Zašto vaše računalo ima UEFI firmver potreban sigurnosna ažuriranja
Microsoft je upravo najavio Projekt Mu, obećavajući "firmware kao uslugu" na podržanom hardveru. Svaki proizvođač računala treba uzeti u obzir. Računala trebaju sigurnosna ažuriranja UEFI firmware-a, a proizvođači računala slabo su ih isporučili.
Što je UEFI Firmware?
Moderna računala koriste UEFI firmware umjesto tradicionalnog BIOS-a. UEFI firmware je program niske razine koji se pokreće prilikom pokretanja računala. Ispituje i inicijalizira vaš hardver, izvršava konfiguraciju sustava niske razine, a zatim pokreće operativni sustav s internog pogona računala ili drugog uređaja za pokretanje.
Međutim, UEFI je malo složeniji od starijeg BIOS softvera. Na primjer, računala s Intelovim procesorima imaju nešto što se naziva Intel Management Engine, što je u osnovi mali operativni sustav. Pokreće se paralelno s Windowsima, Linuxom ili bilo kojim drugim operacijskim sustavom na računalu. U korporativnim mrežama, administratori sustava mogu koristiti značajke u Intel ME za daljinsko upravljanje računalima.
UEFI također sadrži "mikrokod" procesora, što je vrsta firmvera za vaš procesor. Kada se računalo pokrene, učitava mikrokod iz UEFI firmvera. Razmislite o tome kao o prevoditelju koji prevodi softverske upute u hardverske upute izvršene na CPU-u.
Zašto UEFI Firmware treba sigurnosna ažuriranja
Posljednjih nekoliko godina stalno se pokazivalo zašto UEFI firmware treba pravodobno ažurirati sigurnosne podatke.
O Spectreu smo svi saznali 2018. godine, pokazujući ozbiljne arhitektonske probleme s modernim procesorima. Problemi s nečim što se naziva "spekulativno izvršenje" značilo je da programi mogu izbjeći standardna sigurnosna ograničenja i čitati sigurna područja memorije. Popravci na Spectre zahtijevaju CPU ažuriranja za mikrokode kako bi ispravno funkcionirala. To znači da su proizvođači računala morali ažurirati sva svoja prijenosna i stolna računala, a proizvođači matičnih ploča morali su ažurirati sve svoje matične ploče - s novim UEFI firmware-om koji sadrži ažurirani mikrokod. Vaše računalo nije adekvatno zaštićeno od Spectrea osim ako niste instalirali ažuriranje upravljačkog softvera za UEFI. AMD je također izdao microcode ažuriranja za zaštitu sustava s AMD procesorima iz Spectre napada, tako da ovo nije samo Intelova stvar.
Intelov upraviteljski mehanizam je vidio neke sigurnosne greške koje su napadačima s lokalnim pristupom na računalo mogle omogućiti pucanje softvera za upravljački pogon ili dopustiti da napadač s udaljenim pristupom uzrokuje probleme. Srećom, daljinsko iskorištavanje utjecalo je samo na tvrtke koje su omogućile tehnologiju Intel Active Management (AMT), tako da prosječni potrošači nisu bili pogođeni.
Ovo su samo neki od primjera. Istraživači su također pokazali da je moguće na nekim računalima zloupotrijebiti UEFI firmware, koristeći ga za dobivanje dubokog pristupa sustavu. Čak su pokazali uporni ransomware koji je dobio pristup firmware-u UEFI-ja računala i pokrenuo od tamo.
Industrija bi trebala ažurirati UEFI firmware svakog računala kao i svaki drugi softver kako bi se zaštitili od tih problema i sličnih nedostataka u budućnosti.
Kako je proces ažuriranja bio prekinut godinama
Proces ažuriranja BIOS-a zauvijek je bio nered - od dugo prije UEFI. Tradicionalno se računala isporučuju s onim starim školskim BIOS-om, a manje bi moglo poći po zlu. Proizvođači računala mogu isporučiti nekoliko ažuriranja BIOS-a kako bi riješili manje probleme, ali uobičajeni savjet je bio izbjegavati njihovo instaliranje ako vaše računalo radi ispravno. Često ste morali podizati sustav s DOS pogona za pokretanje da biste ažurirali ažuriranje BIOS-a, a svi su čuli priče o neuspješnim ažuriranjima BIOS-a i uklanjanju računala, što ih je učinilo unbootable.
Stvari su se promijenile. UEFI firmware čini puno više, a Intel je objavio nekoliko velikih nadogradnji za stvari kao što je CPU mikrokod i Intel ME u posljednjih nekoliko godina. Kad god Intel objavi takvo ažuriranje, sve što Intel može učiniti jest reći "pitajte proizvođača računala". Proizvođač vašeg računala ili proizvođač matične ploče, ako ste izradili vlastiti PC, mora uzeti kod od Intela i integrirati ga u novi UEFI firmware. verzija. Zatim moraju testirati firmver. Oh, i svaki proizvođač mora ponoviti ovaj proces za svako pojedinačno računalo koje prodaju, jer svi imaju različite UEFI firmware-ove. To je vrsta ručnog rada koja je učinila Android telefone tako teškim za ažuriranje u prošlosti.
U praksi, to znači da je često potrebno mnogo vremena - mnogo mjeseci - za dobivanje kritičnih sigurnosnih ažuriranja koja se moraju isporučiti putem UEFI-ja. To znači da bi proizvođači mogli slegnuti ramenima i odbiti ažurirati računala koja su stara samo nekoliko godina. Čak i kada proizvođači izdaju ažuriranja, ta se ažuriranja često zakopavaju na web-lokaciji podrške proizvođača. Većina korisnika računala nikada neće otkriti da postoje ažuriranja UEFI firmware-a i instalirati ih, tako da ti bugovi dugo žive u postojećim računalima. Neki proizvođači još uvijek zahtijevaju instalaciju ažuriranja firmvera tako da se prvo pokrenete u DOS-u - samo da bi to bilo dodatno komplicirano.
Što ljudi rade o tome
To je nered. Potreban nam je pojednostavljen proces u kojem proizvođači lakše kreiraju nova ažuriranja firmvera UEFI-ja. Također nam je potreban bolji proces za objavljivanje tih ažuriranja, tako da ih korisnici mogu automatski instalirati na svoja računala. Trenutno je proces spor i ručno - trebao bi biti brz i automatski.
To je ono što Microsoft pokušava učiniti s projektom Mu. Evo kako to objašnjava službena dokumentacija:
Mu je izgrađen oko ideje da je isporuka i održavanje UEFI proizvoda stalna suradnja između brojnih partnera. Industrija je predugo proizvodila proizvode koristeći "forking" model u kombinaciji s copy / paste / preimenovanjem i sa svakim novim proizvodom raste opterećenje održavanja na takvu razinu da su nadogradnje gotovo nemoguće zbog troškova i rizika.
Projekt Mu je sve o tome da pomogne proizvođačima računala da brže izrade i testiraju UEFI ažuriranja tako što će pojednostaviti proces razvoja UEFI-ja i pomoći svima da rade zajedno. Nadajmo se da je to dio koji nedostaje jer je Microsoft već omogućio proizvođačima računala da automatski šalju ažuriranja firmvera za UEFI korisnicima..
Točnije, Microsoft dopušta proizvođačima računala da izdaju ažuriranja firmvera putem servisa Windows Update te da je dostavio dokumentaciju o tome od najmanje 2017. godine. Microsoft je također najavio ažuriranje komponentnog firmvera; model otvorenog koda koji proizvođači mogu upotrijebiti za ažuriranje UEFI-ja i drugih firmware-a, u listopadu 2018. Ako proizvođači računala s time uđu, mogli bi vrlo brzo isporučiti ažuriranja firmvera svim svojim korisnicima..
To nije samo stvar s Windowsima. Preko Linuxa, programeri nastoje olakšati proizvođačima računala izdavanje UEFI ažuriranja s LVFS-om, firmware-om usluge dobavljača Linuxa. Proizvođači računala mogu dostaviti svoja ažuriranja i pojavit će se za preuzimanje u GNOME Software aplikaciji koja se koristi na Ubuntuu i mnogim drugim Linux distribucijama. Ovi napori datiraju iz 2015. Proizvođači računala kao što su Dell i Lenovo sudjeluju.
Ova rješenja za Windows i Linux utječu i na više od UEFI ažuriranja. Proizvođači hardvera mogli bi ih koristiti da bi ubuduće ažurirali sve, od firmwarea USB miša do firmwarea čvrstog diska.
Kako je SwiftOnSecurity govorio o problemima s firmware-om i enkripcijom na čvrstom disku, ažuriranja firmvera mogu biti pouzdana. Moramo očekivati bolje od proizvođača hardvera.
Ažuriranja firmvera mogu biti pouzdana. Pokrenuo sam barem 3000 Dell ažuriranja BIOS-a sa samo jednim neuspjehom, a taj stari PC je već bio u službi zbog neuspjeha.
Ponovno razmislite što mislite da je nemoguće. Servisiranje firmvera nije nemoguće ili rizično. Zahtijeva bolje zahtjeve ljudi.
- SwiftOnSecurity (@SwiftOnSecurity) 6. studenog 2018
Zasluge za slike: Intel, Natascha Eibl, kubais / Shutterstock.com.