Zakaj potrebujete posodobitve strojne programske opreme UEFI
Microsoft je pravkar napovedal projekt Mu, ki obljublja "firmware kot storitev" na podprti strojni opremi. Vsak proizvajalec računalnika mora upoštevati. Računalniki potrebujejo varnostne posodobitve za strojno programsko opremo UEFI, proizvajalci osebnih računalnikov pa so jih opravili slabo.
Kaj je UEFI Firmware?
Sodobni računalniki uporabljajo UEFI firmware namesto tradicionalnega BIOS-a. Firmware UEFI je programska oprema nizke ravni, ki se zažene ob zagonu računalnika. Preizkuša in inicializira vašo strojno opremo, izvaja nizko konfiguracijo sistema in nato zažene operacijski sistem iz notranjega pogona računalnika ali druge zagonske naprave..
Vendar pa je UEFI malo bolj zapleten kot starejša programska oprema za BIOS. Na primer, računalniki z procesorji Intel imajo nekaj, kar se imenuje Intel Management Engine, ki je v bistvu majhen operacijski sistem. Deluje vzporedno z operacijskim sistemom Windows, Linux ali katerimkoli drugim operacijskim sistemom, ki ga uporabljate v računalniku. V korporativnih omrežjih lahko sistemski skrbniki uporabljajo funkcije v Intel ME za oddaljeno upravljanje svojih računalnikov.
UEFI vsebuje tudi "mikrokodo" procesorja, ki je kot strojna programska oprema za vaš procesor. Ko se računalnik zažene, naloži mikrokodo iz strojno-programske opreme UEFI. Razmislite o tem kot o tolmaču, ki prevaja navodila za programsko opremo v navodila za strojno opremo, ki se izvajajo na CPU.
Zakaj UEFI Firmware potrebuje varnostne posodobitve
Zadnjih nekaj let se je vedno znova prikazalo, zakaj UEFI firmware potrebuje pravočasne varnostne posodobitve.
Vsi smo se za Spectre seznanili leta 2018, pri čemer smo pokazali resne arhitekturne težave s sodobnimi procesorji. Težave z nečim, kar se imenuje »špekulativno izvajanje«, so pomenile, da bi se programi lahko izognili standardnim varnostnim omejitvam in prebrali varna območja pomnilnika. Popravki za Spectre zahtevajo posodobitve mikrokodov CPU za pravilno delovanje. To pomeni, da so morali proizvajalci računalnikov posodobiti vse svoje prenosne in namizne računalnike, proizvajalci matičnih plošč pa so morali posodobiti vse svoje matične plošče z novo firmware UEFI, ki vsebuje posodobljeno mikrokodo. Vaš računalnik ni ustrezno zaščiten pred Spectrom, razen če ste namestili posodobitev strojne programske opreme UEFI. AMD je prav tako izdal posodobitve mikrokodov za zaščito sistemov z AMD-jevimi procesorji iz napadov Spectre, tako da to ni samo Intelova stvar.
Intelov upravljalni mehanizem je videl nekatere varnostne napake, ki bi napadalcem z lokalnim dostopom do računalnika lahko pustile, da bi zlomile programsko opremo za upravljanje, ali pa bi napadalcu z oddaljenim dostopom povzročil težave. Na srečo so se na daljavo izkoriščala le podjetja, ki so omogočila tehnologijo Intel Active Management (AMT), tako da povprečni potrošniki niso bili prizadeti..
To je le nekaj primerov. Raziskovalci so tudi pokazali, da je mogoče na nekaterih osebnih računalnikih zlorabiti firmware UEFI, ki ga uporablja za pridobitev globljega dostopa do sistema. Predstavili so celo trajno ransomware, ki je pridobil dostop do strojne programske opreme UEFI za računalnik in od tam tekel.
Industrija bi morala posodabljati strojno opremo UEFI za vsak računalnik, tako kot vse druge programske opreme, da bi zaščitila ta problem in podobne napake v prihodnosti..
Kako je bil postopek posodobitve zlomljen za več let
Postopek posodabljanja BIOS-a je bil večno nered, saj je bil dolgo pred UEFI. Običajno so bili računalniki opremljeni s tistim starejšim šolskim BIOS-om. Proizvajalci osebnih računalnikov lahko pošljejo nekaj posodobitev BIOS-a, da odpravijo manjše težave, vendar je običajen nasvet, da se izognete namestitvi, če vaš računalnik deluje pravilno. Pogosto ste se morali zagnati z zagonskega pogona DOS, da bi posodobili posodobitev BIOS-a, in vsi so slišali zgodbe o napakah pri posodobitvah BIOS-a in o tem, da so bili računalniki v računalniku, zaradi česar jih ni mogoče zagnati.
Stvari so se spremenile. Firmware UEFI naredi veliko več in Intel je v zadnjih nekaj letih izdal več velikih posodobitev za stvari, kot so mikrokode CPE in Intel ME. Vedno, ko Intel sprosti tako posodobitev, lahko Intel reče »vprašajte proizvajalca računalnika«. Proizvajalec računalnika ali proizvajalec matične plošče, če ste zgradili svoj računalnik, mora kodo od Intela in jo vključiti v novo firmware UEFI. različica. Nato morajo testirati firmware. Oh, in vsak proizvajalec mora ta postopek ponoviti za vsak posamezen računalnik, ki ga prodaja, saj imajo vsi različno firmware UEFI. To je ročno delo, ki je Android telefone tako težko posodabljalo v preteklosti.
V praksi to pomeni, da pogosto traja veliko časa - več mesecev - za pridobitev kritičnih varnostnih posodobitev, ki jih je treba dostaviti prek UEFI. To pomeni, da bi proizvajalci lahko skomignili z roko in zavrnili posodobitev osebnih računalnikov, ki so stara le nekaj let. Tudi ko proizvajalci izdajo posodobitve, so te posodobitve pogosto zakopane na spletnem mestu za podporo proizvajalca. Večina uporabnikov osebnih računalnikov ne bo nikoli odkrila teh posodobitev strojne programske opreme UEFI in jih namestila, tako da te napake dolgo živijo v obstoječih osebnih računalnikih. Nekateri proizvajalci pa še vedno zahtevajo, da najprej namestite posodobitve za strojno programsko opremo, tako da se najprej zaženete v DOS - samo zato, da bo to še bolj zapleteno.
Kaj ljudje počnejo o tem
To je nered. Potrebujemo poenostavljen postopek, kjer bodo proizvajalci lažje ustvarili nove posodobitve strojne programske opreme UEFI. Potrebujemo tudi boljši postopek za objavo teh posodobitev, tako da jih lahko uporabniki samodejno namestijo na svoje osebne računalnike. Zdaj je postopek počasen in ročen - hitro in samodejno.
To je tisto, kar Microsoft poskuša narediti s projektom Mu. V uradni dokumentaciji je pojasnjeno:
Mu je zasnovan na ideji, da je pošiljanje in vzdrževanje izdelka UEFI stalno sodelovanje med številnimi partnerji. Predolgo je industrija zgradila izdelke z uporabo modela "forking" v kombinaciji s kopiranjem / lepljenjem / preimenovanjem in z vsakim novim izdelkom se vzdrževalna obremenitev poveča na takšno raven, da so posodobitve zaradi stroškov in tveganja skoraj nemogoče..
Projekt Mu pomaga pri izdelavi in testiranju posodobitev UEFI hitreje z racionalizacijo procesa razvoja UEFI in pomaga vsem sodelovati. Upajmo, da je to manjkajoči del, saj je Microsoft že omogočil proizvajalcem osebnih računalnikov, da avtomatsko pošljejo posodobitve strojne programske opreme UEFI uporabnikom samodejno..
Microsoft namreč proizvajalcem računalnikov omogoča, da posodobitve vdelane programske opreme izdajo prek storitve Windows Update, in o tem od leta 2017 zagotavlja dokumentacijo. Microsoft je prav tako objavil posodobitev programske opreme za komponente; Odprtokodni model, ki ga proizvajalci lahko uporabljajo za posodobitev UEFI in drugih firmware-jev, oktobra 2018. Če proizvajalci osebnih računalnikov dobijo to možnost, lahko zelo hitro posredujejo posodobitve strojne programske opreme vsem svojim uporabnikom..
Tudi to ni samo stvar Windows. V Linuxu razvijalci poskušajo proizvajalcem osebnih računalnikov olajšati izdajanje posodobitev UEFI z LVFS, storitvijo strojne programske opreme za dobavitelje Linuxa. Proizvajalci osebnih računalnikov lahko predložijo svoje posodobitve, ki jih bodo prenesli v programsko opremo GNOME, ki se uporablja na Ubuntuju in številnih drugih distribucijah Linuxa. Ta prizadevanja segajo v leto 2015. Sodelujejo proizvajalci osebnih računalnikov, kot sta Dell in Lenovo.
Te rešitve za Windows in Linux vplivajo tudi na več kot le posodobitve UEFI. Proizvajalci strojne opreme bi jih lahko uporabili za posodobitev vsega, od vdelane programske opreme miške USB do vdelane programske opreme pogona SSD.
Kot je povedal SwiftOnSecurity, ko govorimo o težavah z vdelano programsko opremo pogona SSD in šifriranjem, so posodobitve vdelane programske opreme lahko zanesljive. Od proizvajalcev strojne opreme moramo bolje pričakovati.
Posodobitve vdelane programske opreme so lahko zanesljive. Začel sem vsaj 3.000 posodobitev BIOS-a z enim neuspehom in ta stari računalnik je že bil v uporabi, ker ni uspel.
Ponovno premislite, kaj mislite, da je nemogoče. Vzdrževanje strojne programske opreme ni nemogoče ali tvegano. Zahteva boljše povpraševanje ljudi.
- SwiftOnSecurity (@SwiftOnSecurity) 6. november 2018
Zasluge za slike: Intel, Natascha Eibl, kubais / Shutterstock.com.