Microsoft právě oznámil Project Mu , slibující „firmware jako službu“ na podporovaném hardwaru. Každý výrobce PC by to měl vzít na vědomí. Počítače potřebují bezpečnostní aktualizace svého firmwaru UEFI a výrobci počítačů je špatně dodávali.
Co je firmware UEFI?
Moderní počítače používají Firmware UEFI místo tradičního BIOS . Firmware UEFI je nízkoúrovňový software, který se spustí při spuštění počítače. Testuje a inicializuje váš hardware, provede nějakou konfiguraci systému na nízké úrovni a poté spustí operační systém z interní jednotky vašeho počítače nebo jiného bootovací zařízení .
UEFI je však o něco složitější než starší software BIOS. Například počítače s procesory Intel mají něco, co se nazývá Intel Management Engine , což je v podstatě malý operační systém. Spouští se paralelně s Windows, Linuxem nebo jakýmkoli operačním systémem, který ve svém počítači používáte. V podnikových sítích mohou správci systému používat funkce v Intel ME ke vzdálené správě svých počítačů.
UEFI také obsahuje procesor „ mikrokód „“, Což je něco jako firmware pro váš procesor. Když se počítač spustí, načte mikrokód z firmwaru UEFI. Přemýšlejte o tom jako o tlumočníkovi, který překládá softwarové instrukce na hardwarové instrukce prováděné na CPU.
PŘÍBUZNÝ: Co je UEFI a v čem se liší od systému BIOS?
Proč potřebuje firmware UEFI aktualizace zabezpečení
Poslední roky znovu a znovu ukázaly, proč firmware UEFI potřebuje včasné bezpečnostní aktualizace.
Všichni jsme se o tom dozvěděli Spektrum v roce 2018, což ukazuje vážné architektonické problémy s moderními CPU. Problémy s něčím, co se nazývá „spekulativní provádění“, znamenalo, že programy mohly uniknout standardním bezpečnostním omezením a číst zabezpečené oblasti paměti. Opravy na Spectre požadované aktualizace mikrokódu CPU správně fungovat. To znamená, že výrobci počítačů museli aktualizovat všechny své notebooky a stolní počítače - a výrobci základních desek museli aktualizovat všechny své základní desky - novým firmwarem UEFI obsahujícím aktualizovaný mikrokód. Váš počítač není adekvátně chráněn proti Spectre, dokud nenainstalujete aktualizaci firmwaru UEFI. AMD také vydal aktualizace mikrokódu pro ochranu systémů s procesory AMD před útoky Spectre, takže to není jen věc Intel.
Intel Management Engine některé z nich viděl bezpečnostní chyby který by mohl nechat útočníky s místním přístupem k počítači rozbít software Management Engine, nebo nechat útočníka se vzdáleným přístupem způsobit potíže. Naštěstí dálkové ovládání využívá pouze zasažené podniky, které povolily technologii Intel Active Management Technology (AMT), takže průměrní spotřebitelé nebyli ovlivněni.
Je to jen několik příkladů. Vědci také prokázali, že je možné zneužít firmware UEFI na některých počítačích a použít jej k získání hlubokého přístupu k systému. Dokonce předvedli trvalý ransomware který získal přístup k firmwaru UEFI počítače a odtud běžel.
Odvětví by mělo aktualizovat firmware UEFI každého počítače stejně jako jakýkoli jiný software, aby pomohlo chránit před těmito problémy a podobnými chybami v budoucnu.
PŘÍBUZNÝ: Jak zkontrolovat, zda je váš počítač nebo telefon chráněn proti zhroucení a strašidlu
Jak byl proces aktualizace po celá léta přerušen
Proces aktualizace systému BIOS byl navždy nepořádek - už dlouho před UEFI. Počítače dodávané s tímto old-school BIOSem se tradičně mohly pokazit. Výrobci počítačů mohou několik dodávat Aktualizace systému BIOS opravit drobné problémy, ale obvyklá rada byla vyhněte se jejich instalaci pokud váš počítač fungoval správně. Aby bylo možné aktualizovat systém BIOS, museli jste často zavádět ze zaváděcí jednotky DOS a každý slyšel příběhy o selhání aktualizací systému BIOS a zděšení počítačů PC, což způsobilo, že je nelze spustit.
Věci se změnily. Firmware UEFI toho umí mnohem víc a společnost Intel v posledních několika letech vydala několik velkých aktualizací věcí, jako je mikrokód CPU a Intel ME. Kdykoli společnost Intel vydá takovou aktualizaci, může Intel říci „zeptejte se výrobce počítače“. Výrobce vašeho počítače - nebo výrobce základní desky, pokud jste si vytvořili vlastní počítač - musí převzít kód od společnosti Intel a integrovat jej do nové verze firmwaru UEFI. Poté musí otestovat firmware. A každý výrobce musí tento proces opakovat pro každý jednotlivý počítač, který prodává, protože všichni mají odlišný firmware UEFI. Jedná se o druh manuální práce, která byla provedena Telefony Android v minulosti tak obtížné aktualizovat.
V praxi to znamená, že získání důležitých aktualizací zabezpečení, které je třeba doručovat prostřednictvím rozhraní UEFI, často trvá dlouho - mnoho měsíců. To znamená, že výrobci mohou pokrčit rameny a odmítnout aktualizovat počítače staré jen několik let. A i když výrobci vydávají aktualizace, jsou tyto aktualizace často uloženy na webových stránkách podpory daného výrobce. Většina uživatelů PC nikdy neobjeví, že tyto aktualizace firmwaru UEFI existují, a nenainstaluje je, takže tyto chyby nakonec žijí ve stávajících počítačích dlouhou dobu. A někteří výrobci vás stále nutí instalovat aktualizace firmwaru do bootování do DOSu první - jen aby to bylo extra komplikované.
Co s tím lidé dělají
To je nepořádek. Potřebujeme efektivní proces, při kterém mohou výrobci snadněji vytvářet nové aktualizace firmwaru UEFI. Potřebujeme také lepší proces vydávání těchto aktualizací, aby si je uživatelé mohli nechat automaticky nainstalovat do svých počítačů. Právě teď je proces pomalý a manuální - měl by být rychlý a automatický.
O to se Microsoft pokouší s Project Mu. Zde je návod, jak oficiální dokumentace vysvětluje to:
Mu je postaven na myšlence, že přeprava a údržba produktu UEFI je neustálá spolupráce mezi mnoha partnery. Příliš dlouho průmysl vyráběl produkty využívající model „rozvětvování“ kombinovaný s kopírováním / vkládáním / přejmenováním a s každým novým produktem roste zátěž údržby na takovou úroveň, že aktualizace jsou téměř nemožné kvůli nákladům a riziku.
Projekt Mu je o pomoci výrobcům počítačů rychleji vytvářet a testovat aktualizace UEFI zefektivněním procesu vývoje UEFI a pomoci všem spolupracovat. Doufejme, že toto je chybějící kousek, protože Microsoft již výrobcům počítačů usnadnil automatické zasílání aktualizací firmwaru UEFI uživatelům.
Microsoft konkrétně umožňuje výrobcům PC vydat aktualizace firmwaru prostřednictvím Windows Update a poskytl k tomu dokumentaci minimálně od roku 2017. Microsoft také oznámil Aktualizace firmwaru součástí ; model s otevřeným zdrojovým kódem, který mohou výrobci použít k aktualizaci UEFI a dalšího firmwaru, zpět v říjnu 2018. Pokud se k tomu výrobci počítačů připojí, mohou velmi rychle doručit aktualizace firmwaru všem svým uživatelům.
Ani to není jen Windows. V systému Linux se vývojáři snaží usnadnit výrobcům počítačů vydávání aktualizací UEFI LVFS , služba firmwaru pro dodavatele Linuxu. Prodejci počítačů mohou odesílat své aktualizace a zobrazí se ke stažení v softwarové aplikaci GNOME, která se používá v Ubuntu a mnoha dalších distribucích Linuxu. Tato snaha sahá až do roku 2015. Výrobci PC mají rádi Dell a Lenovo se účastní.
Tato řešení pro Windows a Linux mají vliv nejen na aktualizace UEFI. Výrobci hardwaru by je mohli v budoucnu použít k aktualizaci všeho od firmwaru USB myši po firmware disku SSD.
Tak jako SwiftOnSecurity řekněte to, když mluvíte o problémy s firmwarem disku SSD a šifrováním , aktualizace firmwaru mohou být spolehlivé. Musíme od výrobců hardwaru očekávat lepší výsledky.
Aktualizace firmwaru mohou být spolehlivé. Zahájil jsem minimálně 3 000 aktualizací systému Dell BIOS pouze s jednou poruchou a tento starý počítač byl již v provozu kvůli selhání.
Přemýšlejte znovu, co si myslíte, že je nemožné. Servis firmwaru není nemožný ani riskantní. Vyžaduje to, aby lidé poptávali lépe.
- SwiftOnSecurity (@SwiftOnSecurity) 6. listopadu 2018
Kredit obrázku: Intel , Natascha Eibl , Kubánci /Shutterstock.com.
