Microsoft щойно оголосила Проект Mu , обіцяючи «прошивку як послугу» на підтримуваному обладнанні. Кожен виробник ПК повинен взяти до відома. ПК потребують оновлення безпеки для своєї прошивки UEFI, і виробники ПК погано працювали над їх доставкою.
Що таке прошивка UEFI?
Використання сучасних ПК Прошивка UEFI замість традиційного BIOS . Прошивка UEFI - це програмне забезпечення низького рівня, яке запускається під час завантаження ПК. Він перевіряє та ініціалізує ваше обладнання, виконує деякі низькорівневі конфігурації системи, а потім завантажує операційну систему з внутрішнього диска вашого комп'ютера або іншого завантажувальний пристрій .
Однак UEFI трохи складніше, ніж старе програмне забезпечення BIOS. Наприклад, комп'ютери з процесорами Intel мають щось, що називається Механізм управління Intel , яка в основному є крихітною операційною системою. Він працює паралельно з Windows, Linux або будь-якою операційною системою, яку ви використовуєте на своєму комп'ютері. У корпоративних мережах системні адміністратори можуть використовувати функції Intel ME для віддаленого управління своїми комп’ютерами.
UEFI також містить процесор “ мікрокод , ”Яка є подібною до прошивки для вашого процесора. Коли ваш комп'ютер завантажується, він завантажує мікрокод із прошивки UEFI. Подумайте про це як про інтерпретатор, який переводить інструкції програмного забезпечення до апаратних інструкцій, що виконуються на центральному процесорі.
ПОВ'ЯЗАНІ: Що таке UEFI і чим він відрізняється від BIOS?
Чому прошивка UEFI потребує оновлення безпеки
Останні кілька років знову і знову показують, чому прошивка UEFI потребує своєчасного оновлення безпеки.
Ми всі дізналися про Спектр у 2018 році, демонструючи серйозні архітектурні проблеми з сучасними процесорами. Проблеми з чимось, що називається "спекулятивним виконанням", означали, що програми можуть уникнути стандартних обмежень безпеки та читати захищені ділянки пам'яті. Виправлення привидів необхідні оновлення мікрокоду процесора правильно функціонувати. Це означає, що виробники ПК мали оновити всі свої ноутбуки та настільні ПК - а виробники материнських плат - всі свої материнські плати - новою прошивкою UEFI, що містить оновлений мікрокод. Ваш ПК не захищений належним чином від Spectre, якщо ви не встановили оновлення мікропрограми UEFI. AMD також випустив оновлення мікрокоду для захисту систем з процесорами AMD від атак Spectre, тож це не просто річ Intel.
Механізм управління Intel бачив деякі помилки безпеки що може або дозволити зловмисникам з локальним доступом до комп’ютера зламати програмне забезпечення Management Engine, або зловмиснику з віддаленим доступом спричинити проблеми. На щастя, віддалене використання експлуатувало лише ті компанії, які увімкнули технологію Intel Active Management Technology (AMT), тому пересічні споживачі на це не вплинули.
Це лише кілька прикладів. Дослідники також продемонстрували, що на деяких ПК можна зловживати прошивкою UEFI, використовуючи її для отримання глибокого доступу до системи. Вони навіть продемонстрували стійкі програми-вимагателі який отримав доступ до програмного забезпечення UEFI комп’ютера і побіг звідти.
Галузь повинна оновлювати вбудоване програмне забезпечення UEFI кожного комп’ютера, як і будь-яке інше програмне забезпечення, щоб у майбутньому захистити від цих проблем та подібних вад.
ПОВ'ЯЗАНІ: Як перевірити, чи захищений ваш ПК чи телефон від розплавлення та примари
Як процес оновлення роками ламався
Процес оновлення BIOS був безлад назавжди - ще задовго до UEFI. Традиційно комп’ютери постачаються із цим старішим шкільним BIOS, і менше може піти не так. Виробники ПК можуть поставляти декілька Оновлення BIOS щоб виправити незначні проблеми, але звичайною порадою було уникайте їх встановлення якщо ваш ПК працював належним чином. Вам часто доводилося завантажуватися з завантажувального накопичувача DOS, щоб прошивати оновлення BIOS, і всі чули розповіді про те, що оновлення BIOS виходили з ладу та обробляли ПК, роблячи їх неможливими для завантаження.
Справа змінилася. Прошивка UEFI робить набагато більше, і Intel випустила кілька великих оновлень таких речей, як мікрокод процесора та Intel ME за останні кілька років. Щоразу, коли Intel випускає таке оновлення, все, що Intel може зробити, це сказати “запитати у виробника комп’ютера”. Виробник вашого комп'ютера - або виробник материнської плати, якщо ви створили власний ПК - повинен взяти код від Intel і інтегрувати його в нову версію прошивки UEFI. Потім вони повинні протестувати прошивку. О, і кожен виробник повинен повторити цей процес для кожного окремого ПК, який вони продають, оскільки всі вони мають різну прошивку UEFI. Це така ручна робота, яка зробила Телефони Android так складно оновити в минулому.
На практиці це означає, що часто потрібно багато часу - багато місяців - для отримання критичних оновлень безпеки, які повинні надходити через UEFI. Це означає, що виробники можуть знизати плечима і відмовитись оновлювати ПК, яким лише кілька років. Навіть коли виробники випускають оновлення, ці оновлення часто поховані на веб-сайті підтримки цього виробника. Більшість користувачів ПК ніколи не виявлять, що існують такі оновлення мікропрограми UEFI, і встановлюють їх, тому ці помилки в кінцевому підсумку живуть на існуючих ПК протягом тривалого часу. А деякі виробники все ще змушують встановлювати оновлення мікропрограми до завантаження в DOS по-перше - просто для того, щоб ускладнити.
Що люди роблять з цим
Це безлад. Нам потрібен спрощений процес, коли виробники можуть легше створювати нові оновлення мікропрограми UEFI. Нам також потрібен кращий процес випуску цих оновлень, щоб користувачі могли автоматично встановлювати їх на свої ПК. Зараз цей процес повільний та ручний - він повинен бути швидким та автоматичним.
Це те, що Microsoft намагається зробити з Project Mu. Ось як офіційна документація пояснює це:
Му побудований навколо ідеї, що доставка та обслуговування продукту UEFI є постійною співпрацею між численними партнерами. Занадто довго промисловість створювала продукцію з використанням моделі “розгалуження” у поєднанні з копіюванням / вставленням / перейменуванням, і з кожним новим продуктом навантаження на обслуговування зростає до такого рівня, що оновлення майже неможливе через вартість та ризик.
Project Mu - це все, щоб допомогти виробникам ПК швидше створювати та тестувати оновлення UEFI, впорядковуючи процес розробки UEFI та допомагаючи всім працювати разом. Сподіваємось, цього не вистачає, оскільки Microsoft вже спростила виробникам ПК автоматичне надсилання оновлень мікропрограми UEFI користувачам.
Зокрема, Microsoft дозволяє виробникам ПК видавати оновлення мікропрограми через Центр оновлення Windows і надає документацію щодо цього принаймні з 2017 року. Microsoft також оголосила Оновлення мікропрограмного забезпечення компонентів ; модель з відкритим вихідним кодом, яку виробники можуть використовувати для оновлення UEFI та інших прошивок ще в жовтні 2018 року. Якщо виробники ПК приймуть це на озброєння, вони можуть дуже швидко доставити оновлення вбудованого програмного забезпечення для всіх своїх користувачів.
Це також не просто річ для Windows. Понад Linux, розробники намагаються полегшити виробникам ПК видачу оновлень UEFI LVFS , Служба прошивки постачальника Linux. Постачальники ПК можуть подавати свої оновлення, і вони з’являтимуться для завантаження у програмі GNOME Software, яка використовується в Ubuntu та багатьох інших дистрибутивах Linux. Ці зусилля починаються з 2015 року. Подобається виробникам ПК Dell та Lenovo беруть участь.
Ці рішення для Windows та Linux впливають не лише на оновлення UEFI. Виробники обладнання в майбутньому можуть використовувати їх для оновлення всього - від прошивки USB-миші до прошивки твердотільного накопичувача.
Як SwiftOnSecurity ставимо це, коли говоримо про проблеми з прошивкою твердотільного накопичувача та шифруванням , оновлення мікропрограми можуть бути надійними. Треба чекати кращого від виробників обладнання.
Оновлення мікропрограми може бути надійним. Я ініціював щонайменше 3000 оновлень BIOS Dell лише з однією помилкою, і цей старий ПК вже працював через несправність.
Переосмислити те, що, на вашу думку, неможливо. Обслуговування прошивки не є неможливим або ризикованим. Це вимагає, щоб люди вимагали кращого.
- SwiftOnSecurity (@SwiftOnSecurity) 6 листопада 2018 року
Кредит зображення: Intel , Натаща Ейбл , кубайс /Shutterstock.com.
