關(guān)于慧榮SSD主控漏洞技術(shù)全分析

最近關(guān)于網(wǎng)絡(luò)傳播的慧榮SSD主控漏洞事件引起了網(wǎng)友廣泛的討論，熱議的關(guān)鍵點(diǎn)在于慧榮主控，在文中一些漏洞風(fēng)險(xiǎn)描述上有誤導(dǎo)人的信息，如果不是業(yè)內(nèi)人士的話很容易就被弄糊涂了，今天科普一下文中所描述的功能。

這是網(wǎng)上流傳較廣的排查通知截圖，文中主要指出慧榮公司多種型號的主控芯片額外預(yù)留的“自定義接口”功能。既可注入“強(qiáng)制寫保護(hù)”命令，使存儲設(shè)備無法正常運(yùn)行，只可讀取，不可寫入。又可注入“強(qiáng)制擦除所有塊”命令，使存儲設(shè)備所有數(shù)據(jù)甚至固件內(nèi)容被擦除，導(dǎo)致設(shè)備無法使用。我們針對這些所謂的漏洞情況進(jìn)行一一解析。
 

1.之前傳出過美國在所有品牌的HDD硬盤上植入監(jiān)控代碼，對存儲業(yè)影響很大，HDD只有希捷、西數(shù)和東芝三個(gè)廠商，美國控制起來比較容易。但是SSD的控制芯片和HDD完全不同，而且現(xiàn)在很多廠商都是自己研發(fā)主控芯片，因此，想要在SSD中植入后門比較困難。而SSD主控芯片，功能只有接收主機(jī)讀寫指令，對閃存執(zhí)行數(shù)據(jù)的存儲與讀出，并無自主對外聯(lián)系的功能，絕不可能繞過主機(jī)而泄漏儲存數(shù)據(jù)，在安全性上SSD比HDD要更加可靠。
 

（主控示意圖）

2.自定義接口(Vendor Command)是市面上通用的自定義參數(shù)設(shè)置，使用者可以自定義主控參數(shù)，類似于鍵盤的自定義快捷鍵。因?yàn)槊總€(gè)廠家的產(chǎn)品參數(shù)都不同，經(jīng)過自定義接口設(shè)置后打造專屬的SSD，而且這種功能在計(jì)算機(jī)系統(tǒng)中常用，市面上其他的主控也是有相同的功能。SSD的自定義接口對于廠家是個(gè)友好的功能，DIY愛好者也可以用這個(gè)功能對自己的SSD進(jìn)行最優(yōu)化的設(shè)置，這在存儲設(shè)備中, 已經(jīng)是必要的基本功能了.

3.相信很多80后都用過磁帶作為自己聽音樂的標(biāo)配，很多磁帶出廠都會去除頂部的2個(gè)塑料貼片，沒有那兩個(gè)塑料貼片就不能進(jìn)行錄音，相當(dāng)于現(xiàn)在的數(shù)據(jù)寫入。

以前的SD卡都帶有寫入保護(hù)功能，增加一個(gè)LOCK撥片式的開關(guān)，就是防止被別人刪除數(shù)據(jù)。

用過以上東西的人都知道這個(gè)寫入保護(hù)功能，SSD的寫入保護(hù)功能就是只能讀取數(shù)據(jù)，而不能擦除，主要目的是為了保護(hù)數(shù)據(jù)完整不被更改，現(xiàn)在很多閃存的產(chǎn)品都有這個(gè)功能，在其產(chǎn)品內(nèi)增加寫入保護(hù)的機(jī)制，通過主控的電壓傳感器對電壓進(jìn)行偵測，當(dāng)SSD外部電壓不穩(wěn)時(shí)，就會啟動(dòng)寫入保護(hù)功能，避免寫入數(shù)據(jù)錯(cuò)誤。

4.強(qiáng)制擦除所有塊看似是個(gè)很有用的功能，這樣的功能每個(gè)SSD都有,在用戶或公司進(jìn)行新舊SSD替換時(shí)，可以用“強(qiáng)制擦除所有塊”這個(gè)指令，可以快速清除干凈舊SSD的數(shù)據(jù)，避免數(shù)據(jù)泄露，這也是保護(hù)SSD資料安全的一種重要功能。從理論上說，一鍵擦除數(shù)據(jù)比物理破壞硬盤更有效，而且還可以重復(fù)使用該SSD硬盤，不浪費(fèi)。當(dāng)年陳老師用這種方法的話就不會出現(xiàn)后面的XX門。

而且Secure Erase安全擦除相比格式化更能提高磁盤讀寫速度。安全擦除和全盤格式化其實(shí)本質(zhì)上和目的上，都是一致的，都是恢復(fù)出廠設(shè)置。然而，在實(shí)際效果上，全盤格式化并不能完全讓固態(tài)硬盤恢復(fù)到出廠設(shè)置。固態(tài)硬盤的物理和邏輯層并不是統(tǒng)一的，全盤格式化僅能作用于存儲數(shù)據(jù)的物理層面，而更重要的主控工作信息，相關(guān)機(jī)制記錄都無法實(shí)現(xiàn)刪除，進(jìn)而無法實(shí)現(xiàn)完全的恢復(fù)出廠設(shè)置以及性能恢復(fù)。

最近網(wǎng)絡(luò)盛傳SMI主控有以上所述的漏洞或后門, 從技術(shù)角度來看, 所提出的所謂漏洞其實(shí)并非是漏洞,反而是加強(qiáng)數(shù)據(jù)保護(hù)的功能，任何一款存儲設(shè)備都會針對數(shù)據(jù)設(shè)計(jì)保護(hù)功能，不要對這些功能存在認(rèn)知上的誤區(qū)，這些功能如何使用才是最關(guān)鍵的。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。