Microsoft właśnie ogłosił, że Projekt Mu jest obiecujący„Oprogramowanie układowe jako usługa” na obsługiwanym sprzęcie. Każdy producent komputerów powinien wziąć to pod uwagę. Komputery PC wymagają aktualizacji zabezpieczeń w oprogramowaniu układowym UEFI, a producenci komputerów źle sobie z tym poradzili.
Co to jest oprogramowanie układowe UEFI?
Nowoczesne komputery PC używają oprogramowania układowego UEFI zamiasttradycyjny BIOS. Oprogramowanie układowe UEFI to oprogramowanie niskiego poziomu, które uruchamia się po uruchomieniu komputera. Testuje i inicjuje sprzęt, przeprowadza niskopoziomową konfigurację systemu, a następnie uruchamia system operacyjny z wewnętrznego dysku komputera lub innego urządzenia rozruchowego.
Jednak UEFI jest nieco bardziej skomplikowany niżstarsze oprogramowanie BIOS. Na przykład komputery z procesorami Intel mają coś o nazwie Intel Management Engine, który jest w zasadzie małym systemem operacyjnym. Działa równolegle z systemem Windows, Linux lub dowolnym systemem operacyjnym uruchomionym na komputerze. W sieciach korporacyjnych administratorzy systemu mogą używać funkcji Intel ME do zdalnego zarządzania swoimi komputerami.
UEFI zawiera także „mikrokod” procesora, któryjest swego rodzaju oprogramowaniem układowym dla twojego procesora. Po uruchomieniu komputera ładuje mikrokod z oprogramowania układowego UEFI. Pomyśl o tym jak o tłumaczu, który tłumaczy instrukcje oprogramowania na instrukcje sprzętowe wykonywane na CPU.
ZWIĄZANE Z: Co to jest UEFI i czym różni się od BIOS-u?
Dlaczego oprogramowanie układowe UEFI wymaga aktualizacji zabezpieczeń
Ostatnie lata pokazały, dlaczego oprogramowanie układowe UEFI potrzebuje aktualnych aktualizacji zabezpieczeń.
Wszyscy dowiedzieliśmy się o Spectre w 2018 roku, pokazującpoważne problemy architektoniczne z nowoczesnymi procesorami. Problemy z czymś, co nazywa się „wykonywaniem spekulacyjnym”, oznaczało, że programy mogły uniknąć standardowych ograniczeń bezpieczeństwa i odczytać bezpieczne obszary pamięci. Poprawki wymagane do poprawnego działania mikrokodu procesora przez Spectre. Oznacza to, że producenci komputerów musieli zaktualizować wszystkie swoje laptopy i komputery stacjonarne - a producenci płyt głównych musieli zaktualizować wszystkie swoje płyty główne - nowym oprogramowaniem układowym UEFI zawierającym zaktualizowany mikrokod. Twój komputer nie będzie odpowiednio chroniony przed Spectre, chyba że zainstalujesz aktualizację oprogramowania układowego UEFI. AMD wydało również aktualizacje mikrokodu, aby chronić systemy z procesorami AMD przed atakami Spectre, więc nie jest to tylko sprawa Intela.
Silnik zarządzania firmy Intel ma pewne zabezpieczeniabłędy, które mogą pozwolić atakującym mającym lokalny dostęp do komputera złamać oprogramowanie silnika zarządzania lub pozwolić atakującemu ze zdalnym dostępem powodować problemy. Na szczęście zdalne exploity dotyczyły tylko firm, które włączyły technologię Intel Active Management Technology (AMT), więc nie dotyczyło to przeciętnych konsumentów.
To tylko kilka przykładów. Badacze wykazali również, że można nadużywać oprogramowania układowego UEFI na niektórych komputerach, wykorzystując go do uzyskania głębokiego dostępu do systemu. Pokazali nawet trwałe oprogramowanie ransomware, które uzyskało dostęp do oprogramowania układowego UEFI komputera i uruchomiło się z tego miejsca.
Branża powinna aktualizować oprogramowanie wewnętrzne UEFI każdego komputera, tak jak każde inne oprogramowanie, aby chronić się przed tymi problemami i podobnymi wadami w przyszłości.
ZWIĄZANE Z: Jak sprawdzić, czy Twój komputer lub telefon jest zabezpieczony przed załamaniem i widmem
Jak proces aktualizacji był zepsuty przez lata
Proces aktualizacji systemu BIOS był bałaganemna zawsze - na długo przed UEFI. Tradycyjnie komputery dostarczane były ze staromodnym systemem BIOS, a mniej mogło się nie udać. Producenci komputerów mogą wysłać kilka aktualizacji systemu BIOS, aby rozwiązać drobne problemy, ale zwykle zaleca się unikanie ich instalowania, jeśli komputer działa poprawnie. Często trzeba było uruchamiać system z rozruchowego napędu DOS, aby sflashować aktualizację BIOS-u, i wszyscy słyszeli historie o awariach aktualizacji BIOS-u i blokowaniu komputerów, co uniemożliwiało ich uruchomienie.
Rzeczy się zmieniły. Oprogramowanie układowe UEFI robi znacznie więcej, a Intel wydał kilka dużych aktualizacji takich rzeczy, jak mikrokod procesora i Intel ME w ciągu ostatnich kilku lat. Ilekroć Intel wypuszcza taką aktualizację, wszystko, co może zrobić, to powiedzieć „zapytaj producenta komputera”. Producent komputera lub producent płyty głównej, jeśli zbudowałeś własny komputer, musi pobrać kod od Intela i zintegrować go z nowym oprogramowaniem UEFI wersja. Następnie muszą przetestować oprogramowanie wewnętrzne. Aha, i każdy producent musi powtórzyć ten proces dla każdego sprzedawanego komputera, ponieważ wszyscy mają inne oprogramowanie układowe UEFI. To rodzaj pracy ręcznej, który w przeszłości powodował trudności z aktualizacją telefonów z Androidem.
W praktyce oznacza to, że często zajmuje to dużo czasuczas - wiele miesięcy - na uzyskanie krytycznych aktualizacji bezpieczeństwa, które muszą być dostarczone za pośrednictwem UEFI. Oznacza to, że producenci mogą wzruszyć ramionami i odmówić aktualizacji komputerów, które mają zaledwie kilka lat. I nawet gdy producenci publikują aktualizacje, aktualizacje te są często chowane w witrynie pomocy technicznej tego producenta. Większość użytkowników komputerów PC nigdy nie odkryje, że istnieją aktualizacje oprogramowania układowego UEFI i nie zainstalują ich, więc błędy te trwają długo na istniejących komputerach. Niektórzy producenci nadal instalują aktualizacje oprogramowania układowego, uruchamiając najpierw system DOS - tylko po to, aby było to bardziej skomplikowane.
Co ludzie robią w tej sprawie
To jest bałagan. Potrzebujemy usprawnionego procesu, w którym producenci mogą łatwiej tworzyć nowe aktualizacje oprogramowania układowego UEFI. Potrzebujemy również lepszego procesu udostępniania tych aktualizacji, aby użytkownicy mogli automatycznie zainstalować je na swoich komputerach. W tej chwili proces jest powolny i ręczny - powinien być szybki i automatyczny.
Właśnie to Microsoft próbuje zrobić z Project Mu. Oto jak wyjaśnia to oficjalna dokumentacja:
Mu opiera się na idei, że wysyłka iutrzymanie produktu UEFI to ciągła współpraca między licznymi partnerami. Zbyt długo przemysł budował produkty przy użyciu modelu „rozwidlenia” w połączeniu z kopiowaniem / wklejaniem / zmianą nazwy, a wraz z każdym nowym produktem obciążenie związane z utrzymaniem rośnie do takiego poziomu, że aktualizacje są prawie niemożliwe z powodu kosztów i ryzyka.
Projekt Mu ma na celu pomoc producentom komputerówszybciej twórz i testuj aktualizacje UEFI, usprawniając proces rozwoju UEFI i pomagając wszystkim współpracować. Mamy nadzieję, że jest to brakujący element, ponieważ Microsoft już ułatwił producentom komputerów automatyczne wysyłanie aktualizacji oprogramowania układowego UEFI do użytkowników.
W szczególności Microsoft pozwala producentom komputerówwydawać aktualizacje oprogramowania układowego za pośrednictwem usługi Windows Update i dostarczać dokumentację na ten temat co najmniej od 2017 r. Microsoft ogłosił także aktualizację oprogramowania układowego składników; model open source, którego producenci mogą używać do aktualizacji UEFI i innego oprogramowania układowego, jeszcze w październiku 2018 r. Jeśli producenci komputerów PC wezmą w tym udział, mogą bardzo szybko dostarczyć aktualizacje oprogramowania układowego wszystkim użytkownikom.
To nie jest tylko kwestia Windows. W przypadku systemu Linux programiści starają się ułatwić producentom komputerów PC wydawanie aktualizacji UEFI za pomocą LVFS, usługi oprogramowania układowego dostawcy systemu Linux. Dostawcy komputerów PC mogą przesyłać swoje aktualizacje, a pojawią się do pobrania w aplikacji GNOME Software, która jest używana w Ubuntu i wielu innych dystrybucjach Linuksa. Ten wysiłek sięga 2015 roku. Uczestniczą w nim producenci komputerów, tacy jak Dell i Lenovo.
Te rozwiązania dla systemów Windows i Linux mają większy wpływniż tylko aktualizacje UEFI. Producenci sprzętu mogą za ich pomocą aktualizować w przyszłości wszystko, od oprogramowania układowego myszy USB po oprogramowanie układowe na dyskach SSD.
Jak ujął to SwiftOnSecurity, mówiąc o problemach z oprogramowaniem układowym i szyfrowaniem dysku SSD, aktualizacje oprogramowania układowego mogą być niezawodne. Musimy spodziewać się lepiej od producentów sprzętu.
Aktualizacje oprogramowania układowego mogą być niezawodne. Zainicjowałem co najmniej 3000 aktualizacji systemu BIOS firmy Dell z tylko jedną awarią, a ten stary komputer był już w użyciu z powodu awarii.
Zastanów się, co uważasz za niemożliwe. Serwisowanie oprogramowania układowego nie jest niemożliwe ani ryzykowne. Wymaga to, by ludzie żądali lepiej.
- SwiftOnSecurity (@SwiftOnSecurity) 6 listopada 2018 r
