מדוע קושחת ה- UEFI של המחשב שלך זקוקה לעדכוני אבטחה

מיקרוסופט הודיעה זה עתה פרויקט מו , מבטיח "קושחה כשירות" על חומרה נתמכת. כל יצרן מחשבים אישיים צריך לשים לב. מחשבים אישיים זקוקים לעדכוני אבטחה לקושחת UEFI שלהם, ויצרני מחשבים עשו עבודה גרועה בכדי לספק אותם.

מהי קושחת UEFI?

מחשבים מודרניים משתמשים קושחת UEFI במקום מסורתי BIOS . הקושחה של UEFI היא התוכנה ברמה נמוכה שמתחילה עם אתחול המחשב האישי שלך. זה בודק ומאתחל את החומרה שלך, מבצע תצורה מסוימת של מערכת ברמה נמוכה ואז מאתחל מערכת הפעלה מהכונן הפנימי של המחשב שלך או אחר. אתחול מכשיר .

עם זאת, UEFI הוא קצת יותר מסובך מתוכנת ה- BIOS הישנה יותר. לדוגמא, במחשבים עם מעבדי אינטל יש משהו שנקרא מנוע ניהול אינטל , שהיא בעצם מערכת הפעלה זעירה. הוא פועל במקביל ל- Windows, Linux או כל מערכת הפעלה שאתה מריץ במחשב שלך. ברשתות ארגוניות, מנהלי מערכות יכולים להשתמש בתכונות ב- Intel ME כדי לנהל מרחוק את המחשבים שלהם.

UEFI מכיל גם מעבד " מיקרו-קוד , "שזה סוג של קושחה עבור המעבד שלך. כאשר המחשב שלך מאתחל, הוא טוען מיקרו-קוד מקושחת UEFI. תחשוב על זה כמו מתורגמן שמתרגם הוראות תוכנה להוראות חומרה שבוצעו במעבד.

קָשׁוּר: מהו UEFI, וכיצד הוא שונה מ- BIOS?

מדוע קושחת UEFI זקוקה לעדכוני אבטחה

השנים האחרונות הראו שוב ושוב מדוע קושחת UEFI זקוקה לעדכוני אבטחה בזמן.

כולנו למדנו על ספֵּקטרוּם בשנת 2018, מראה את הבעיות האדריכליות הקשות עם מעבדים מודרניים. בעיות במשהו שנקרא "ביצוע ספקולטיבי" פירושן שתוכניות יכולות לברוח ממגבלות אבטחה סטנדרטיות ולקרוא אזורי זיכרון מאובטחים. תיקונים לספקטרום עדכוני מיקרו-קוד מעבד נדרשים לתפקד כראוי. כלומר, יצרני מחשבים אישיים נאלצו לעדכן את כל המחשבים הניידים והמחשבים השולחניים שלהם - ויצרני לוחות האם נאלצו לעדכן את כל לוחות האם שלהם - בקושחת UEFI חדשה המכילה את המיקרו-קוד המעודכן. המחשב האישי שלך אינו מוגן כראוי מפני ספקטר אלא אם התקנת עדכון קושחה של UEFI. AMD פרסמה גם עדכוני מיקרו-קוד להגנה על מערכות עם מעבדי AMD מפני התקפות ספקטר, כך שזה לא רק דבר של אינטל.

מנוע הניהול של אינטל ראה כמה באגי אבטחה שיכול לתת לתוקפים עם גישה מקומית למחשב לפצח את תוכנת ה- Management Engine, או לתת לתוקף עם גישה מרחוק בעיות. למרבה המזל, הניצול הרחוק השפיע רק על עסקים שאפשרו את טכנולוגיית הניהול האקטיבי של אינטל (AMT), כך שהצרכנים הממוצעים לא הושפעו.

אלה רק כמה דוגמאות. חוקרים הוכיחו גם כי ניתן להשתמש לרעה בקושחת ה- UEFI בחלק מהמחשבים, ולהשתמש בה כדי להשיג גישה עמוקה למערכת. הם אפילו הפגינו תוכנת כופר מתמשכת שקיבל גישה לקושחת ה- UEFI של המחשב ורץ משם.

התעשייה צריכה לעדכן את קושחת ה- UEFI של כל מחשב בדיוק כמו כל תוכנה אחרת כדי לסייע בהגנה מפני בעיות אלה ופגמים דומים בעתיד.

קָשׁוּר: כיצד לבדוק אם המחשב או הטלפון מוגנים מפני התפרקות וספקטרום

כיצד נשבר תהליך העדכון במשך שנים

תהליך עדכון ה- BIOS היה בלגן לנצח - עוד הרבה לפני UEFI. באופן מסורתי, מחשבים נשלחו עם ה- BIOS של בית הספר הישן, ופחות עלולים להשתבש. יצרני מחשבים אישיים עשויים לשלוח כמה עדכוני BIOS כדי לפתור בעיות קלות, אך העצה הרגילה הייתה לעשות זאת הימנע מהתקנתם אם המחשב האישי שלך עבד כמו שצריך. לעיתים קרובות היית צריך לאתחל מכונן DOS הניתן לאתחול כדי להבהב את עדכון ה- BIOS, וכולם שמעו סיפורים על עדכוני BIOS שנכשלו וליצור מחשבים אישיים, מה שהופך אותם לבלתי ניתנים לניתוח.

דברים השתנו. הקושחה של UEFI עושה הרבה יותר, ואינטל פרסמה בשנים האחרונות כמה עדכונים גדולים לדברים כמו מיקרו-קוד מעבד ו- Intel ME. בכל פעם שאינטל משחררת עדכון כזה, כל מה שאינטל יכולה לעשות הוא לומר "שאל את יצרן המחשבים שלך." יצרן המחשבים שלך - או יצרן לוחות אם, אם בנית מחשב משלך - צריך לקחת את הקוד מאינטל ולשלב אותו בגרסת קושחת UEFI חדשה. לאחר מכן עליהם לבדוק את הקושחה. אה, וכל יצרן צריך לחזור על התהליך הזה עבור כל מחשב אישי שהם מוכרים, מכיוון שלכולם יש קושחת UEFI שונה. זו סוג העבודה הידנית שעשתה טלפונים אנדרואיד כל כך קשה לעדכן בעבר.

בפועל, פירוש הדבר שלעתים קרובות לוקח הרבה זמן - חודשים רבים - עדכוני אבטחה קריטיים שיש למסור באמצעות UEFI. זה אומר שיצרנים עשויים למשוך בכתפיהם ולסרב לעדכן מחשבים בני כמה שנים בלבד. וגם כאשר יצרנים אכן משחררים עדכונים, עדכונים אלה נקברים לעיתים קרובות באתר התמיכה של אותו יצרן. רוב משתמשי המחשב לעולם לא יגלו כי קיימים עדכוני קושחה של UEFI ומתקינים אותם, כך שבאגים אלה בסופו של דבר חיים במחשבים קיימים לאורך זמן. וכמה יצרנים עדיין גורמים לך להתקין עדכוני קושחה עד אתחול ל- DOS ראשית - רק כדי להפוך את זה למורכב במיוחד.

מה אנשים עושים בקשר לזה

זה בלגן. אנו זקוקים לתהליך יעיל שבו יצרנים יכולים ליצור ביתר קלות עדכוני קושחה חדשים של UEFI. אנו זקוקים גם לתהליך טוב יותר לשחרור עדכונים אלה, כך שמשתמשים יוכלו להתקין אותם באופן אוטומטי במחשבי המחשב שלהם. כרגע התהליך איטי וידני - עליו להיות מהיר ואוטומטי.

זה מה שמיקרוסופט מנסה לעשות עם Project Mu. הנה איך תיעוד רשמי מסביר את זה:

מו בנוי סביב הרעיון שמשלוח ותחזוקה של מוצר UEFI הוא שיתוף פעולה מתמשך בין שותפים רבים. במשך זמן רב מדי התעשייה בנתה מוצרים תוך שימוש במודל "מזלג" בשילוב העתקה / הדבקה / שינוי שם ועם כל מוצר חדש נטל התחזוקה גדל לרמה כזו שעדכונים כמעט בלתי אפשריים בגלל עלות וסיכון.

Project Mu עוסק בסך הכל ביצרני מחשבים אישיים ליצור ולבדוק עדכוני UEFI מהר יותר על ידי ייעול תהליך הפיתוח של UEFI ועזרה לכולם לעבוד יחד. אני מקווה שזו החלק החסר, מכיוון שמיקרוסופט כבר הקלה על יצרני מחשבים אישיים לשלוח עדכוני קושחת UEFI שלהם למשתמשים באופן אוטומטי.

באופן ספציפי, מיקרוסופט מאפשרת ליצרני מחשבים אישיים הוציא עדכוני קושחה באמצעות Windows Update וסיפקה תיעוד בנושא זה לפחות משנת 2017. גם מיקרוסופט הודיעה עדכון קושחת רכיבים ; דגם קוד פתוח בו יכולים היצרנים להשתמש כדי לעדכן את UEFI וקושחה אחרת, עוד באוקטובר 2018. אם יצרני מחשבים אישיים יעלו על כך, הם יוכלו לספק עדכוני קושחה לכל משתמשיהם במהירות רבה.

גם זה לא רק דבר של Windows. מעבר ל- Linux, מפתחים מנסים להקל על יצרני מחשבים אישיים להנפיק עדכוני UEFI LVFS , שירות הקושחה של ספקית לינוקס. ספקי מחשבים אישיים יכולים להגיש את העדכונים שלהם, והם יופיעו להורדה ביישום תוכנת GNOME, המשמש באובונטו ובהפצות לינוקס רבות אחרות. מאמץ זה מתחיל בשנת 2015. יצרני מחשבים אוהבים דל ולנובו משתתפים.

פתרונות אלה עבור Windows ו- Linux משפיעים גם על יותר מעדכוני UEFI בלבד. יצרני חומרה יוכלו להשתמש בהם כדי לעדכן בעתיד הכל החל מקושחת עכבר USB ועד קושחת כונן מצב מוצק.

כפי ש SwiftOnSecurity שים זאת כשמדברים על בעיות עם קושחת כונן מצב מוצק והצפנה , עדכוני הקושחה יכולים להיות אמינים. עלינו לצפות טוב יותר מיצרני החומרה.

עדכוני קושחה יכולים להיות אמינים. יזמתי לפחות 3,000 עדכוני BIOS של Dell עם כשל אחד בלבד, והמחשב הישן הזה כבר היה בשירות בגין כשל.

תחשוב מחדש מה אתה חושב שאי אפשר. שירות קושחה אינו בלתי אפשרי או מסוכן. זה דורש שאנשים דורשים טוב יותר.

- SwiftOnSecurity (@SwiftOnSecurity) 6 בנובמבר 2018

אשראי תמונה: אינטל , נטשה אייבל , קובאיס /Shutterstock.com.