisioning ที่แม้แต่ Antivirus ยังเข้าไม่ถึง

0

Over-Provisioning เป็นฟีเจอร์ใน SSD ที่ช่วยยืดอายุการใช้งานและเพิ่มประสิทธิภาพของ SSD ทว่า นักวิจัยจากเกาหลีใต้เผยว่ามันอาจเป็นช่องโหว่ที่ทำให้แฮกเกอร์ส่งมัลแวร์มาฝังไว้ได้

สำหรับ Over-Provisioning เป็นฟีเจอร์ที่จะกันพื้นที่บางส่วนของ SSD เอาไว้ เพื่อให้ SSD สามารถกระจายและจัดเก็บข้อมูลได้ทั่วทุกเซลล์ (ไม่เกิดการกระจุกข้อมูลที่ชิปใดชิปหนึ่ง ซึ่งอาจทำให้ SSD เสียได้ไวขึ้น) โดยข้อมูลจะถูกนำมาพักไว้ในส่วนนี้ชั่วคราว ก่อนที่ตัวควบคุมจะดึงข้อมูลไปจัดเรียงให้เป็นระเบียบอีกทีหนึ่งครับ

แต่พื้นที่ในส่วน Over-Provisioning นี้ จะเป็นพื้นที่ว่างที่ไม่เกี่ยวข้องกับระบบปฏิบัติการในเครื่องคอม พูดง่าย ๆ คือ Windows จะไม่สามารถรับรู้การมีอยู่ของพื้นที่ในส่วนนี้ และแน่นอนว่าโปรแกรมแอนติไวรัสก็จะไม่สามารถเข้าไปตรวจเช็คพื้นที่ Over-Provisioning ได้เลย เพราะฉะนั้น หากมีมัลแวร์ฝังอยู่มันก็จะไม่ถูกตรวจพบนั่นเอง

นักวิจัยจากมหาวิทยาลัยแห่งกรุงโซล ประเทศเกาหลีใต้ ได้ทำทดลองด้วยกัน 2 อย่าง อย่างแรกคือพุ่งเป้าไปที่ Invalid data (ข้อมูลที่ถูก Windows ลบ แต่ไม่ได้ถูกลบออกไปจริง ๆ จาก SSD) ซึ่งในนี้อาจมีข้อมูลสำคัญที่เคยถูกสั่งลบบน Windows ไปแล้วแต่ยังคงอยู่ใน SSD

แฮกเกอร์อาจส่งมัลแวร์มาปรับพื้นที่ของ Invalid data ให้มีพื้นที่เพิ่มขึ้น โดยการลดขนาดพื้นที่ของ Over-Provisioning ทำให้ข้อมูลสำคัญที่ถูกลบยังค้างอยู่ในพื้นที่ Invalid data และมีมากขึ้นเรื่อย ๆ มัลแวร์ก็จะสามารถขโมยข้อมูลออกไปได้มากขึ้นด้วยโดยที่ผู้ใช้ไม่ทราบถึงจุดนี้ ในขณะที่ SSD ก็ยังไม่ยอมลบไฟล์ใน Invalid data ไปสักที เพราะพื้นที่มันยังไม่เต็ม

อีกการทดลองหนึ่ง คือการใช้ SSD 2 ลูกขึ้นไป สมมุติว่าแต่ละลูกมีพื้นที่ Over-Provisioning ลูกละ 50% ในขณะที่มีพื้นที่ใช้งานลูกละ 50% แฮกเกอร์อาจส่งมัลแวร์มาปรับเพิ่มพื้นที่ Over-Provisioning ของลูกหนึ่งให้กลายเป็น 75% แล้วลดพื้นที่อีกลูกหนึ่งเหลืออีก 25% ซึ่ง Windows จะไม่ทราบเรื่องนี้เพราะพื้นที่รวมมันยังเท่าเดิม จากนั้นแฮกเกอร์ก็จะให้อัดมัลแวร์แบบอื่น ๆ ลงไปใน Over-Provisioning ที่มีพื้นที่เพิ่มขึ้นได้เรื่อย ๆ เพื่อก่อความวุ่นวายให้กับคอมเครื่องนั้น

ตรงจุดนี้จะเห็นได้ว่า Over-Provisioning เป็นพื้นที่ที่ค่อนข้างอันตรายและเสี่ยงต่อการถูกแฮกเป็นอย่างมาก นักวิจัยแนะนำว่าถึงแม้จะยังไม่มีการโจมตีจริง ๆ เกิดขึ้น (เพราะทั้งหมดนี้เป็นแค่เพียงการทดลอง) แต่ก็อยากให้ผู้ผลิต SSD ใส่ใจความปลอดภัยของพื้นที่ในส่วนดังกล่าว และควรมีระบบตรวจสอบพื้นที่ Over-Provisioning เอาไว้ด้วย

ขอขอบคุณข้อมูลจาก Tom’s Hardware