Зашто вашем рачунару УЕФИ фирмвер треба безбедносне исправке

Мицрософт је управо најавио Пројецт Му, обећавајући “фирмваре као сервис” на подржаном хардверу. Сваки произвођач рачунара треба да узме у обзир. Рачунари требају безбедносне исправке за УЕФИ фирмваре, а произвођачи рачунара су лоше обавили испоруку.

Шта је УЕФИ Фирмваре?

Модерни рачунари користе УЕФИ фирмваре уместо традиционалног БИОС-а. УЕФИ фирмвер је софтвер ниског нивоа који се покреће приликом покретања рачунара. Тестира и иницира ваш хардвер, извршава неке системске конфигурације ниског нивоа, а затим покреће оперативни систем са унутрашњег уређаја рачунара или другог уређаја за покретање.

Међутим, УЕФИ је мало компликованији од старог БИОС софтвера. На пример, рачунари са Интеловим процесорима имају нешто што се зове Интел Манагемент Енгине, што је у основи мали оперативни систем. Покреће се паралелно са оперативним системом Виндовс, Линук или било којим оперативним системом који користите на рачунару. У корпоративним мрежама, администратори система могу да користе функције у Интел МЕ да даљински управљају својим рачунарима.

УЕФИ такође садржи “микрокод” процесора, што је врста фирмвера за ваш процесор. Када се рачунар покрене, учитава микрокод из УЕФИ фирмвера. Размислите о томе као о преводиоцу који преводи софтверске инструкције у хардверске инструкције извршене на ЦПУ-у.

Зашто УЕФИ Фирмваре треба сигурносна ажурирања

Последњих неколико година стално се показивало зашто је УЕФИ фирмваре-у потребно правовремено ажурирање безбедности.

Сви смо за Спецтре сазнали 2018. године, показујући озбиљне архитектонске проблеме са модерним процесорима. Проблеми са нечим што се назива "спекулативно извршење" значило је да програми могу да избегну стандардна безбедносна ограничења и да читају безбедна подручја меморије. Исправке за Спецтре захтевају исправно ажурирање ЦПУ микрокодова. То значи да произвођачи рачунара морају да ажурирају све своје лаптоп и десктоп рачунаре - а произвођачи матичних плоча су морали да ажурирају све своје матичне плоче - са новим УЕФИ фирмваре-ом који садржи ажурирани микрокод. Ваш рачунар није адекватно заштићен од Спецтре-а осим ако нисте инсталирали ажурирање фирмвера за УЕФИ. АМД је такође издао мицроцоде упдате за заштиту система са АМД процесорима из Спецтре напада, тако да ово није само Интелова ствар.

Интелов управљачки механизам је видео неке безбедносне грешке које су или дозволиле нападачима са локалним приступом компјутеру да разбије софтвер за управљање машинама, или да дозволи да нападач са даљинским приступом изазове проблеме. Срећом, даљински експлоатирају се само на компаније које су омогућиле Интел Ацтиве Манагемент технологију (АМТ), тако да просечни потрошачи нису били погођени.

Ово су само неки примери. Истраживачи су такође показали да постоји могућност злоупотребе УЕФИ фирмвера на неким рачунарима, користећи га за добијање дубоког приступа систему. Чак су демонстрирали упорни рансомваре који је добио приступ УЕФИ фирмваре-у и покренуо одатле.

Индустрија би требало да ажурира УЕФИ фирмваре сваког рачунара као и сваки други софтвер како би се заштитили од ових проблема и сличних недостатака у будућности.

Како је процес ажурирања био прекинут годинама

Процес ажурирања БИОС-а је заувек био неред - још од пре УЕФИ. Традиционално, рачунари се испоручују са старим школским БИОС-ом, а мање би могло да крене наопако. Произвођачи рачунара могу да испоруче неколико БИОС-а за поправку мањих проблема, али уобичајени савет је био да их избегавате ако ваш рачунар ради исправно. Често сте морали да покренете систем са ДОС-а за покретање да бисте ажурирали БИОС, и сви су чули приче о неуспелим ажурирањима БИОС-а и уклањању рачунара, што их чини необновљивим.

Ствари су се промениле. УЕФИ фирмваре чини много више, а Интел је објавио неколико великих надоградњи за ствари као што је ЦПУ микрокод и Интел МЕ у посљедњих неколико година. Кад год Интел издаје такву исправку, све што Интел може да уради је да каже „питајте произвођача рачунара.“ Произвођач рачунара или произвођач матичне плоче, ако сте направили свој ПЦ, мора узети код од Интела и интегрирати га у нови УЕФИ фирмваре версион. Затим морају тестирати фирмвер. Ох, и сваки произвођач мора да понови овај процес за сваки појединачни ПЦ који продају, пошто сви они имају различите УЕФИ фирмваре. То је врста ручног рада која је учинила Андроид телефоне тако тешким за ажурирање у прошлости.

У пракси, то значи да је често потребно много времена - да би се добиле критичне сигурносне исправке које се морају испоручити путем УЕФИ-ја. То значи да произвођачи могу слегнути раменима и одбити да ажурирају рачунаре који су стари само неколико година. Чак и када произвођачи објаве ажурирања, та ажурирања се често закопавају на веб-локацији подршке произвођача. Већина корисника рачунара никада неће открити да постоје ажурирања УЕФИ фирмваре-а и да их инсталирају, тако да ове грешке на крају дуго живе у постојећим рачунарима. Неки произвођачи још увек вас обавезују да инсталирате ажурирања фирмвера тако што ћете прво ући у ДОС - само да би били додатно компликовани.

Шта људи раде о томе

То је неред. Потребан нам је поједностављен процес у којем произвођачи лакше креирају нове УЕФИ фирмваре ажурирања. Такође нам је потребан бољи процес за објављивање тих исправки, тако да их корисници могу аутоматски инсталирати на своје рачунаре. Тренутно је процес спор и мануелан - требао би бити брз и аутоматски.

То је оно што Мицрософт покушава да уради са Пројектом Му. Ево како то објашњава службена документација:

Му је заснован на идеји да је испорука и одржавање УЕФИ производа стална сарадња између бројних партнера. Индустрија је предуго производила производе користећи "форкинг" модел у комбинацији са цопи / пасте / преименовањем и са сваким новим производом оптерећење одржавања расте на такав ниво да су надоградње скоро немогуће због трошкова и ризика.

Пројект Му је све о томе да помогне произвођачима рачунара да брже креирају и тестирају ажурирања УЕФИ-ја тако што ће убрзати процес развоја УЕФИ-ја и помоћи свима да раде заједно. Надајмо се да је ово део који недостаје, јер је Мицрософт већ омогућио произвођачима рачунара да аутоматски шаљу ажурирања фирмвера за УЕФИ корисницима..

Конкретно, Мицрософт дозвољава произвођачима рачунара да издају ажурирања фирмвера преко Виндовс Упдате-а и да је доставио документацију о томе од најмање 2017. Мицрософт је такође најавио ажурирање компонентног фирмвера; модел отвореног кода који произвођачи могу користити за ажурирање УЕФИ-ја и других фирмваре-а, још у октобру 2018. Ако произвођачи рачунара постану укључени у ово, могли би врло брзо испоручити ажурирања фирмвера свим својим корисницима..

Ово није само Виндовс ствар. Преко Линук-а, програмери покушавају да олакшају произвођачима рачунара да издају УЕФИ ажурирања са ЛВФС, Линук фирмваре сервисом добављача. Произвођачи рачунара могу да доставе своја ажурирања, а они ће се појавити за преузимање у ГНОМЕ Софтваре апликацији која се користи на Убунту и многим другим Линук дистрибуцијама. Произвођачи рачунара као што су Делл и Леново учествују.

Ова решења за Виндовс и Линук утичу и на више од УЕФИ ажурирања. Произвођачи хардвера би их могли користити да би убудуће ажурирали све, од фирмвера УСБ миша до фирмвера чврстог диска.

Како је СвифтОнСецурити говорио о проблемима са фирмваре-ом и енкрипцијом на чврстом диску, ажурирања фирмвера могу бити поуздана. Морамо боље очекивати од произвођача хардвера.

Ажурирања фирмвера могу бити поуздана. Покренуо сам најмање 3,000 Делл БИОС-а са само једним кваром, а тај стари ПЦ је већ био у служби због неуспјеха.

Поновно размислите шта мислите да је немогуће. Сервисирање фирмвера није немогуће или ризично. Захтијева боље захтјеве људи.

- СвифтОнСецурити (@СвифтОнСецурити) 6. новембар 2018

Заслуге за слике: Интел, Натасцха Еибл, кубаис / Схуттерстоцк.цом.