Защо вашият компютър се нуждае от актуализации на защитата
Microsoft току-що обяви проект Mu, обещавайки „фърмуер като услуга“ на поддържания хардуер. Всеки производител на компютър трябва да вземе под внимание. Компютрите се нуждаят от актуализации на защитата на фърмуера на UEFI, а производителите на компютри не са успели да ги доставят.
Какво представлява UEFI Firmware?
Съвременните компютри използват фърмуера на UEFI вместо традиционния BIOS. UEFI фърмуерът е софтуерът от ниско ниво, който се стартира, когато стартирате компютъра. Той тества и инициализира хардуера ви, прави конфигурация на ниско ниво и след това стартира операционна система от вътрешното устройство на компютъра или от друго устройство за зареждане.
Въпреки това UEFI е малко по-сложно от по-стария софтуер на BIOS. Например, компютрите с Intel процесори имат нещо, наречено Intel Management Engine, което е основно малка операционна система. Тя работи паралелно с Windows, Linux или каквато и да е операционна система, която работите на компютъра. В корпоративните мрежи системните администратори могат да използват функциите на Intel ME за дистанционно управление на компютрите си.
UEFI също така съдържа микрокод на процесора, което е нещо като фърмуер за вашия процесор. Когато компютърът се стартира, той зарежда микрокод от фърмуера на UEFI. Помислете за това като интерпретатор, който превежда софтуерни инструкции към хардуерни инструкции, изпълнявани на процесора.
Защо UEFI Firmware има нужда от актуализации на защитата
Последните няколко години показваха отново и отново защо фърмуерът на UEFI се нуждае от своевременни актуализации на защитата.
Всички научихме за Spectre през 2018 г., показвайки сериозните архитектурни проблеми с модерните процесори. Проблемите с нещо, наречено "спекулативно изпълнение", означават, че програмите могат да избегнат стандартни ограничения за сигурност и да прочетат защитени зони на паметта. Поправя към Spectre изисква CPU микрокод актуализации, за да функционира правилно. Това означава, че производителите на компютри трябваше да актуализират всичките си лаптопи и настолни компютри - и производителите на дънни платки трябваше да актуализират всичките си дънни платки - с нов фърмуер на UEFI, съдържащ актуализирания микрокод. Вашият компютър не е достатъчно защитен срещу Spectre, освен ако не сте инсталирали актуализация на фърмуера на UEFI. AMD също пуснаха микрокод обновления за защита на системите с AMD процесори от Spectre атаки, така че това не е просто нещо Intel.
Intel's Management Engine е видял някои грешки в сигурността, които могат или да позволят на нападателите с локален достъп до компютъра да разбият софтуера за управление на двигателя, или да позволят на атакуващия с отдалечен достъп да създаде проблеми. За щастие, отдалечените експлойти са засегнали само фирми, които са активирали технологията Intel Active Management (AMT), така че средните потребители не са били засегнати.
Това са само няколко примера. Изследователите също показаха, че е възможно да се злоупотреби с фърмуера на UEFI на някои компютри, като се използва за получаване на дълбок достъп до системата. Дори демонстрираха постоянния рансъмуер, който се сдоби с достъп до фърмуера на UEFI на компютъра и стартира оттам.
Индустрията трябва да актуализира фърмуера на UEFI на всеки компютър, както всеки друг софтуер, за да помогне за защита срещу тези проблеми и подобни недостатъци в бъдеще.
Как процесът на актуализация е счупен от години
Процесът на обновяване на BIOS е завинаги бърз - от дълго време преди UEFI. Традиционно компютрите се доставят с тази стария BIOS и по-малко може да се объркат. Производителите на компютри могат да доставят няколко актуализации на BIOS, за да разрешат малки проблеми, но обичайният съвет е да се избегне инсталирането им, ако компютърът ви работи правилно. Често трябваше да стартирате от стартиращ DOS диск, за да пробвате актуализацията на BIOS, и всички чуха истории за провалените актуализации на BIOS и блокиране на компютри, правейки ги неподлежащи на стартиране.
Нещата се промениха. UEFI фърмуерът прави много повече и Intel пусна няколко големи обновявания на неща като микрокода на процесора и Intel ME през последните няколко години. Всеки път, когато Intel пусне подобна актуализация, Intel може да каже „попитайте производителя на компютъра си. версия. След това те трябва да тестват фърмуера. О, и всеки производител трябва да повтори този процес за всеки отделен компютър, който продава, тъй като всички те имат различен фърмуер на UEFI. Това е вид ръчна работа, която направи андроид телефони толкова трудно да се актуализират в миналото.
На практика това означава, че често отнема много време-месеци, за да получите критични актуализации на защитата, които трябва да бъдат доставени чрез UEFI. Това означава, че производителите могат да отхвърлят и отказват да актуализират компютри, които са само на няколко години. Дори когато производителите пускат актуализации, тези актуализации често се погребват на уебсайта за поддръжка на този производител. Повечето потребители на PC никога няма да открият тези актуализации на фърмуера на UEFI и да ги инсталират, така че тези грешки в крайна сметка живеят в съществуващи компютри за дълго време. Някои производители все още ви карат да инсталирате актуализации на фърмуера, като първо стартирате DOS - просто за да го направите допълнително сложно.
Какво правят хората за това
Това е бъркотия. Нуждаем се от опростен процес, при който производителите могат по-лесно да създават нови актуализации на фърмуера на UEFI. Също така се нуждаем от по-добър процес за освобождаване на тези актуализации, така че потребителите да могат да ги инсталират автоматично на компютрите си. В момента процесът е бавен и ръчен - трябва да е бърз и автоматичен.
Това е, което Microsoft се опитва да направи с Project Mu. Ето как обяснява официалната документация:
Mu е изградена около идеята, че доставката и поддържането на UEFI продукт е непрекъснато сътрудничество между многобройни партньори. Твърде дълго промишлеността е изградила продукти, използвайки модел на "разклоняване", комбиниран с копиране / поставяне / преименуване и с всеки нов продукт тежестта на поддръжката нараства до такова ниво, че актуализациите са почти невъзможни поради разходи и риск.
Проект Mu цели да помогне на производителите на компютри да създават и тестват актуализациите на UEFI по-бързо, като рационализират процеса на разработване на UEFI и помагат на всички да работят заедно. Надяваме се, че това е липсващата част, тъй като Microsoft вече е улеснило производителите на компютри да изпращат автоматично актуализации на фърмуера на UEFI на потребителите..
По-конкретно, Microsoft позволява на производителите на компютри да актуализират фърмуера чрез Windows Update и са предоставили документация за това поне от 2017 г. Microsoft обяви и актуализацията на фърмуера на компоненти; модел с отворен код, който производителите могат да използват, за да актуализират UEFI и други фърмуери през октомври 2018 г..
Това също не е просто нещо за Windows. Над Linux разработчиците се опитват да улеснят производителите на компютри да издават актуализации на UEFI с LVFS, Linux Vendor Firmware Service. Производителите на персонални компютри могат да изпращат своите актуализации и те ще се появят за изтегляне в софтуерното приложение GNOME, което се използва в Ubuntu и много други дистрибуции на Linux. Тези усилия датират от 2015 г. Участват производители на компютри като Dell и Lenovo.
Тези решения за Windows и Linux засягат повече от актуализациите на UEFI. Производителите на хардуер могат да ги използват, за да актуализират всичко, от фърмуера на USB мишка до фърмуера на твърдия диск в бъдеще.
Както SwiftOnSecurity говореше за проблемите с фърмуера и шифроването на твърдия диск, актуализациите на фърмуера могат да бъдат надеждни. Трябва да очакваме по-добре от производителите на хардуер.
Актуализациите на фърмуера могат да бъдат надеждни. Инициирал съм поне 3 000 актуализации на Dell BIOS само с един неуспех и този стар компютър вече е в експлоатация за провал.
Премислете какво мислите, че е невъзможно. Обслужването на фърмуера не е невъзможно или рисковано. Това изисква хората да искат по-добре.
- SwiftOnSecurity (@SwiftOnSecurity) 6 ноември 2018 г.
Кредит за изображения: Intel, Natascha Eibl, kubais / Shutterstock.com.