• Thứ Bảy, 24/07/2010 09:47 (GMT+7)

    Cảnh báo nguy cơ malware “phục” sẵn trong phần cứng

    PHT
    Từ sự cố Dell giao bo mạch chủ thay thế dính malware cho khách hàng, cho thấy một mối nguy cơ tiềm tàng với phần mềm độc hại ẩn mình sẵn trong phần cứng.

    Máy chủ rack PowerEdge R510 của Dell.
    Dell cho biết vào hôm thứ Tư rằng một số bo mạch chủ thay thế (là những BMC rời thuộc kênh dịch vụ hỗ trợ kỹ thuật/bảo hành dùng để thay thế cho các máy bị hỏng - PV) cho các máy chủ PowerEdge có thể có chứa sâu W32.Spybot trong bộ nhớ flash. Sự cố này mới chỉ ảnh hưởng tới một số nhỏ các BMC thay thế dùng cho máy chủ Dell, gồm 4 model: PowerEdge R310, R410 PowerEdge, PowerEdge R510 và PowerEdge T410, công ty cho biết.

    "Một chuỗi sai sót của những người thực hiện đã dẫn đến vấn đề này, chúng tôi đã xác định và thực hiện quy trình bổ sung 16 bước để đảm bảo điều này không xảy ra một lần nữa," phát ngôn viên của Dell, Jim Hahn cho biết.

    Hahn không cung cấp thêm chi tiết về các bước được bổ sung để theo dõi và giải quyết các vấn đề như vậy. Nhưng ông nói rằng tất cả các BMC bị “dính chưởng” đã được loại bỏ khỏi chuỗi cung ứng dịch vụ. Các phần mềm antivirus đã được cập nhật phiên bản mới nhất sẽ đánh dấu sự hiện diện của malware đang chạy trên một phiên bản chưa được vá của Windows Server 2008 hoặc phiên bản trước đây của HĐH này.

    Một chuyên gia quản lý chất lượng của Dell đã viết trong một email rằng mã độc đã vô tình được đưa vào trong quá trình sản xuất BMC cho máy chủ Dell. Mã được phát hiện trong firmware quản lý máy chủ được “nhúng” sẵn trong quá trình thử nghiệm nội bộ của Dell.

    BMC với bộ nhớ flash (thường là NOR flash) chứa BIOS, cung cấp các câu lệnh để khởi động hệ thống (quá trình diễn ra ngay sau khi bật máy - PV), Gregory Wong, chủ tịch Forward Insights cho biết. Đây là dạng bộ nhớ không thay đổi (non-volatile) cho phép dữ liệu không bị mất ngay cả sau khi máy tính đã tắt.

    Flash trên BMC dễ nhiễm cùng loại malware như các thiết bị flash USB thường bị, Simha Sethumadhavan, Giáo sư ngành khoa học máy tính tại Đại học Columbia, cho biết. Sự cố này cho thấy phần cứng, cả flash lẫn bộ xử lý, nếu bị tấn công, có thể được sử dụng như là phương thức để truyền tải malware.

    "Phần mềm chạy trên phần cứng, nên nếu bộ xử lý bị hack thì nó có thể vô hiệu hóa các biện pháp đối phó của phần mềm. Vì phần cứng là gốc rễ của sự tin cậy, các cuộc tấn công vào phần cứng nguy hiểm hơn nhiều", Sethumadhavan nói.

    BMC cũng có thể tích hợp bộ nhớ dạng SSD (solid-state drive) cho việc lưu dữ liệu, Jim Handy, Giám đốc Objective Analysis, một công ty nghiên cứu chất bán dẫn, cho biết. Nhưng bộ lệnh để khởi động hệ thống chứa trong một con chip flash NOR, nên có thể hiểu rằng malware này "khá nhỏ", Handy nói.

    "Flash này là loại chứa BIOS mà có thể được cập nhật online. Nếu không có biện pháp đảm bảo an ninh thích hợp, chip flash có khả năng “dính” phần mềm độc hại cũng như đối với ổ đĩa cứng", Handy cho biết.

    Khoa Khoa học Máy tính của ĐH Columbia sử dụng gần 100 máy chủ Dell PowerEdge R410, nhưng không bị ảnh hưởng bởi sự cố này, Nguyen Daisy, Giám đốc CNTT của khoa này cho biết. Nguyen cho biết việc Dell cung cấp các linh kiện ẩn chứa phần mềm độc hại sẽ không ảnh hưởng đến quyết định mua sản phẩm từ Dell của khoa.

    "Dell ngay lập tức thừa nhận lỗi, và công ty cũng đã nhanh chóng giải quyết vấn đề”, bà Nguyen cho biết.

    Nguyen cho biết Dell đã đồng ý gửi một số mẫu BMC dính malware để trường bà nghiên cứu. Đây là một phần của một nghiên cứu về độ an ninh của các hệ thống phần cứng của trường ĐH này.

    Từ khóa: BIOS, Dell, malware
    Nguồn: DG News Service, 22/7/2010