Kāpēc jūsu datora UEFI programmaparatūrai ir nepieciešami drošības atjauninājumi

Microsoft tikko paziņoja par projektu Mu, kas sola atbalstīt aparatūru kā firmware kā pakalpojumu. Katram datora ražotājam jāņem vērā. Datoriem ir nepieciešami UEFI programmaparatūras drošības atjauninājumi, un datoru ražotāji ir veikuši sliktu darbu, lai tos piegādātu.

Kas ir UEFI programmaparatūra?

Modernie datori izmanto UEFI programmaparatūru tradicionālās BIOS vietā. UEFI programmaparatūra ir zema līmeņa programmatūra, kas sākas, startējot datoru. Tā pārbauda un inicializē jūsu aparatūru, veic nelielu sistēmas konfigurāciju un pēc tam sāk operētājsistēmu no datora iekšējā diska vai citas sāknēšanas ierīces.

Tomēr UEFI ir nedaudz sarežģītāka nekā vecākā BIOS programmatūra. Piemēram, datoriem ar Intel procesoriem ir kaut kas sauc par Intel Management Engine, kas būtībā ir neliela operētājsistēma. Tas darbojas paralēli Windows, Linux vai jebkurai operētājsistēmai, ko izmantojat datorā. Korporatīvajos tīklos sistēmas administratori var izmantot Intel ME funkcijas, lai attālināti pārvaldītu savus datorus.

UEFI satur arī procesora „mikrokodu”, kas ir sava veida procesora programmaparatūra. Kad dators sāk strādāt, tas ielādē mikrokodu no UEFI programmaparatūras. Domājiet par to kā tulku, kas tulko programmatūras instrukcijas uz CPU veiktiem aparatūras norādījumiem.

Kāpēc UEFI programmaparatūrai ir nepieciešami drošības atjauninājumi

Daži pēdējie gadi ir parādījuši, kāpēc UEFI programmaparatūrai ir nepieciešami savlaicīgi drošības atjauninājumi.

Mēs visi uzzinājām par Spektu 2018. gadā, parādot nopietnas arhitektūras problēmas ar mūsdienu CPU. Problēmas ar kaut ko sauc par “spekulatīvo izpildi” nozīmē, ka programmas varēja izvairīties no standarta drošības ierobežojumiem un nolasīt drošas atmiņas zonas. Nosaka Specter nepieciešamos CPU mikrokoda atjauninājumus, lai tie darbotos pareizi. Tas nozīmē, ka PC ražotājiem bija jāatjaunina visi klēpjdatoru un galddatoru datori, un mātesplates ražotājiem bija jāatjaunina visas savas mātesplates ar jaunu UEFI programmaparatūru, kas satur atjaunināto mikrokodu. Jūsu dators nav pietiekami aizsargāts pret Specter, ja vien neesat instalējis UEFI programmaparatūras atjauninājumu. AMD arī izlaida mikrokoda atjauninājumus, lai aizsargātu sistēmas ar AMD procesoriem no Specter uzbrukumiem, tāpēc tas nav tikai Intel lieta.

Intel Management Engine ir redzējis dažas drošības kļūdas, kas varēja ļaut uzbrucējiem ar vietējo piekļuvi datoram sagraut Management Engine programmatūru vai ļaut uzbrucējam ar attālo piekļuvi radīt problēmas. Par laimi attālināti izmanto tikai tos uzņēmumus, kuri bija aktivizējuši Intel Active Management Technology (AMT), tāpēc vidējie patērētāji netika ietekmēti.

Šie ir tikai daži piemēri. Pētnieki ir arī pierādījuši, ka ir iespējams ļaunprātīgi izmantot UEFI programmaparatūru dažos datoros, izmantojot to, lai iegūtu dziļu piekļuvi sistēmai. Viņi pat ir parādījuši pastāvīgu ransomware, kas ieguva piekļuvi datora UEFI firmware un skrēja no turienes.

Nozarei ir jāatjaunina katra datora UEFI programmaparatūra tāpat kā jebkura cita programmatūra, lai palīdzētu aizsargāt pret šīm problēmām un līdzīgiem trūkumiem nākotnē.

Kā ir noticis atjaunināšanas process gadiem

BIOS atjaunināšanas process ir bijis neveiksmi, jo ilgi pirms UEFI. Tradicionāli datori, kas tiek piegādāti kopā ar šo vecās skolas BIOS un mazāk, var nepareizi. PC ražotāji var nosūtīt dažus BIOS atjauninājumus, lai novērstu nelielas problēmas, bet parastais ieteikums bija izvairīties no to instalēšanas, ja jūsu dators darbojas pareizi. Bieži jums vajadzēja bootēt no bootējama DOS diskdziņa, lai uzlādētu BIOS atjauninājumu, un ikviens dzirdēja stāstus par BIOS atjauninājumiem, ja datori ir bojāti un bricking, padarot tos neiespējamus.

Lietas ir mainījušās. UEFI programmaparatūra dara daudz vairāk, un pēdējos gados Intel ir izlaidis vairākus lielus atjauninājumus tādām lietām kā CPU mikrokods un Intel ME. Ikreiz, kad Intel izlaidīs šādu atjauninājumu, visi Intel var teikt, “jautājiet savam datora ražotājam.” Jūsu datora ražotāja vai mātesplates ražotājs, ja būvēsiet savu datoru, ir jāiegūst kods no Intel un jāintegrē jaunā UEFI programmaparatūrā versija. Tad viņiem ir jāpārbauda programmaparatūra. Ak, un katram ražotājam ir jāatkārto šis process katram atsevišķam personālajam datoram, ko tie pārdod, jo tiem visiem ir atšķirīga UEFI programmaparatūra. Tas ir tāds manuālais darbs, kas padara Android tālruņus tik grūti atjaunināt pagātnē.

Praksē tas nozīmē, ka, lai iegūtu kritiskus drošības atjauninājumus, kas jāpiegādā, izmantojot UEFI, bieži nepieciešams ilgs laiks - daudzi mēneši. Tas nozīmē, ka ražotāji var sarauties un atteikties atjaunināt tikai dažus gadus vecus datorus. Un, pat ja ražotāji izlaiž atjauninājumus, šie atjauninājumi bieži tiek apglabāti šajā ražotāja atbalsta vietnē. Lielākā daļa datoru lietotāju nekad neatradīs šos UEFI programmaparatūras atjauninājumus un tos instalēs, tāpēc šīs kļūdas ilgstoši dzīvo esošajos datoros. Un daži ražotāji joprojām liek jums instalēt programmaparatūras atjauninājumus, vispirms uzsākot DOS, lai padarītu to par sarežģītu.

Ko cilvēki dara par to

Tas ir haoss. Mums ir vajadzīgs racionalizēts process, kurā ražotāji var vieglāk izveidot jaunus UEFI programmaparatūras atjauninājumus. Mums ir vajadzīgs arī labāks process šo atjauninājumu izlaišanai, lai lietotāji varētu tos automātiski instalēt viņu datoros. Patlaban process ir lēns un manuāli tas ir ātri un automātiski.

Tas ir tas, ko Microsoft mēģina darīt ar projektu Mu. Lūk, kā oficiālā dokumentācija to izskaidro:

Mu ir veidots, balstoties uz ideju, ka UEFI produkta nosūtīšana un uzturēšana ir pastāvīga sadarbība starp daudziem partneriem. Pārāk ilgi nozare ir izstrādājusi produktus, izmantojot „dakšu” modeli, kas apvienots ar kopēšanu / ielīmēšanu / pārdēvēšanu, un ar katru jaunu produktu uzturēšanas slogs palielinās līdz tādam līmenim, ka atjauninājumi ir gandrīz neiespējami izmaksu un riska dēļ.

Projekta Mu mērķis ir palīdzēt datoru ražotājiem izveidot un pārbaudīt UEFI atjauninājumus ātrāk, racionalizējot UEFI izstrādes procesu un palīdzot visiem strādāt kopā. Cerams, ka tas ir trūkstošais gabals, jo Microsoft jau ir atvieglojusi datoru ražotājiem sūtīt savus UEFI programmaparatūras atjauninājumus lietotājiem automātiski.

Konkrētāk, Microsoft ļauj datoru ražotājiem izsniegt programmaparatūras atjauninājumus, izmantojot Windows atjauninājumu, un kopš tā laika ir nodrošinājusi dokumentāciju par to. Microsoft arī paziņoja par komponentu programmaparatūras atjauninājumu; atvērtā pirmkoda modeli, ko ražotāji var izmantot, lai atjauninātu UEFI un citus programmaparatūras darbus, sākot ar 2018. gada oktobri. Ja PC ražotāji to iekļūst, viņi var ātri piegādāt visu to lietotāju programmaparatūras atjauninājumus.

Tas nav tikai Windows lieta. Vairāk nekā Linux, izstrādātāji cenšas atvieglot datoru ražotājiem izdot UEFI atjauninājumus ar LVFS, Linux Vendor Firmware Service. PC pārdevēji var iesniegt savus atjauninājumus, un tie tiks parādīti lejupielādei GNOME lietojumprogrammā, ko izmanto Ubuntu un daudzos citos Linux izplatījumos. Šie centieni ir datēti ar 2015. gadu. Piedalās tādi datoru ražotāji kā Dell un Lenovo.

Šie Windows un Linux risinājumi ietekmē arī vairāk nekā tikai UEFI atjauninājumus. Aparatūras ražotāji varētu tos izmantot, lai nākotnē atjauninātu visu, sākot no USB peles programmaparatūras līdz cietā diska programmaparatūrai.

Tā kā SwiftOnSecurity to dara, runājot par cietā diska programmaparatūras un šifrēšanas problēmām, programmaparatūras atjauninājumi var būt uzticami. Mums ir jāgaida labāk no aparatūras ražotājiem.

Programmatūras atjauninājumi var būt uzticami. Esmu uzsācis vismaz 3000 Dell BIOS atjauninājumus tikai ar vienu neveiksmi, un šis vecais dators jau darbojās, lai to neizdotos.

Pārdomājiet, kas, jūsuprāt, nav iespējams. Programmatūras apkope nav neiespējama vai riskanta. Tas prasa labākus cilvēkus.

- SwiftOnSecurity (@SwiftOnSecurity) 2018. gada 6. novembris

Attēla kredīts: Intel, Natascha Eibl, kubais / Shutterstock.com.