Dlaczego oprogramowanie układowe UEFI Twojego komputera wymaga aktualizacji zabezpieczeń
Microsoft właśnie ogłosił projekt Mu, obiecując "oprogramowanie układowe jako usługę" na obsługiwanym sprzęcie. Każdy producent komputerów PC powinien wziąć to pod uwagę. Komputery PC wymagają aktualizacji zabezpieczeń do oprogramowania układowego UEFI, a producenci komputerów PC wykonują kiepskie zadanie polegające na ich dostarczaniu.
Co to jest oprogramowanie układowe UEFI?
Współczesne komputery korzystają z oprogramowania układowego UEFI zamiast tradycyjnego systemu BIOS. Oprogramowanie układowe UEFI to oprogramowanie niskiego poziomu, które uruchamia się po uruchomieniu komputera. Testuje i inicjalizuje sprzęt, wykonuje niskopoziomową konfigurację systemu, a następnie uruchamia system operacyjny z wewnętrznego dysku komputera lub innego urządzenia rozruchowego.
Jednak UEFI jest nieco bardziej skomplikowany niż starsze oprogramowanie BIOS. Na przykład komputery z procesorami Intel mają coś, co nazywa się Intel Management Engine, który jest w zasadzie małym systemem operacyjnym. Działa równolegle do systemu Windows, Linux lub innego systemu operacyjnego uruchomionego na komputerze. W sieciach korporacyjnych administratorzy systemu mogą korzystać z funkcji Intel ME do zdalnego zarządzania komputerami.
UEFI zawiera także procesor "mikrokodu", który jest rodzajem oprogramowania układowego dla twojego procesora. Po uruchomieniu komputera ładowany jest mikrokod z oprogramowania układowego UEFI. Pomyśl o tym jak o tłumaczu, który tłumaczy instrukcje oprogramowania na instrukcje sprzętowe wykonywane na procesorze.
Dlaczego oprogramowanie układowe UEFI wymaga aktualizacji zabezpieczeń
W ciągu ostatnich kilku lat wielokrotnie pokazywano, dlaczego oprogramowanie układowe UEFI wymaga aktualnych aktualizacji zabezpieczeń.
Wszyscy dowiedzieliśmy się o Spectre w 2018 roku, pokazując poważne problemy architektoniczne z nowoczesnymi procesorami. Problemy z czymś zwanym "wykonywaniem spekulatywnym" oznaczały, że programy mogły uciec od standardowych ograniczeń bezpieczeństwa i czytać bezpieczne obszary pamięci. Naprawiono konieczność aktualizacji mikrokodów CPU przez Specter, aby działały poprawnie. Oznacza to, że producenci komputerów PC musieli zaktualizować wszystkie komputery przenośne i stacjonarne, a producenci płyt głównych musieli zaktualizować wszystkie swoje płyty główne za pomocą nowego oprogramowania UEFI zawierającego zaktualizowany mikrokod. Twój komputer nie jest odpowiednio chroniony przed Specterem, chyba że zainstalowałeś aktualizację oprogramowania UEFI. AMD wydało także aktualizacje mikrokodów, aby chronić systemy z procesorami AMD od ataków Spectre, więc nie jest to tylko sprawa Intela.
Mechanizm zarządzania firmy Intel wykrył pewne błędy bezpieczeństwa, które mogły pozwolić atakującym na lokalny dostęp do komputera na złamanie oprogramowania zarządzającego lub pozwolić atakującemu z dostępem zdalnym spowodować problemy. Na szczęście zdalne exploity wpłynęły tylko na firmy, które udostępniły technologię Intel Active Management Technology (AMT), więc przeciętny konsument nie został dotknięty.
To tylko kilka przykładów. Badacze wykazali również, że możliwe jest nadużywanie oprogramowania układowego UEFI na niektórych komputerach, wykorzystując je do uzyskania głębokiego dostępu do systemu. Wykazali nawet trwałe oprogramowanie ransomware, które uzyskało dostęp do oprogramowania komputerowego UEFI i zostało uruchomione.
Branża powinna aktualizować oprogramowanie układowe UEFI każdego komputera, tak jak każde inne oprogramowanie, aby chronić się przed tymi problemami i podobnymi wadami w przyszłości.
Jak proces aktualizacji został przerwany na lata
Proces aktualizacji BIOS-u był nieskończony - od dawna przed UEFI. Tradycyjnie komputery były dostarczane z tym oldschoolowym BIOS-em, a mniej mogło się nie udać. Producenci komputerów PC mogą wysyłać kilka aktualizacji BIOS-u, aby naprawić drobne problemy, ale zwykle zaleca się unikanie ich instalowania, jeśli komputer działał prawidłowo. Często trzeba było uruchomić komputer z rozruchowego dysku DOS, aby zaktualizować BIOS, a wszyscy słyszeli historie o aktualizacjach BIOS-owych, które zawodziły, i zamurowały komputery, uniemożliwiając ich rozruch..
Rzeczy się zmieniły. Oprogramowanie układowe UEFI ma o wiele więcej, a Intel wydał kilka dużych aktualizacji takich rzeczy, jak mikrokod CPU i Intel ME w ciągu ostatnich kilku lat. Ilekroć Intel wydaje taką aktualizację, wszystko, co Intel może zrobić, to powiedzieć "zapytaj producenta komputera". Producent komputera lub płyty głównej, jeśli zbudowałeś własny komputer, musi pobrać kod od Intela i zintegrować go z nowym oprogramowaniem UEFI. wersja. Następnie muszą przetestować oprogramowanie układowe. Aha, i każdy producent musi powtórzyć ten proces dla każdego komputera, który sprzedaje, ponieważ mają one różne oprogramowanie układowe UEFI. Jest to rodzaj pracy ręcznej, która sprawiała, że telefony z Androidem trudno było aktualizować w przeszłości.
W praktyce oznacza to, że często zajmuje to dużo czasu - wiele miesięcy - uzyskanie krytycznych aktualizacji zabezpieczeń, które muszą zostać dostarczone za pośrednictwem UEFI. Oznacza to, że producenci mogą wzruszyć ramionami i odmówić aktualizacji komputerów, które mają zaledwie kilka lat. Nawet jeśli producenci wprowadzają aktualizacje, te aktualizacje często są ukrywane w witrynie pomocy technicznej tego producenta. Większość użytkowników komputerów osobistych nigdy nie odkryje, że te aktualizacje oprogramowania układowego UEFI istnieją i instalują je, więc te błędy w końcu utrzymują się na istniejących komputerach przez długi czas. Niektórzy producenci wciąż instalują aktualizacje oprogramowania układowego, uruchamiając najpierw DOS-a, co dodatkowo komplikuje.
Co robią o tym ludzie
To bałagan. Potrzebujemy usprawnionego procesu, w którym producenci mogą łatwiej tworzyć nowe aktualizacje oprogramowania układowego UEFI. Potrzebny jest również lepszy proces wydawania tych aktualizacji, aby użytkownicy mogli je automatycznie zainstalować na swoich komputerach. Teraz proces jest powolny i ręczny - powinien być szybki i automatyczny.
To właśnie Microsoft próbuje zrobić z Project Mu. Oto jak wyjaśnia to oficjalna dokumentacja:
Mu opiera się na założeniu, że wysyłka i utrzymywanie produktu UEFI jest stałą współpracą wielu partnerów. Zbyt długo przemysł buduje produkty przy użyciu modelu "rozwidlania" w połączeniu z kopią / wklejaniem / zmienianiem nazwy, a przy każdym nowym produkcie obciążenie związane z konserwacją rośnie do takiego poziomu, że aktualizacje są prawie niemożliwe z powodu kosztów i ryzyka.
Projekt Mu polega na pomaganiu producentom komputerów w szybszym tworzeniu i testowaniu aktualizacji UEFI poprzez usprawnienie procesu opracowywania UEFI i pomoc wszystkim w pracy. Mamy nadzieję, że jest to brakujący element, ponieważ firma Microsoft już ułatwiła producentom komputerów PC automatyczne wysyłanie aktualizacji oprogramowania układowego UEFI użytkownikom.
Konkretnie, firma Microsoft umożliwia producentom komputerów PC wydawanie aktualizacji oprogramowania układowego za pośrednictwem witryny Windows Update i dostarczała dokumentację na ten temat co najmniej od 2017 r. Firma Microsoft ogłosiła również aktualizację oprogramowania układowego; model open-source, który producenci mogą wykorzystać do aktualizacji UEFI i innego oprogramowania układowego, w październiku 2018 r. Gdyby producenci komputerów wzięli to pod uwagę, mogliby szybko dostarczyć aktualizacje oprogramowania do wszystkich swoich użytkowników.
To nie jest tylko kwestia Windows. W systemie Linux programiści usiłują ułatwić producentom komputerów PC wydawanie aktualizacji UEFI za pomocą LVFS, dostawcy oprogramowania układowego Linux Vendor. Dostawcy komputerów PC mogą przesyłać swoje aktualizacje i będą pojawiać się do pobrania w aplikacji GNOME Software, która jest używana w Ubuntu i wielu innych dystrybucjach Linuksa. Wysiłek ten sięga roku 2015. Uczestniczą w nim producenci komputerów, tacy jak Dell i Lenovo.
Te rozwiązania dla systemów Windows i Linux wpływają nie tylko na aktualizacje UEFI. Producenci sprzętu mogą z nich korzystać w przyszłości, aktualizując wszystko, od oprogramowania sprzętowego myszy USB po oprogramowanie sprzętowe dysków półprzewodnikowych.
Jak to ujął SwiftOnSecurity, mówiąc o problemach z oprogramowaniem sprzętowym dysku twardego i szyfrowaniem, aktualizacje oprogramowania układowego mogą być niezawodne. Musimy oczekiwać lepiej od producentów sprzętu.
Aktualizacje oprogramowania układowego mogą być niezawodne. Zainicjowałem co najmniej 3000 aktualizacji systemu BIOS Dell z jedną awarią, a stary komputer był już w służbie z powodu awarii.
Zastanów się, co uważasz za niemożliwe. Obsługa oprogramowania układowego nie jest niemożliwa lub ryzykowna. To wymaga od ludzi lepszego popytu.
- SwiftOnSecurity (@SwiftOnSecurity) 6 listopada 2018 r
Image Credit: Intel, Natascha Eibl, kubais / Shutterstock.com.