NIST принимает стандарт для защиты BIOS

    Национальный институт США по стандартам и технологиям (NIST) обратил внимание на безопасность системы BIOS, с целью защитить её от заражения вирусами, такими как Mebromi и Niwa!mem. Тема довольно специфическая: к настоящему времени существует несколько таких вредоносных программ, в методиках внедрения зловредов в BIOS разбираются считанные специалисты антивирусных компаний. Тем неожиданнее выглядит подобная инициатива со стороны государственной американской организации. Вероятно, эта проблема их сильно тревожит в свете угрозы тотального заражения BIOS на компьютерах, собранных в Китае.



    Так или иначе, но NIST предложил новые правила безопасности для BIOS на серверах (черновик стандарта, pdf). Ранее они уже выпустили аналогичный стандарт для защиты BIOS на настольных компьютерах (pdf).

    Новый документ представляет собой руководство для производителей серверного оборудования и серверных администраторов с описанием методик, которые помогут избежать попадания вредоносного кода в BIOS.

    NIST называет четыре ключевые функции безопасности BIOS:
    — Аутентификация при апдейте BIOS с использованием цифровых подписей для проверки аутентичности новой прошивки.
    — Опциональный безопасный механизм локального апдейта, которые требует обязательного физического присутствия администратора возле машины для обновления BIOS без цифровой подписи.
    — Защита цельности прошивки для предотвращения её изменения способом, который не соответствует двум вышеперечисленным.
    — Функции защиты, которые гарантируют, что не существует механизма для процессора или другого системного компонента, чтобы обойти защиту BIOS.

    По мнению экспертов NIST, неавторизованная модификация BIOS вредоносными программами представляет собой серьёзную угрозу, поскольку BIOS занимает привилегированное положение в системе и позволяет зловреду сохранить работоспособность даже после переустановки операционной системы.

    Напомним, что Windows 8 поддерживает специальную опцию «Secure Boot» (UEFI) (http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx) для защиты от прогрузки неавторизированных ОС и ПО.



    Специальный сертификат будет размещать в UEFI, при этом UEFI будет осуществлять проверку загрузчика до его запуска. Если какая-либо вредоносная программа сделает подмену загрузчика, UEFI не даст запустить систему.
    Group-IB
    Company

    Comments 23

      +8
      У меня давно чешутся руки описать уязвимость подхода «физического присутствия», особенно для серверов.

      Наверное, сейчас опишу.
        +4
        Собственно, вот: habrahabr.ru/post/150226/
          0
          спасибо, все здорово, но KVM подключен далеко не к каждой серверной станции :)
            +2
            IPMI, iLO, DRAC…?
              0
              На которые надо покупать лицензии, что в эру виртуализации не всегда оправдано.
                0
                Ага. а аппаратный виртуализатор, тот же ESXi, по Вашему не требует доступа к консоли и вмешательства, например когда внезапно надо менеджмент гипервизора перевести из одного влана в другой, а в ESXi это делается только из консоли. Или когда железка уплава и умерла, и Вам надо понять, кто умер — железка, рейд или ESXi.
                Посмотрю я, как Вы поедете в датацентр Хетзнера, к примеру, ручками менеджмент влан менять у того же ESXi для примера.
                  0
                  Специально проверил, VLAN для VMkernel прекрасно меняется через клиент, лезть в DCUI совсем необязательно.
                  А для остального есть мониторинг и логи, впрочем, я не отрицаю необходимость в BMC, но без IP-KVM можно обойтись во многих случаях.
                    0
                    Навернется у вас гипервизор, посмотрим как вы обойдетесь без посмотреть, что у вас в core dumpв консоль вылезло. А у меня было, когда мать накрылась и флешка с ESXi накрылась вместе с двойным адаптековским контроллером. и ползи в серверную за 3 дня до сдачи бухгалтерией отчета, когда телефоны разрываются у всех ИТ и у топ менеджмента.
                    Хорошо хоть накануне была пятница с полными бекапами в другую стойку и свежекупленная под ESXi железка.

                    Кстати, где он там хоть меняется в сфере то? — я как то не нашел.
                    Кстати, Вы бекапы виртуалок с ESXi чем делаете?
                      +1
                      Я бэкапилю связкой bacula + ghettoVCB (bacula ходит через ssh на гипервизор с ESXi 4.1 и запускет ghettoVCB).
                      Сейчас, после перехода на ESXi 5, потихоньку буду тестировать и переходить на Veem Backup & Replication.
                        +1
                        Смена VLAN в сфере:
                        1. Открываем сферу и подключается к нужному гипервизору
                        2. Идем в «Configuration» -> «Networking» -> жмем «Properties...» для нужного «Standard Switch»
                        3. На закладке «Ports» выделяем нужный «VM Network» и жмем кнопку «Edit...»
                        4. На закладке «General» есть поле «VLAN ID (Optional)»
                        5.…
                        6. Profit?

                        На случай если не понятно...
                    0
                    Вы не поверите, но виртуализация и гипервизор такая же ось, как и винда с линуксом. и точно так же требуют консоли при первоначальной настройке.
                  0
                  Речь про IPMI, который не «подключен», а «встроен».

                  Например у нас, все dedicated-серверы оснащены IPMI. Для понимания: стоят рядами десятки тысяч серверов, находятся под управлением разных лиц, и все они имеют на борту IPMI.

                  И чем дальше, тем дешевле будет IPMI в стоимости железки.
                    0
                    Спасибо, тем не менее, это брендовое железо — HP (iLo), DRAC (Dell), я абсолютно согласен с такой возможностью, но боюсь, что конкретно с перепрошивкой firmware там будет много нюансов, нужно пробывать
                      0
                      перепрошивка фирмвари в iLO ничем не отличается от перепрощшивки домашнего роутера — в вебморде сказал где бинарник прошивки, загрузилось и ребутнулось, ничем не затрагивая работающий сервер, который про iLO ни сном не духом не ведает.
                      0
                      Ну вот я о нём. у меня на прошлой работе iLO 1.9х версии шло штатно в материнке третим only iLO езернет портом.
                      сейчас стоит пачка деллов с IPMI, которые прозрачно смотрят сетевой трафик на обоих езернетах.
                      А еще есть аппаратные/внешние KVM с езернетом в том числе, угу. со своей прошивкой, да. на прошлой работе одно такое чудо прошивалось не через ps/2 консольный порт, а как-то вообще очень хитро. про IP KVM молчу
                        0
                        оно все понятно, только много ли будет интереса злоумышленников размещать буткиты в серверных станциях таким образом? в основном, речь идет именно о клиентских станциях, в которых изменяют MBR, чтобы закрепиться и делать какие-либо злонамеренные действия долго и хорошо (например, для хищения в ДБО), смысл так извращаться с серверами? если там наружу висит WEB-морда консоли, так и пароль там может быть «123456» — это другая тема
                          0
                          Если админ идиот и менеджмент трафик у него бугает по влану с рабочими станциями — то гнать такого админа или на курсы, или с пляжа.
                          А у нормального администратора мало того что рабочие станции с серверами в разных вланах, так еще и менеджмент трафик отдельно бегает, а там, хоть без пароля…
                            0
                            в расчёте на всякие локальные офисные облака из серверов виртуальных рабочих столов, где бегает всякая бухгалтерия, вполне. ну и всякие DoS/спам рассыльные узлы…
                    +2
                    как то все сложно у них. не проще поставить джампер «write enable» на ПЗУ биоса? кому надо — переключат, а кто не в состоянии переключить его — не стоит лезть в обновления биоса.
                      0
                      А теперь покажите мне его на SPI =)
                        +2
                        В дополнение — я вот до сих пор не понимаю кому мешали USB-флешки с аппаратной защитой от записи. Однако, факт: нынче они — совсем редкий вид.
                          0
                          Кстати да, лечить с такой флешки cureit'ом ПК — одна радость, и потом не надоформатировать флешку в линуксе…
                        +3
                        Глядя на картинку, можно подумать, что это всё затевалось ради того, чтобы линуксы не загружались.

                        Only users with full accounts can post comments. Log in, please.