Microsoft annoncerede lige Projekt Mu , lovende "firmware som en tjeneste" på understøttet hardware. Hver pc-producent skal notere sig. Pc'er har brug for sikkerhedsopdateringer til deres UEFI-firmware, og pc-producenter har gjort et dårligt stykke arbejde med at levere dem.
Hvad er UEFI-firmware?
Moderne pc'er bruger UEFI firmware i stedet for en traditionel BIOS . UEFI-firmwaren er software på lavt niveau, der starter, når du starter din pc. Det tester og initialiserer din hardware, foretager en del systemkonfiguration på lavt niveau og starter derefter et operativsystem fra din computers interne drev eller et andet opstartsenhed .
UEFI er dog lidt mere kompliceret end den ældre BIOS-software. For eksempel har computere med Intel-processorer noget, der hedder Intel Management Engine , som dybest set er et lille operativsystem. Det kører parallelt med Windows, Linux eller et hvilket som helst operativsystem, du kører på din computer. På virksomhedsnetværk kan systemadministratorer bruge funktioner i Intel ME til at styre deres computere eksternt.
UEFI indeholder også processor “ mikrokode , ”Som er ligesom firmware til din processor. Når din computer starter, indlæses den mikrokode fra UEFI-firmwaren. Tænk på det som en tolk, der oversætter softwareinstruktioner til hardwareinstruktioner, der udføres på CPU'en.
RELATEREDE: Hvad er UEFI, og hvordan adskiller det sig fra BIOS?
Hvorfor UEFI Firmware har brug for sikkerhedsopdateringer
De sidste par år har vist igen og igen, hvorfor UEFI-firmware har brug for sikkerhedsopdateringer til tiden.
Vi lærte alle om Spektrum i 2018, der viser de alvorlige arkitektoniske problemer med moderne CPU'er. Problemer med noget kaldet ”spekulativ udførelse” betød, at programmer kunne undslippe standard sikkerhedsrestriktioner og læse sikre hukommelsesområder. Rettelser til Spectre krævede CPU-mikrocodeopdateringer for at fungere korrekt. Det betyder, at pc-producenterne måtte opdatere alle deres bærbare og stationære pc'er - og bundkortproducenterne måtte opdatere alle deres bundkort - med ny UEFI-firmware indeholdende den opdaterede mikrokode. Din pc er ikke tilstrækkeligt beskyttet mod Spectre, medmindre du har installeret en UEFI firmwareopdatering. AMD frigav også mikrokodeopdateringer for at beskytte systemer med AMD-processorer mod Spectre-angreb, så dette er ikke kun en Intel-ting.
Intels Management Engine har set nogle sikkerhedsfejl der enten kunne lade angribere med lokal adgang til computeren knække Management Engine-softwaren eller lade en angriber med fjernadgang skabe problemer. Heldigvis påvirkede fjernbetjeningen kun virksomheder, der havde aktiveret Intel Active Management Technology (AMT), så gennemsnitlige forbrugere blev ikke berørt.
Dette er blot nogle få eksempler. Forskere har også vist, at det er muligt at misbruge UEFI-firmwaren på nogle pc'er ved at bruge den til at få dyb adgang til systemet. De har endda demonstreret vedvarende ransomware der fik adgang til en computers UEFI-firmware og løb derfra.
Industrien skal opdatere enhver computers UEFI-firmware ligesom al anden software for at hjælpe med at beskytte mod disse problemer og lignende fejl i fremtiden.
RELATEREDE: Sådan kontrolleres, om din pc eller telefon er beskyttet mod nedsmeltning og spøgelse
Hvordan opdateringsprocessen er blevet brudt i årevis
BIOS-opdateringsprocessen har været et rod for evigt - siden længe før UEFI. Traditionelt leveres computere med den gamle BIOS, og mindre kan gå galt. PC-producenter kan sende nogle få BIOS-opdateringer at løse mindre problemer, men det sædvanlige råd var at undgå at installere dem hvis din pc fungerede korrekt. Du var ofte nødt til at starte fra et bootbart DOS-drev for at blinke BIOS-opdateringen, og alle hørte historier om, at BIOS-opdateringer mislykkedes og murede pc'er, hvilket gjorde dem umulige.
Ting har ændret sig. UEFI-firmware gør meget mere, og Intel har frigivet flere store opdateringer til ting som CPU-mikrokode og Intel ME i de sidste par år. Hver gang Intel frigiver en sådan opdatering, kan alt Intel sige "spørg din computerproducent." Din computerproducent - eller bundkortproducent, hvis du har bygget din egen pc - skal tage koden fra Intel og integrere den i en ny UEFI-firmwareversion. De skal derefter teste firmwaren. Åh, og hver producent skal gentage denne proces for hver enkelt pc, de sælger, da de alle har forskellige UEFI-firmware. Det er den slags manuelt arbejde, der lavede Android-telefoner så vanskeligt at opdatere tidligere.
I praksis betyder det, at det ofte tager lang tid - mange måneder - at få kritiske sikkerhedsopdateringer, der skal leveres via UEFI. Det betyder, at producenter måske trækker på skuldrene og nægter at opdatere pc'er, der kun er få år gamle. Og selv når producenter frigiver opdateringer, er disse opdateringer ofte begravet på producentens supportwebsted. De fleste pc-brugere vil aldrig opdage, at UEFI-firmwareopdateringer findes og installere dem, så disse bugs ender med at leve på eksisterende pc'er i lang tid. Og nogle producenter får dig stadig til at installere firmwareopdateringer senest opstart i DOS først - bare for at gøre det ekstra kompliceret.
Hvad folk gør ved det
Det er et rod. Vi har brug for en strømlinet proces, hvor producenter lettere kan oprette nye UEFI firmwareopdateringer. Vi har også brug for en bedre proces til frigivelse af disse opdateringer, så brugerne kan få dem installeret automatisk på deres pc'er. Lige nu er processen langsom og manuel - den skal være hurtig og automatisk.
Det er hvad Microsoft forsøger at gøre med Project Mu. Her er hvordan officiel dokumentation forklarer det:
Mu er bygget op omkring ideen om, at forsendelse og vedligeholdelse af et UEFI-produkt er et løbende samarbejde mellem mange partnere. For længe har industrien bygget produkter ved hjælp af en "forking" -model kombineret med kopi / indsæt / omdøb, og ved hvert nyt produkt vokser vedligeholdelsesbyrden til et sådant niveau, at opdateringer næsten ikke er mulige på grund af omkostninger og risiko.
Project Mu handler om at hjælpe pc-producenter med at oprette og teste UEFI-opdateringer hurtigere ved at strømline UEFI-udviklingsprocessen og hjælpe alle med at arbejde sammen. Forhåbentlig er dette det manglende stykke, da Microsoft allerede har gjort det lettere for pc-producenter at sende deres UEFI firmwareopdateringer til brugerne automatisk.
Specifikt lader Microsoft pc-producenter udstede firmwareopdateringer gennem Windows Update og har leveret dokumentation om dette siden mindst 2017. Microsoft annoncerede også Komponent Firmwareopdatering ; en open source-model, som producenter kan bruge til at opdatere UEFI og anden firmware, tilbage i oktober 2018. Hvis pc-producenter kommer om bord med dette, kunne de levere firmwareopdateringer til alle deres brugere meget hurtigt.
Dette er heller ikke kun en Windows-ting. Over på Linux forsøger udviklere at gøre det lettere for pc-producenter at udstede UEFI-opdateringer med LVFS , Linux Vendor Firmware Service. PC-leverandører kan indsende deres opdateringer, og de vises til download i GNOME-softwareapplikationen, som bruges på Ubuntu og mange andre Linux-distributioner. Denne indsats går tilbage til 2015. PC-producenter kan lide Dell og Lenovo deltager.
Disse løsninger til Windows og Linux påvirker også mere end bare UEFI-opdateringer. Hardwareproducenter kunne bruge dem til at opdatere alt fra USB-mus firmware til solid-state-drev firmware i fremtiden.
Som SwiftOnSecurity sæt det når man taler om problemer med firmware og kryptering med solid state-drev , firmwareopdateringer kan være pålidelige. Vi er nødt til at forvente bedre fra hardwareproducenter.
Firmwareopdateringer kan være pålidelige. Jeg har startet mindst 3.000 Dell BIOS-opdateringer med kun en fejl, og den gamle pc var allerede i brug for at fejle.
Tænk igen, hvad du synes er umuligt. Firmwareservice er ikke umulig eller risikabelt. Det kræver, at folk kræver bedre.
- SwiftOnSecurity (@SwiftOnSecurity) 6. november 2018
Billedkredit: Intel , Natascha Eibl , kubais /Shutterstock.com.
