20:12 EDT Thứ ba, 27/06/2017
Đổi mới để khẳng định, để phát triển, để nâng tầm, vươn xa.








Danh ngôn cuộc sống

Thời gian chờ đợi là thời gian khốn khổ nhất.S. Doudney

Thống kê truy cập

  • Đang truy cập: 28
  • Hôm nay: 1255
  • Tháng hiện tại: 37773
  • Lượt truy cập: 24584630

Công văn cảnh báo nguy cơ mất an toàn thông tin từ lỗi của thiết bị lưu trữ USB

Thứ tư - 22/10/2014 10:36
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) vừa có Công văn gửi tới các cơ quan, đơn vị chuyên trách về CNTT trong cả nước cảnh báo về nguy cơ mất an toàn thông tin từ loại mã độc có tên “BadUSB”. Đây là mã độc từ một lỗ hổng bảo mật cực kỳ nghiêm trọng trên USB đã được ba nhà nghiên cứu bảo mật Karsten Nohl, Sascha KriBler và Jakob Lell cảnh báo cách đây vài tháng.

Tại hội nghị Black Hat tháng 8/2014 tại Las Vegas, ba nhà nghiên cứu Karsten Nohl, Sascha KriBler và Jakob Lell đã thông báo về lỗ hổng bảo mật trên một số thiết bị có chức năng lưu trữ USB (gọi tắt là thiết bị USB) đặt tên là BadUSB, nhưng chưa tiết lộ thông tin chi tiết về kỹ thuật và phương pháp thực hiện tấn công. Lỗ hổng này cho phép tin tặc cài đặt mã độc vào phần mềm điều khiển thiết bị (Firmware) của các thiết bị USB để từ đó có thể xâm nhập vào các máy tính kết nối với các thiết bị lưu trữ này. Do mã độc nằm trong phần mềm điều khiển nên rất khó bị phát hiện và xử lý bằng các công cụ chống mã độc thông thường.

Trong hội nghị DerbyCon diễn ra cuối tháng 9/2014, nhóm nghiên cứu an toàn thông tin khác bao gồm ông Adam Caudill và Ông Brandon Wilson đã công bố kỹ thuật gài các mã độc vào firmware của các thiết bị USB có tên “Patriot 8GB Supersonic Xpress” sử dụng chip điều khiển “Phison PS2251-03 (2303) controller”. Một số thiết bị USB có sử dụng chip điều khiển Phison PS2251-03:

-Patriot 8GB Supersonic Xpress

-Kingston DataTraveler 3.0 T111 8GB

-Silicon power marvel M60 64GB

-Toshiba TransMemory-MX™ Black 16 GB

-Patriot Stellar 64 Gb Phison

Các thông tin trên cho thấy lỗ hổng bảo mật này là điểm yếu nghiêm trọng vì nó cho phép tin tặc tự gài các loại mã độc trực tiếp tấn công máy tính kết nối đến thiết bị USB (ví dụ: ăn cắp mật khẩu, tấn công leo thang đặc quyền, mở cộng hậu, cập nhật BIOS trái phép v.v…) . Đây là công cụ thuận lợi để tin tặc thực hiện các cuộc tấn công có chủ đích với các mục tiêu cụ thể, riêng biệt. Với cơ chế hoạt động trên, phạm vi ảnh hưởng sẽ không chỉ bao gồm các thiết bị USB sử dụng chip điều khiển “Phison PS2251-03 (2303) controller” mà ảnh hưởng tới toàn bộ các thiết bị USB có firmware có khả năng cập nhật và chỉnh sửa. Trong đó điện thoại thông minh sử dụng hệ điều hành Android được cho là một trong các môi trường lý tưởng để tin tặc thực hiện khai thác lỗ hổng trên.

Hiện tại trên thế giới chưa công bố các biện pháp hữu hiệu và dễ dàng kiểm chứng các thiết bị USB có bị gài mã độc vào Firmware. Biện pháp an toàn nhất hiện đang được khuyến cáo là sử dụng các thiết bị USB từ nhà sản xuất chân chính, không có khả năng cập nhật, chỉnh sửa Firmware.

Trung tâm Ứng cứu khẩn cấp máy tính Việt nam đề nghị các đơn vị nghiên cứu, doanh nghiệp, cá nhân, chuyên gia có điều kiện nghiên cứu xây dựng các giải pháp phát hiện thiết bị USB có nhiễm mã độc trong Firmware và biện pháp phòng chống cho lỗ hổng trên. Cùng hợp tác với Trung tâm VNCERT để kiểm chứng và khuyến cáo cho cộng đồng.

Trước mắt, đề nghị các tổ chức, cá nhân áp dụng một số biện pháp hạn chế tối đa rủi ro mất an toàn thông tin với thiết bị USB nhiễm mã độc như sau:

1. Không kết nối thiết bị USB vào các máy tính quan trọng cần bảo vệ (sử dụng CDROM, DVDROM, Ổ băng từ v.v.. để thay thế trong trường hợp cần thiết).

2. Tránh mua và sử dụng USB trôi nổi, không có nguồn gốc rõ ràng (ví dụ: quà tặng)

3. Khi kết nối USB vào máy tính cần cảnh giác với yêu cầu đòi hỏi tài khoản, mật khẩu truy cập hoặc các thông tin cá nhân khác.

4. Hạn chế tối đa cho mượn, sử dụng chung thiết bị lưu trữ.

5. Khi có nghi ngờ hoặc phát hiện thiết bị USB có mã độc, đề nghị thông báo và gửi cho Trung tâm VNCERT để nghiên cứu và xử lý.

Trung tâm ứng cứu khẩn cấp máy tính Việt Nam
 
Báo Giáo dục & thời đại
  • Cần Thơ: Đảm bảo công tác chấm thi nghiêm túc
    Thứ ba - 27/06/2017 06:03
    GD&TĐ - Thực hiện công tác chấm thi THPT quốc gia năm 2017, Sở GD&ĐT TP Cần Thơ huy động hơn 80 cán bộ chấm thi.
  • 5 ưu điểm của kỳ thi THPT quốc gia 2017
    Thứ ba - 27/06/2017 06:01
    GD&TĐ - Bà Nguyễn Thị Liên - Phó trưởng Ban Tuyên giáo thành ủy Hà Nội - cho rằng: Kỳ thi THPT quốc gia năm 2017 thực hiện đổi mới công tác thi/tuyển sinh theo tinh thần Nghị quyết 29-NQ/TW, nhằm giảm áp lực, tốn kém cho thí sinh, gia đình và xã hội; đạt được 2 mục đích lấy kết quả xét tốt nghiệp THPT và xét tuyển vào ĐH, CĐ.
  • Quảng Bình: Dự kiến hoàn tất chấm thi ngày 3/7
    Thứ ba - 27/06/2017 05:21
    GD&TĐ - Ngày 27/6, tin từ Sở GD&ĐT tỉnh Quảng Bình cho biết, từ ngày 25/6 đã triển khai việc chấm thi đối với các môn thi trắc nghiệm và dự kiến sẽ hoàn tất việc chấm thi vào ngày 3/7 tới đây.
  • GS.TSKH Phạm Thị Trân Châu: Tôi đánh giá cao kỳ thi THPT quốc gia 2017
    Thứ ba - 27/06/2017 04:58
    GD&TĐ - GS.TSKH Phạm Thị Trân Châu - Chủ tịch Hội Nữ trí thức Việt Nam, Chủ nhiệm Hội đồng tư vấn khoa học-giáo dục-môi trường UBTW MTTQ Việt Nam hoan nghênh và đánh giá cao những đổi mới của kỳ thi THPT quốc gia 2017.
  • Hà Nội: Huy động hơn 300 giáo viên chấm thi THPT quốc gia 2017
    Thứ ba - 27/06/2017 04:45
    GD&TĐ - Ông Ngô Văn Chất - Trưởng phòng Quản lý thi và kiểm định chất lượng (Sở GD&ĐT Hà Nội) cho biết như vậy trong buổi giao ban báo chí tại Thành ủy chiều 27/6.
  • Nhà giáo ưu tú Dương Thị Trúc Bạch: Phải biết chọn lọc cái nào tốt cho học...
    Thứ ba - 27/06/2017 04:19
    GD&TĐ - Mặc dù đã nghỉ hưu nhưng bất kỳ các hoạt động nào của Hội khuyến học TPHCM cô đều có mặt. Đối với cô cống hiến cho sự nghiệp trồng người là niềm đam mê không kể thời gian và tuổi tác. Cô là NGƯT Dương Thị Trúc Bạch – nguyên Hiệu trưởng Trường THPT Nguyễn Thị Minh Khai, TPHCM.
  • Giáo viên dạy các môn chuyên ngành bằng Tiếng Anh: Cung không đủ cầu
    Thứ ba - 27/06/2017 04:14
    GD&TĐ - Bắt đầu từ năm học 2011-2012, Bộ GD&ĐT và Ban quản lý Đề án Ngoại ngữ Quốc gia 2020 đã chỉ đạo các trường THPT trong cả nước triển khai thí điểm dạy các môn Toán, Vật lí, Hóa học, Sinh học, Tin học bằng tiếng Anh.
Tin 24h.com.vn
Báo Tuổi trẻ
Báo VietNamNet