This post is also available in:
English (אנגלית)
כאשר מתקפת כופרה פוגעת, הנזק מתרחש בדרך כלל במהירות. קבצים מוצפנים או נמחקים, מערכות הופכות לבלתי נגישות, ומאמצי השחזור נכנסים למרוץ נגד הזמן. בעוד שרוב פתרונות הסייבר מתמקדים במניעת מתקפות, הרבה פחות תשומת לב מוקדשת למה שקורה לאחר שהמידע כבר נפגע.
כעת פיתחו חוקרים מערכת הגנה ברמת האחסון, המנצלת את אופן הפעולה הפנימי של כונני SSD כדי לשפר את הסיכוי לשחזר מידע שנמחק לאחרונה. במקום להסתמך על גיבויי תוכנה או מנגנוני הגנה של מערכת ההפעלה, הפתרון פועל ישירות בתוך הכונן עצמו.
על פי דיווח של TechXplore, הרעיון מבוסס על מאפיין פחות מוכר של זיכרון פלאש. כאשר קובץ נמחק, הוא אינו נעלם מיד מהכונן. במקום זאת, הוא עובר למצב ביניים שבו מערכת ההפעלה כבר אינה רואה אותו, אך הנתונים הפיזיים עדיין קיימים בתוך ה־SSD עד שמתפנה הצורך להשתמש מחדש בשטח האחסון. רק בשלב מאוחר יותר, תהליך המכונה "איסוף זבל" (Garbage Collection) מוחק את הנתונים לצמיתות כדי לפנות מקום.
הבעיה היא שכונני SSD רגילים מתייחסים לכל הנתונים שנמחקו באותו אופן. אלגוריתמי איסוף הזבל שלהם מתמקדים ביעילות האחסון, ולא בערך הפוטנציאלי של המידע לשחזור. כתוצאה מכך, קבצים שנמחקו לפני דקות ספורות עלולים להיעלם לפני קבצים ישנים ופחות חשובים, מה שהופך את תהליך השחזור לאחר מתקפה לבלתי צפוי.
המערכת החדשה משנה את ההתנהגות הזו באמצעות ארגון כרונולוגי של הנתונים שנמחקו בתוך הכונן. כאשר קבצים נכנסים למצב הביניים, הכונן מתעד את גילם היחסי. כאשר יש צורך לפנות מקום, מנגנון איסוף הזבל מוחק קודם כל את הנתונים הישנים ביותר, ובכך משמר את הקבצים שנמחקו לאחרונה למשך זמן ארוך ככל האפשר.
לדברי החוקרים, הגישה הזו מאריכה משמעותית את חלון הזמן שבו ניתן עדיין לשחזר מידע חשוב לאחר מתקפה. בניסויים נמצא כי זמן השימור של מידע הניתן לשחזור השתפר בלפחות 60%, תוך השפעה מינימלית על ביצועי הכונן. במקרים מסוימים, ניתן היה לשחזר נתונים שנמחקו גם לאחר 126 ימים.
מנקודת מבט של סייבר וביטחון מידע, הגישה מעניינת במיוחד משום שהיא מעבירה את ההגנה אל מתחת לשכבת מערכת ההפעלה. גם אם נוזקה מצליחה להשתלט על המחשב, בקר האחסון של ה־SSD ממשיך לפעול באופן עצמאי, ויוצר מנגנון שחזור נוסף שקשה יותר לתוקפים להשפיע עליו ישירות.
המחקר מדגיש מגמה רחבה יותר של שילוב חומרה כחלק בלתי נפרד מארכיטקטורת האבטחה. במקום לשמש כאמצעי אחסון בלבד, כונני SSD עתידיים עשויים להפוך לרכיב פעיל בחוסן סייבר ובאסטרטגיות התאוששות לאחר מתקפות.
המחקר פורסם כאן.
