Kodėl kompiuterio „UEFI“ programinės įrangos reikia saugumo naujinimų
„Microsoft“ ką tik paskelbė projektą „Mu“, perspektyvią „firmware kaip paslaugą“ palaikomoje aparatūroje. Kiekvienas kompiuterio gamintojas turėtų atkreipti dėmesį. Kompiuteriams reikalingi jų UEFI aparatinės įrangos saugumo atnaujinimai, o kompiuterių gamintojai atliko prastą darbą juos pristatydami.
Kas yra UEFI programinė įranga?
Šiuolaikiniai kompiuteriai naudoja UEFI programinę įrangą, o ne tradicinę BIOS. UEFI aparatinė programinė įranga yra žemo lygio programinė įranga, kuri pradedama paleisti kompiuterį. Jis tikrina ir inicijuoja jūsų aparatinę įrangą, atlieka tam tikrą žemo lygio sistemos konfigūraciją, o tada paleidžia operacinę sistemą iš kompiuterio vidinio įrenginio arba kito įkrovimo įrenginio.
Tačiau UEFI yra šiek tiek sudėtingesnė už senesnę BIOS programinę įrangą. Pavyzdžiui, kompiuteriuose su „Intel“ procesoriais yra kažkas vadinama „Intel Management Engine“, kuri iš esmės yra nedidelė operacinė sistema. Jis veikia lygiagrečiai su „Windows“, „Linux“ arba bet kokia operacine sistema, kurią naudojate kompiuteryje. Verslo tinkluose sistemos administratoriai gali naudoti „Intel ME“ funkcijas nuotoliniu būdu valdyti savo kompiuterius.
UEFI taip pat turi procesoriaus „mikrokodą“, kuris yra panašus į jūsų procesoriaus programinę įrangą. Kai kompiuteris įsijungia, jis įkrauna mikrokodą iš UEFI firmware. Pagalvokite, kaip vertėjas, kuris verčia programinės įrangos instrukcijas į procesoriuje atliktas technines instrukcijas.
Kodėl UEFI Firmware reikia saugos naujinimų
Per pastaruosius kelerius metus paaiškėjo, kodėl UEFI programinei įrangai reikia laiku atnaujinti saugos duomenis.
Mes visi sužinojome apie „Specter“ 2018 m., Rodydami rimtas architektūrines problemas su moderniais procesoriais. Problemos, susijusios su „spekuliaciniu vykdymu“, reiškė, kad programos galėjo išvengti standartinių saugumo apribojimų ir skaityti saugias atminties sritis. Spektro pataisymai reikalauja, kad procesoriaus mikrokodo atnaujinimai veiktų tinkamai. Tai reiškia, kad kompiuterių gamintojai turėjo atnaujinti visus savo nešiojamuosius ir stalinius kompiuterius, o pagrindinės plokštės gamintojai turėjo atnaujinti visas savo pagrindines plokštes su nauja UEFI firmware, turinčia atnaujintą mikrokodą. Jūsų kompiuteris nėra tinkamai apsaugotas nuo Specter, nebent įdiegėte UEFI firmware atnaujinimą. AMD taip pat išleido mikrokodų atnaujinimus, kad apsaugotų sistemas su „Spectre“ atakų AMD procesoriais, todėl tai nėra tik „Intel“ dalykas.
„Intel“ valdymo variklis pastebėjo kai kurias saugumo klaidas, kurios gali leisti atakuotojams, turintiems prieigą prie kompiuterio, įveikti „Management Engine“ programinę įrangą arba leisti užpuolikui, turinčiam nuotolinę prieigą, sukelti problemų. Laimei, nuotolinio išnaudojimo įmonės veikia tik „Intel Active Management Technology“ (AMT) įgalinusias įmones, todėl vidutinis vartotojas nebuvo paveiktas.
Tai tik keli pavyzdžiai. Mokslininkai taip pat parodė, kad kai kuriuose kompiuteriuose gali būti piktnaudžiaujama UEFI firmware, naudojant ją giliai prieigai prie sistemos. Jie netgi parodė nuolatinę „ransomware“, kuri pasiekė prieigą prie kompiuterio „UEFI“ programinės įrangos ir bėgo iš ten.
Pramonė turėtų atnaujinti kiekvieno kompiuterio UEFI programinę įrangą, kaip ir bet kurią kitą programinę įrangą, kad padėtų apsaugoti nuo šių problemų ir panašių trūkumų ateityje.
Kaip atnaujinimo procesas buvo nutrauktas už metus
BIOS atnaujinimo procesas buvo nepaprastai nepaprastai ilgas, nes seniai buvo naudojamas UEFI. Tradiciškai kompiuteriai, pristatyti su šia senosios mokyklos BIOS, ir mažiau gali būti klaidingi. Kompiuterių gamintojai gali išsiųsti keletą BIOS atnaujinimų, kad išspręstų nedideles problemas, tačiau įprastas patarimas buvo išvengti jų įdiegimo, jei jūsų kompiuteris veikė tinkamai. Dažnai turėjote paleisti iš įkrovos DOS diską, kad blykštumėte BIOS atnaujinimą, ir visi girdėjote apie BIOS atnaujinimus, kai kompiuteriai nepavyko atnaujinti, todėl jie tapo neįmanoma..
Viskas pasikeitė. „UEFI“ aparatinė programinė įranga daro daug daugiau, o „Intel“ per pastaruosius kelerius metus išleido keletą didelių atnaujinimų, pavyzdžiui, procesoriaus mikrokodas ir „Intel ME“. Kai „Intel“ išleidžia tokį naujinimą, visi „Intel“ gali pasakyti „paklauskite kompiuterio gamintojo“. Jūsų kompiuterio gamintojo ar pagrindinės plokštės gamintojas, jei pastatėte savo kompiuterį, turi paimti „Intel“ kodą ir integruoti jį į naują „UEFI“ firmware versija. Tada jie turi išbandyti programinę įrangą. O ir kiekvienas gamintojas turi pakartoti šį procesą kiekvienam asmeniniam kompiuteriui, kurį jie parduoda, nes jie visi turi skirtingą UEFI firmware. Tai toks rankinis darbas, dėl kurio „Android“ telefonai anksčiau buvo sunkiai atnaujinami.
Praktiškai tai reiškia, kad dažnai užtrunka ilgai - daug mėnesių - norint gauti svarbius saugumo naujinimus, kuriuos reikia pristatyti per UEFI. Tai reiškia, kad gamintojai gali susitraukti ir atsisakyti atnaujinti tik kelerių metų senumo kompiuterius. Ir netgi tais atvejais, kai gamintojai išleidžia atnaujinimus, šie atnaujinimai dažnai palaidojami to gamintojo palaikymo svetainėje. Dauguma kompiuterių vartotojų niekada neišsiaiškins šių UEFI programinės įrangos atnaujinimų ir juos įdiegs, todėl šios klaidos ilgą laiką gyvena esamuose kompiuteriuose. Ir kai kurie gamintojai vis dar verčia įdiegti programinės įrangos atnaujinimus įkeliant į „DOS“ pirmiausia, kad ji taptų sudėtingesnė.
Ką daro žmonės?
Tai netvarka. Mums reikalingas supaprastintas procesas, kuriame gamintojai gali lengviau kurti naujus UEFI programinės įrangos atnaujinimus. Mums taip pat reikia geresnio šių naujinimų išleidimo proceso, kad vartotojai galėtų juos automatiškai įdiegti į savo kompiuterius. Šiuo metu procesas yra lėtas ir rankiniu būdu turėtų būti greitas ir automatinis.
Štai ką „Microsoft“ bando daryti su „Mu“ projektu. Štai kaip tai paaiškina oficialus dokumentas:
„Mu“ yra sukurta remiantis idėja, kad UEFI produkto gabenimas ir priežiūra yra nuolatinis daugelio partnerių bendradarbiavimas. Per ilgai pramonė sukūrė produktus, naudodama „šakės“ modelį, kartu su kopijavimu / įklijuoti / pervardyti, o kiekvienam naujam produktui išlaikymo našta padidėja iki tokio lygio, kad atnaujinimai beveik neįmanomi dėl sąnaudų ir rizikos.
Projekto „Mu“ tikslas - padėti kompiuterių gamintojams greičiau kurti ir išbandyti UEFI atnaujinimus, supaprastinant UEFI kūrimo procesą ir padedant visiems dirbti kartu. Tikimės, kad tai yra trūkstamas gabalas, nes „Microsoft“ jau padėjo kompiuterių gamintojams automatiškai išsiųsti savo UEFI firmware naujinius.
Konkrečiai kalbant, „Microsoft“ leidžia kompiuterių gamintojams atnaujinti „firmware“ atnaujinimus „Windows Update“ ir pateikė dokumentaciją apie tai nuo 2017 m. „Microsoft“ taip pat paskelbė „Component Firmware Update“; atviro kodo modelis, kurį gamintojai gali naudoti atnaujindami UEFI ir kitas firmware, 2018 m. spalio mėn. Jei kompiuterių gamintojai su ja įsijungs, jie gali greitai atnaujinti programinės įrangos atnaujinimus visiems savo vartotojams.
Tai ne tik „Windows“ dalykas. Per „Linux“ kūrėjai stengiasi, kad kompiuterių gamintojams būtų lengviau išduoti UEFI naujinimus su „LVFS“, „Linux Vendor Firmware Service“. Kompiuterių pardavėjai gali pateikti atnaujinimus ir jie bus rodomi atsisiųsti GNOME programinės įrangos programoje, kuri naudojama Ubuntu ir daugelyje kitų Linux platinimo programų. Šios pastangos prasidėjo 2015 m. Dalyvauja kompiuterių gamintojai, pavyzdžiui, „Dell“ ir „Lenovo“.
Šie „Windows“ ir „Linux“ sprendimai taip pat turi įtakos ne tik UEFI naujiniams. Aparatūros gamintojai galėtų juos naudoti atnaujindami viską nuo USB pelės programinės įrangos iki kietojo disko įrenginio programinės įrangos ateityje.
„SwiftOnSecurity“, kai kalbama apie problemas, susijusias su kietojo disko programine įranga ir šifravimu, programinės įrangos atnaujinimai gali būti patikimi. Turime geriau tikėtis iš įrangos gamintojų.
Programinės įrangos atnaujinimai gali būti patikimi. Pradėjau ne mažiau kaip 3 000 „Dell BIOS“ atnaujinimų tik su vienu gedimu, ir tas senas kompiuteris jau buvo naudojamas, kad nesugebėtų.
Pakartokite, ką manote, kad neįmanoma. Programinės įrangos techninė priežiūra nėra neįmanoma ar rizikinga. Tam reikia geresnių žmonių poreikių.
- „SwiftOnSecurity“ (@SwiftOnSecurity) 2018 m. Lapkričio 6 d
Vaizdo kreditas: „Intel“, „Natascha Eibl“, „kubais / Shutterstock.com“.