Úvodná » ako » Prečo firmvér UEFI potrebuje aktualizácie zabezpečenia

    Prečo firmvér UEFI potrebuje aktualizácie zabezpečenia

    Microsoft práve oznámil projekt Mu, sľubujúci "firmware ako službu" na podporovanom hardvéri. Každý výrobca počítača by mal vziať na vedomie. Počítače potrebujú bezpečnostné aktualizácie pre ich firmvér UEFI a výrobcovia počítačov urobili zlú prácu pri ich dodávke.

    Čo je firmvér UEFI?

    Moderné počítače používajú firmvér UEFI namiesto tradičného systému BIOS. Firmvér UEFI je softvér na nízkej úrovni, ktorý sa spúšťa pri štarte počítača. Testuje a inicializuje váš hardvér, vykonáva nejaké nízke konfigurácie systému a potom zavádza operačný systém z internej jednotky počítača alebo iného zavádzacieho zariadenia.

    Avšak UEFI je trochu zložitejšia ako starší BIOS softvér. Napríklad počítače s procesormi Intel majú niečo nazývané Intel Management Engine, čo je v podstate malý operačný systém. Beží paralelne s operačným systémom Windows, Linuxom alebo akýmkoľvek iným operačným systémom, ktorý používate vo svojom počítači. V podnikových sieťach môžu administrátori systému používať funkcie Intel ME na vzdialené spravovanie svojich počítačov.

    UEFI tiež obsahuje procesor "microcode", ktorý je trochu ako firmvér pre váš procesor. Po zavedení počítača načíta mikrokódu z firmvéru UEFI. Premýšľajte o tom ako s tlmočníkom, ktorý prekladá softvérové ​​pokyny do hardvérových pokynov vykonaných na procesore.

    Prečo UEFI Firmware potrebuje aktualizácie zabezpečenia

    Posledné roky ukázali, prečo firmvér UEFI potrebuje aktuálne aktualizácie zabezpečenia.

    Všetci sme sa dozvedeli o Spectre v roku 2018, čo ukazuje vážne architektonické problémy s modernými CPU. Problémy s niečím nazývaným "špekulatívne spustenie" znamenali, že programy môžu uniknúť štandardným bezpečnostným obmedzeniam a čítať bezpečné oblasti pamäte. Opravy pre Spectre vyžadujú správne fungovanie aktualizácií mikrokód CPU. To znamená, že výrobcovia počítačov museli aktualizovať všetky svoje prenosné a stolové počítače - a výrobcovia základných dosiek museli aktualizovať všetky svoje základné dosky - novým firmvérom UEFI obsahujúcim aktualizovaný mikrokód. Váš počítač nie je adekvátne chránený proti Spectre, ak nemáte nainštalovanú aktualizáciu firmvéru UEFI. AMD tiež vydala aktualizácie mikrokódu na ochranu systémov s procesormi AMD od útokov Spectre, takže to nie je len vec Intel.

    Intel Management Engine zaznamenal niekoľko bezpečnostných chýb, ktoré by mohli buď umožniť útočníkom s lokálnym prístupom k počítaču, aby spustili softvér Management Engine, alebo nechali útočníka so vzdialeným prístupom spôsobiť problémy. Našťastie, vzdialené využíva iba postihnuté podniky, ktoré umožnili technológiu Intel Active Management Technology (AMT), takže priemerní spotrebitelia neboli ovplyvnení.

    Toto sú len niektoré príklady. Výskumníci tiež preukázali, že je možné zneužiť firmvér UEFI na niektorých počítačoch a používať ho na získanie hlbokého prístupu k systému. Dokázali dokonca pretrvávajúci ransomware, ktorý získal prístup k počítačovému firmvéru UEFI a odtiaľ šiel.

    Odvetvie by malo aktualizovať firmvér UEFI každého počítača rovnako ako každý iný softvér, ktorý pomôže chrániť pred týmito problémami a podobnými nedostatkami v budúcnosti.

    Ako bol proces aktualizácie prerušený po celé roky

    Proces aktualizácie systému BIOS bol už dávno neporiadok - už dávno pred UEFI. Tradične boli počítače dodávané so starým systémom BIOS a menej by sa mohlo pokaziť. Výrobcovia počítačov môžu odoslať niekoľko aktualizácií systému BIOS na odstránenie menších problémov, ale zvyčajnou radou bolo zabrániť ich inštalácii, ak vaše PC fungovalo správne. Často ste museli zavádzať z bootovacej jednotky DOS, aby ste zablokovali aktualizáciu systému BIOS a všetci počuli príbehy o aktualizáciách systému BIOS, ktoré zlyhali a brúsili počítače a robili ich unbootable.

    Veci sa zmenili. Firmvér UEFI robí oveľa viac a spoločnosť Intel vydala v posledných niekoľkých rokoch niekoľko veľkých aktualizácií, ako napríklad mikrokód CPU a Intel ME. Vždy, keď spoločnosť Intel uverejní túto aktualizáciu, všetko, čo spoločnosť Intel dokáže, je povedať "spýtajte sa vášho výrobcu počítača". Výrobca počítača alebo výrobca dosky, ak ste si vytvorili vlastný počítač, musí prevziať kód od spoločnosti Intel a integrovať ho do nového firmvéru UEFI verzia. Potom musia testovať firmvér. A každý výrobca musí tento proces zopakovať pre každý počítač, ktorý predávajú, pretože všetci majú iný UEFI firmware. Je to druh manuálnej práce, ktorá spôsobila, že telefóny so systémom Android sa v minulosti ťažko aktualizovali.

    V praxi to znamená, že často trvá dlhý čas - mnoho mesiacov - na získanie kritických aktualizácií zabezpečenia, ktoré musia byť dodané prostredníctvom UEFI. Znamená to, že výrobcovia môžu pokrčiť ramená a odmietnuť aktualizáciu počítačov, ktoré sú len pár rokov staré. A dokonca aj keď výrobcovia uvoľňujú aktualizácie, tieto aktualizácie sú často ukryté na webovej lokalite podpory daného výrobcu. Väčšina používateľov PC nikdy nenájde, že existujú aktualizácie firmvéru UEFI a inštalujú ich, takže tieto chyby nakoniec žijú na už existujúcich počítačoch už dlhú dobu. Niektorí výrobcovia vás ešte stále nainštalujú firmvérovými aktualizáciami zavedením do systému DOS - len preto, aby boli komplikované.

    Čo ľudia robia o tom

    To je neporiadok. Potrebujeme zjednodušený proces, v ktorom by výrobcovia mohli ľahšie vytvoriť nové aktualizácie firmvéru UEFI. Tiež potrebujeme lepší proces na uvoľnenie týchto aktualizácií, aby ich užívatelia mohli automaticky nainštalovať do svojich počítačov. Práve teraz je proces pomalý a manuálny - mal by byť rýchly a automatický.

    To je to, čo sa spoločnosť Microsoft snaží urobiť s projektom Mu. Tu je vysvetlenie oficiálnej dokumentácie:

    Mu je postavený na myšlienke, že doprava a údržba produktu UEFI je pokračujúcou spoluprácou medzi mnohými partnermi. Príliš dlho priemysel postavil produkty pomocou modelu "forking" v kombinácii s kopírovaním / vložením / premenovaním a pri každom novom produkte bremeno údržby narastá na takú úroveň, že aktualizácie sú takmer nemožné z dôvodu nákladov a rizika.

    Projekt Mu má za cieľ pomôcť výrobcom počítačov rýchlejšie vytvárať a testovať aktualizácie UEFI, a to zjednodušením rozvojového procesu UEFI a pomáhať všetkým spolupracovať. Dúfajme, že toto je chýbajúci kus, keďže spoločnosť Microsoft už uľahčila výrobcom počítačov, aby používateľom automaticky posielali aktualizácie firmvéru UEFI.

    Konkrétne spoločnosť Microsoft umožňuje výrobcom počítačov vydávať aktualizácie firmvéru prostredníctvom služby Windows Update a odvtedy poskytla dokumentáciu od roku 2017. Spoločnosť Microsoft tiež oznámila aktualizáciu firmvéru komponentov; open-source model, ktorý môžu výrobcovia použiť na aktualizáciu UEFI a ďalšieho firmvéru, už v októbri 2018. Ak sa výrobcovia počítačov dostanú na palubu, môžu veľmi rýchlo doručiť aktualizácie firmvéru všetkým svojim používateľom.

    Nie je to len vec Windows. V rámci systému Linux sa vývojári snažia uľahčiť výrobcom počítačov vydávanie aktualizácií UEFI pomocou služby LVFS, Linux Firmware Service. Dodávatelia počítačov môžu odosielať svoje aktualizácie a objavia sa na stiahnutie v softvérovej aplikácii GNOME, ktorá sa používa na Ubuntu a mnohých iných distribuciách Linuxu. Toto úsilie sa datuje do roku 2015. Zúčastňujú sa výrobcovia počítačov ako Dell a Lenovo.

    Tieto riešenia pre systém Windows a Linux ovplyvňujú viac ako len aktualizácie UEFI. Výrobcovia hardvéru by ich mohli v budúcnosti aktualizovať od firmware myši USB po pevný disk.

    Ako hovoril spoločnosť SwiftOnSecurity, keď hovorila o problémoch s pevným stavom firmvéru a šifrovaním, aktualizácie firmvéru môžu byť spoľahlivé. Musíme lepšie očakávať od výrobcov hardvéru.

    Aktualizácie firmvéru môžu byť spoľahlivé. Začal som aspoň 3 000 aktualizácií systému Dell BIOS s jediným zlyhaním a ten starý počítač bol už v prevádzke kvôli zlyhaniu.

    Premyslite si to, čo si myslíte, že je nemožné. Servis firmvéru nie je nemožný alebo riskantný. To vyžaduje, aby ľudia požadovali lepšie.

    - SwiftOnSecurity (@SwiftOnSecurity) 6. novembra 2018

    Obrazový kredit: Intel, Natascha Eibl, kubais / Shutterstock.com.