新BIOS安全标准防范rootkit攻击

【CNW.com.cn独家译稿】针对计算机基本输入/输出系统(BIOS)固件的攻击不断增加，为了阻止该攻击，美国国家标准与技术研究所(NIST)制定了新的安全指导方针来更新BIOS。并且在这个过程中，NIST还让高科技制造业提高其安全要求。

NIST计算机安全部门数学研究员兼项目负责人Andrew Regenscheid表示：“去年九月，第一个基于BIOS的rootkit被发现，被称为Mebromi。”虽然多年来攻击者主要在围绕Windows应用程序和操作系统创建恶意软件，但针对BIOS的攻击也逐渐引起人们的关注。

新的安全指导方针将会影响联邦政府在未来购买怎样的电脑，NIST设定了标准要求对BIOS更新机制进行身份验证。

本周NIST为其拟议的联邦标准“针对服务器的BIOS保护准则”征求公众意见，截止到九月中旬。这样做的目的是阻止任何与“恶意软件对BIOS固件进行未经授权修改”相关的网络攻击

NIST的文件显示，在未来政府对服务器的购买(无论是基本服务器、管理服务器还是刀片服务器)都会检查其购买的设备是否能够“身份验证BIOS更新机制”、“安全本地更新机制”、以及是否存在“固件完整性保护”和“非绕过功能”。

Regenscheid表示，基于加密的数字签名以及公共密钥证书等技术被视为创建这些安全控制的方法，但NIST没有指明具体流程。

他说，值得关注的是，在过去，制造商没有对BIOS统一部署很强的安全控制。这可能是因为BIOS更新比其他类型的计算机软件更新的频率低很多，但随着恶意软件威胁的增加，是时候将重点放在BIOS上了。

在2011年4月，NIST已经针对台式机和笔记本电脑发布了BIOS安全标准，并且美国国土安全局要求联邦政府使用该安全标准作为购买笔记本和台式机的基准，从今年十月份开始。美国国防部已经发出类似的指令。制造商都清楚了NIST的这一指示，并正在作出响应。他指出：“微软Windows 8有针对桌面的BIOS保护。”

针对服务器的BIOS安全可能会更加复杂，需要来自OEM制造商(如戴尔、惠普和联想)的支持。Regenscheid 表示：“我们提出了严格的控制更新过程。NIST拟议的标准通常会在六个月内批准并生效。

在这一点上，“针对服务器的BIOS保护准则”将会成为一个联邦标准，很可能也会影响政府采购，正如客户端BIOS安全标准一样。有一个问题：鉴于联邦政府正在越来越多地购买云服务，云供应商是否也需要支持安全的BIOS?Regenscheid表示，这个问题很快会由政府采购人员提上议程。

另一个问题是：NIST是否将会解决移动设备(例如来自苹果公司或谷歌的平板电脑)中的BIOS问题，鉴于联邦政府对移动设备越来越感兴趣。Regenscheid表示NIST正在认真审视这个问题，并在计划于移动设备相关的新安全标准，相关标准可能将于明年出台。

但NIST并不是直接通过更改Android代码来解决这些问题。相反地，NIST正在悄悄地与高科技制造商沟通联邦政府的想法。Regenscheid表示：“我们正在联系谷歌、苹果公司以及微软，与他们讨论我们想要看到的功能。”