Чому програмне забезпечення UEFI на комп'ютері потребує оновлення безпеки
Microsoft оприлюднила проект Mu, який обіцяє «прошивку як послугу» на підтримуваному апаратному забезпеченні. Кожен виробник ПК повинен звернути увагу. Комп'ютери потребують оновлення безпеки для вбудованого програмного забезпечення UEFI, а виробники комп'ютерів погано працювали над їх доставкою.
Що таке UEFI Firmware?
Сучасні ПК використовують прошивку UEFI замість традиційного BIOS. Прошивка UEFI - це програмне забезпечення низького рівня, яке запускається під час завантаження комп'ютера. Він перевіряє та ініціалізує ваше обладнання, виконує деяку низькорівневу конфігурацію системи, а потім завантажує операційну систему з внутрішнього диска вашого комп'ютера або іншого завантажувального пристрою.
Проте UEFI є трохи складнішим, ніж старе програмне забезпечення BIOS. Наприклад, комп'ютери з процесорами Intel мають те, що називається Intel Management Engine, що є в основному крихітною операційною системою. Він працює паралельно з Windows, Linux або будь-якою іншою операційною системою, з якою ви працюєте на вашому комп'ютері. У корпоративних мережах системні адміністратори можуть використовувати функції Intel ME для віддаленого керування комп'ютерами.
UEFI також містить «мікрокод» процесора, який є начебто прошивкою для вашого процесора. Коли комп'ютер завантажується, він завантажує мікрокод з прошивки UEFI. Подумайте про неї, як про інтерпретатора, який переводить інструкції програмного забезпечення до апаратних інструкцій, що виконуються на процесорі.
Чому UEFI Firmware потребує оновлення безпеки
Останні кілька років багато разів показали, чому прошивка UEFI потребує своєчасних оновлень безпеки.
Всі ми дізналися про Spectre у 2018 році, показавши серйозні архітектурні проблеми з сучасними процесорами. Проблеми з тим, що називається "спекулятивним виконанням", означали, що програми могли б уникнути стандартних обмежень безпеки і читати захищені області пам'яті. Виправлення до Spectre вимагали оновлення мікрокоду CPU, щоб правильно функціонувати. Це означає, що виробники ПК повинні були оновити всі свої ноутбуки і настільні ПК, і виробники материнських плат повинні були оновити всі свої материнські плати - з новими прошивками UEFI, що містять оновлений мікрокод. Ваш комп'ютер не захищений належним чином від Spectre, якщо ви не встановили оновлення прошивки UEFI. AMD також випустила оновлення мікрокоду для захисту систем з процесорами AMD від атак Spectre, так що це не просто річ Intel.
Інженерний менеджмент Intel бачив деякі помилки безпеки, які могли або дозволити зловмисникам з локальним доступом до комп'ютера зламати програмне забезпечення керування двигуном, або дозволити зловмиснику з віддаленим доступом викликати проблеми. На щастя, віддалені експлуатації торкнулися лише підприємств, які активували технологію Intel Active Management (AMT), тому середні споживачі не постраждали.
Це лише кілька прикладів. Дослідники також продемонстрували, що можна зловживати прошивкою UEFI на деяких ПК, використовуючи її для отримання глибокого доступу до системи. Вони навіть продемонстрували стійкий викуп, який отримав доступ до прошивки UEFI комп'ютера і запустився звідти.
Промисловість повинна оновлювати прошивку UEFI кожного комп'ютера так само, як і будь-яке інше програмне забезпечення для захисту від цих проблем і подібних недоліків у майбутньому.
Як процес оновлення був порушений протягом багатьох років
Процес оновлення BIOS був безладним назавжди - задовго до UEFI. Традиційно комп'ютери поставляються з BIOS старої школи, і менше може піти не так. Виробники комп'ютерів можуть відправити декілька оновлень BIOS, щоб виправити незначні проблеми, але звичайною порадою було уникнути їх встановлення, якщо ваш комп'ютер працював належним чином. Вам часто доводилося завантажуватися з завантажувального диска DOS, щоб запам'ятати оновлення BIOS, і всі чули історії про відмову в оновленні BIOS і виправлення комп'ютерів, роблячи їх незавантаженими.
Речі змінилися. Прошивка UEFI робить набагато більше, і Intel випустила кілька великих оновлень для таких речей, як процесорний мікрокод і Intel ME в останні кілька років. Всякий раз, коли Intel випускає таке оновлення, Intel може сказати «запитайте виробника комп'ютера». Виробник комп'ютера або виробник материнської плати, якщо ви створили свій власний комп'ютер, повинні взяти код від Intel і інтегрувати його в новий прошивку UEFI. версії. Потім вони повинні перевірити прошивку. Ох, і кожен виробник повинен повторити цей процес для кожного окремого ПК, який вони продають, оскільки всі вони мають різні прошивки UEFI. Це така ручна робота, яка зробила Android-телефони такими важкими для оновлення в минулому.
На практиці це означає, що для отримання критичних оновлень безпеки, які мають бути доставлені через UEFI, часто потрібно багато часу-багато місяців. Це означає, що виробники можуть знищити плечима і відмовитися від оновлення комп'ютерів, яким виповнилося лише кілька років. І навіть якщо виробники випускають оновлення, ці оновлення часто зберігаються на веб-сайті підтримки цього виробника. Більшість користувачів ПК ніколи не дізнаються, які оновлення прошивки UEFI існують і встановлюють їх, тому ці помилки в кінцевому підсумку живуть на існуючих ПК протягом тривалого часу. А деякі виробники все ще змушують встановлювати оновлення прошивки, завантаживши в першу чергу DOS - просто для того, щоб зробити її надзвичайно складною.
Що люди роблять про це
Це безлад. Нам потрібен спрощений процес, де виробники можуть легше створювати нові оновлення прошивки UEFI. Ми також потребуємо кращого процесу випуску цих оновлень, щоб користувачі могли автоматично встановлювати їх на свої комп'ютери. Зараз процес повільний і ручний - він повинен бути швидким і автоматичним.
Це те, що Microsoft намагається зробити з Project Mu. Ось як це пояснює офіційна документація:
Mu побудований на думці, що доставка і підтримка продукту UEFI є постійним співробітництвом між численними партнерами. Протягом довгого часу промисловість виробляла продукти, використовуючи модель "розгалуження" в поєднанні з копією / вставкою / перейменуванням, і з кожним новим продуктом навантаження на обслуговування зростає до такого рівня, що оновлення майже неможливе через вартість та ризик.
Проект Mu - це все, що допомагає виробникам ПК швидше створювати та тестувати оновлення UEFI, оптимізуючи процес розвитку UEFI та допомагаючи всім працювати разом. Ми сподіваємося, що це відсутній елемент, оскільки корпорація Майкрософт вже спростила для виробників ПК можливість автоматично надсилати оновлення прошивки UEFI користувачам..
Зокрема, корпорація Майкрософт дозволяє виробникам ПК випускати оновлення прошивки через Windows Update і надає документацію про це щонайменше 2017 року. Компанія Microsoft також оголосила про оновлення компонентного програмного забезпечення; модель з відкритим вихідним кодом, яку виробники можуть використовувати для оновлення UEFI та іншої прошивки, ще у жовтні 2018 року..
Це не просто річ Windows. На Linux, розробники намагаються полегшити для виробників ПК видавати UEFI оновлення з LVFS, Linux Vendor Firmware Service. Постачальники ПК можуть подавати свої оновлення, і вони з'являтимуться для завантаження в програмному застосунку GNOME, який використовується на Ubuntu і багатьох інших дистрибутивах Linux. Виробники ПК, такі як Dell і Lenovo, беруть участь.
Ці рішення для Windows і Linux також впливають на оновлення UEFI. Виробники апаратних засобів могли б використовувати їх для оновлення всього, від USB-прошивки миші до прошивки твердотільного диска в майбутньому.
Як кажуть SwiftOnSecurity, коли йдеться про проблеми з прошивкою твердотільного накопичувача і шифруванням, оновлення прошивки можуть бути надійними. Ми повинні краще чекати від виробників обладнання.
Оновлення програмного забезпечення можуть бути надійними. Я ініціював, принаймні, 3,000 оновлення Dell BIOS з однією помилкою, і що старий комп'ютер вже був в експлуатації для відмови.
Передумайте, що ви вважаєте неможливим. Обслуговування програмного забезпечення не є неможливим або ризикованим. Вона вимагає від людей вищого попиту.
- SwiftOnSecurity (@SwiftOnSecurity) 6 листопада 2018 року
Зображення: Intel, Natascha Eibl, kubais / Shutterstock.com.