Microsoft tocmai a anunțat Proiect Mu , promițând „firmware ca serviciu” pe hardware-ul acceptat. Fiecare producător de PC-uri ar trebui să ia notă. PC-urile au nevoie de actualizări de securitate pentru firmware-ul UEFI, iar producătorii de PC-uri nu au reușit să le livreze.
Ce este firmware-ul UEFI?
Utilizează computerele moderne Firmware UEFI în loc de un tradițional BIOS . Firmware-ul UEFI este software-ul de nivel scăzut care pornește când porniți computerul. Acesta testează și inițializează hardware-ul dvs., face unele configurații de sistem de nivel scăzut și apoi pornește un sistem de operare de pe unitatea internă a computerului Dispozitiv de pornire .
Cu toate acestea, UEFI este puțin mai complicat decât software-ul mai vechi BIOS. De exemplu, computerele cu procesoare Intel au ceva numit Intel Management Engine , care este practic un mic sistem de operare. Acesta rulează în paralel cu Windows, Linux sau orice alt sistem de operare pe care îl rulați pe computer. În rețelele corporative, administratorii de sistem pot utiliza funcții din Intel ME pentru a-și gestiona computerele de la distanță.
UEFI conține și procesor „ microcod ”, Care este un fel de firmware pentru procesorul dvs. Când computerul pornește, acesta încarcă microcod din firmware-ul UEFI. Gândiți-vă la el ca la un interpret care traduce instrucțiunile software în instrucțiuni hardware efectuate pe CPU.
LEGATE DE: Ce este UEFI și în ce este diferit de BIOS?
De ce firmware-ul UEFI are nevoie de actualizări de securitate
Ultimii ani au arătat mereu de ce firmware-ul UEFI are nevoie de actualizări de securitate în timp util.
Cu toții am aflat despre Spectru în 2018, arătând problemele arhitecturale grave cu procesoarele moderne. Problemele cu ceva numit „execuție speculativă” au însemnat că programele ar putea scăpa de restricțiile standard de securitate și ar putea citi zone securizate ale memoriei. Remedieri la Spectre actualizări necesare de microcod CPU să funcționeze corect. Aceasta înseamnă că producătorii de PC-uri au trebuit să-și actualizeze toate laptopurile și computerele desktop - iar producătorii de plăci de bază au trebuit să-și actualizeze toate plăcile de bază - cu un nou firmware UEFI care conține microcodul actualizat. PC-ul dvs. nu este protejat în mod adecvat împotriva Specter decât dacă ați instalat o actualizare de firmware UEFI. AMD a lansat, de asemenea, actualizări de microcoduri pentru a proteja sistemele cu procesoare AMD de atacurile Spectre, deci acest lucru nu este doar un lucru Intel.
Motorul de management Intel a văzut unele bug-uri de securitate care ar putea permite atacatorilor cu acces local la computer să spargă software-ul Management Engine, sau să permită unui atacator cu acces la distanță să provoace probleme. Din fericire, exploatările de la distanță au afectat doar companiile care au activat Intel Active Management Technology (AMT), astfel încât consumatorii medii nu au fost afectați.
Acestea sunt doar câteva exemple. Cercetătorii au demonstrat, de asemenea, că este posibil să se abuzeze de firmware-ul UEFI pe unele PC-uri, folosindu-l pentru a obține acces profund la sistem. Au demonstrat chiar ransomware persistent care a obținut acces la firmware-ul UEFI al unui computer și a rulat de acolo.
Industria ar trebui să actualizeze firmware-ul UEFI al fiecărui computer la fel ca orice alt software pentru a vă proteja împotriva acestor probleme și defecte similare în viitor.
LEGATE DE: Cum să verificați dacă computerul sau telefonul dvs. este protejat împotriva topirii și a spectrului
Cum a fost întrerupt procesul de actualizare de ani de zile
Procesul de actualizare BIOS a fost o mizerie pentru totdeauna - cu mult înainte de UEFI. În mod tradițional, computerele livrate cu BIOS-ul vechi și mai puține ar putea merge prost. Producătorii de PC-uri ar putea livra câțiva Actualizări BIOS pentru a remedia problemele minore, dar sfatul obișnuit era să evitați instalarea acestora dacă computerul dvs. funcționa corect. Trebuia adesea să porniți de pe o unitate DOS bootabilă pentru a bloca actualizarea BIOS și toată lumea a auzit povești despre actualizările BIOS care au eșuat și care au blocat computerele, făcându-le nepovoritoare.
Lucrurile s-au schimbat. Firmware-ul UEFI face mult mai mult, iar Intel a lansat în ultimii ani câteva actualizări importante la lucruri precum microcodul CPU și Intel ME. Ori de câte ori Intel lansează o astfel de actualizare, tot ce poate face Intel este să spună „întrebați producătorul computerului”. Producătorul computerului dvs. sau producătorul plăcii de bază, dacă ați construit propriul computer, trebuie să preia codul de la Intel și să îl integreze într-o nouă versiune de firmware UEFI. Apoi trebuie să testeze firmware-ul. Oh, și fiecare producător trebuie să repete acest proces pentru fiecare computer individual pe care îl vând, deoarece toți au firmware UEFI diferit. Este genul de lucru manual care a făcut Telefoane Android atât de dificil de actualizat în trecut.
În practică, acest lucru înseamnă că durează adesea mult timp - multe luni - pentru a obține actualizări de securitate critice care trebuie livrate prin UEFI. Înseamnă că producătorii ar putea să ridice din umeri și să refuze să actualizeze computerele care au doar câțiva ani. Și, chiar și atunci când producătorii lansează actualizări, aceste actualizări sunt adesea îngropate pe site-ul web de asistență al producătorului respectiv. Majoritatea utilizatorilor de PC-uri nu vor descoperi niciodată că actualizările de firmware UEFI există și le vor instala, astfel încât aceste bug-uri ajung să trăiască mult timp pe computerele existente. Și unii producători încă vă fac să instalați actualizări de firmware până la pornirea în DOS mai întâi - doar ca să fie mai complicat.
Ce fac oamenii despre asta
E o mizerie. Avem nevoie de un proces simplificat, în care producătorii pot crea mai ușor noi actualizări de firmware UEFI. De asemenea, avem nevoie de un proces mai bun pentru lansarea acestor actualizări, astfel încât utilizatorii să le poată instala automat pe computerele lor. În acest moment procesul este lent și manual - ar trebui să fie rapid și automat.
Asta încearcă Microsoft să facă cu Project Mu. Iată cum documentație oficială o explică:
Mu se bazează pe ideea că livrarea și întreținerea unui produs UEFI este o colaborare continuă între numeroși parteneri. De prea mult timp industria a construit produse folosind un model de „furcare” combinat cu copiere / lipire / redenumire și cu fiecare produs nou sarcina de întreținere crește la un nivel atât de mare încât actualizările sunt aproape imposibile din cauza costurilor și riscurilor.
Project Mu se referă la a ajuta producătorii de PC-uri să creeze și să testeze actualizările UEFI mai rapid prin simplificarea procesului de dezvoltare UEFI și ajutarea tuturor să lucreze împreună. Sperăm că aceasta este piesa care lipsește, deoarece Microsoft a făcut deja mai ușor pentru producătorii de PC-uri să trimită automat actualizările firmware UEFI utilizatorilor.
Mai exact, Microsoft permite producătorilor de PC-uri emite actualizări de firmware prin Windows Update și a furnizat documentație cu privire la aceasta cel puțin din 2017. De asemenea, Microsoft a anunțat Actualizare firmware componentă ; un model open-source pe care producătorii îl pot utiliza pentru actualizarea UEFI și a altor firmware-uri, în octombrie 2018. Dacă producătorii de PC-uri intră în acest sistem, ar putea livra actualizări de firmware către toți utilizatorii lor foarte repede.
Nici acesta nu este doar un lucru Windows. În Linux, dezvoltatorii încearcă să faciliteze producătorii de PC-uri să emită actualizări UEFI cu LVFS , Serviciul de firmware pentru furnizorii de Linux. Furnizorii de PC-uri își pot trimite actualizările și vor apărea pentru descărcare în aplicația software GNOME, care este utilizată pe Ubuntu și multe alte distribuții Linux. Acest efort datează din 2015. Producătorilor de PC-uri le place Dell și Lenovo participă.
Aceste soluții pentru Windows și Linux afectează mai mult decât doar actualizările UEFI. Producătorii de hardware le-ar putea folosi pentru a actualiza totul, de la firmware-ul mouse-ului USB la firmware-ul unității în stare solidă în viitor.
La fel de SwiftOnSecurity pune-l când vorbești despre probleme cu firmware-ul unității SSD și criptare , actualizările de firmware pot fi fiabile. Trebuie să ne așteptăm mai bine de la producătorii de hardware.
Actualizările de firmware pot fi fiabile. Am inițiat cel puțin 3.000 de actualizări ale BIOS-ului Dell cu o singură defecțiune și acel vechi computer era deja în funcțiune pentru eșec.
Gândiți-vă din nou ceea ce credeți că este imposibil. Întreținerea firmware-ului nu este imposibilă sau riscantă. Este nevoie ca oamenii să solicite mai bine.
- SwiftOnSecurity (@SwiftOnSecurity) 6 noiembrie 2018
Credit de imagine: Intel , Natascha Eibl , kubais /Shutterstock.com.
