Γιατί το υλικολογισμικό του UEFI του υπολογιστή σας χρειάζεται ενημερώσεις ασφαλείας

Η Microsoft μόλις ανακοίνωσε το Project Mu, υποσχόμενο «υλικολογισμικό ως υπηρεσία» σε υποστηριζόμενο υλικό. Κάθε κατασκευαστής PC θα πρέπει να σημειώσει. Οι υπολογιστές χρειάζονται ενημερώσεις ασφαλείας για το υλικολογισμικό UEFI και οι κατασκευαστές υπολογιστών έχουν κάνει κακή δουλειά για την παράδοσή τους.

Τι είναι το Firmware της UEFI?

Οι σύγχρονοι υπολογιστές χρησιμοποιούν το υλικολογισμικό UEFI αντί για ένα παραδοσιακό BIOS. Το υλικολογισμικό UEFI είναι το λογισμικό χαμηλού επιπέδου που ξεκινάει όταν εκκινείτε τον υπολογιστή σας. Δοκιμάζει και προετοιμάζει το υλικό σας, κάνει κάποιες ρυθμίσεις χαμηλού επιπέδου συστήματος και, στη συνέχεια, εκκινεί ένα λειτουργικό σύστημα από την εσωτερική μονάδα του υπολογιστή σας ή άλλη συσκευή εκκίνησης.

Ωστόσο, το UEFI είναι λίγο πιο περίπλοκο από το παλαιότερο λογισμικό BIOS. Για παράδειγμα, υπολογιστές με επεξεργαστές Intel έχουν κάτι που ονομάζεται Intel Management Engine, το οποίο είναι βασικά ένα μικρό λειτουργικό σύστημα. Εκτελείται παράλληλα με τα Windows, το Linux ή οποιοδήποτε λειτουργικό σύστημα εκτελείτε στον υπολογιστή σας. Σε εταιρικά δίκτυα, οι διαχειριστές συστημάτων μπορούν να χρησιμοποιήσουν λειτουργίες στο Intel ME για να διαχειρίζονται εξ αποστάσεως τους υπολογιστές τους.

Το UEFI περιέχει επίσης τον επεξεργαστή "microcode", ο οποίος είναι σαν το firmware για τον επεξεργαστή σας. Όταν εκκινεί ο υπολογιστής σας, φορτώνει μικροκώδικα από το firmware του UEFI. Σκεφτείτε το σαν έναν διερμηνέα που μεταφράζει οδηγίες λογισμικού στις οδηγίες υλικού που εκτελούνται στη CPU.

Γιατί χρειάζεται το Firmware της UEFI για ενημερώσεις ασφαλείας

Τα τελευταία χρόνια έχουν δείξει ξανά και ξανά γιατί ο firmware του UEFI χρειάζεται έγκαιρες ενημερώσεις ασφαλείας.

Όλοι μάθαμε για το Specter το 2018, δείχνοντας τα σοβαρά αρχιτεκτονικά προβλήματα με τις σύγχρονες CPUs. Προβλήματα με κάτι που ονομάζεται "κερδοσκοπική εκτέλεση" σημαίνει ότι τα προγράμματα θα μπορούσαν να αποφύγουν τυποποιημένους περιορισμούς ασφαλείας και να διαβάσουν ασφαλείς περιοχές της μνήμης. Επιδιόρθωση για Spectre απαιτούνται ενημερώσεις μικροκώδικα CPU για να λειτουργήσει σωστά. Αυτό σημαίνει ότι οι κατασκευαστές υπολογιστών χρειάστηκε να ενημερώσουν όλους τους φορητούς και επιτραπέζιους υπολογιστές τους - και οι κατασκευαστές μητρικών καρτών έπρεπε να ενημερώσουν όλες τις μητρικές τους - με το νέο firmware του UEFI που περιέχει τον ενημερωμένο μικροκώδικα. Ο υπολογιστής σας δεν προστατεύεται επαρκώς από το Spectre, εκτός εάν έχετε εγκαταστήσει μια ενημέρωση υλικολογισμικού UEFI. Η AMD κυκλοφόρησε επίσης ενημερώσεις μικροκωδίκων για την προστασία συστημάτων με επεξεργαστές AMD από επιθέσεις Specter, οπότε αυτό δεν είναι μόνο ένα πράγμα της Intel.

Η Μηχανή Διαχείρισης της Intel έχει δει κάποια σφάλματα ασφαλείας που θα μπορούσαν είτε να επιτρέψουν στους επιτιθέμενους με τοπική πρόσβαση στον υπολογιστή να σπάσουν το λογισμικό διαχείρισης Engine, είτε να επιτρέψουν σε έναν εισβολέα με απομακρυσμένη πρόσβαση να προκαλέσει προβλήματα. Ευτυχώς, το απομακρυσμένο σύστημα εκμεταλλεύεται μόνο επιχειρήσεις που έχουν επηρεάσει την τεχνολογία Intel Active Management Technology (AMT), οπότε οι μέσοι καταναλωτές δεν επηρεάστηκαν.

Αυτά είναι μερικά παραδείγματα. Οι ερευνητές έχουν επίσης αποδείξει ότι είναι δυνατό να καταχραστεί το υλικολογισμικό UEFI σε ορισμένους υπολογιστές, χρησιμοποιώντας το για να αποκτήσει βαθιά πρόσβαση στο σύστημα. Έχουν επιδείξει μόνιμο ransomware που έχει αποκτήσει πρόσβαση στο firmware του υπολογιστή UEFI και έτρεξε από εκεί.

Ο κλάδος θα πρέπει να ενημερώνει το υλικολογισμικό UEFI κάθε υπολογιστή, όπως ακριβώς και κάθε άλλο λογισμικό που βοηθά στην προστασία από αυτά τα προβλήματα και παρόμοιες ατέλειες στο μέλλον.

Πώς η διαδικασία ενημέρωσης έχει διακοπεί για χρόνια

Η διαδικασία ενημέρωσης του BIOS υπήρξε ανέπαφη για πάντα - πολύ πριν από την UEFI. Παραδοσιακά, οι υπολογιστές που αποστέλλονται με αυτό το παλαιό σχολείο BIOS, και λιγότεροι θα μπορούσαν να πάνε στραβά. Οι κατασκευαστές υπολογιστών ενδέχεται να στείλουν μερικές ενημερώσεις του BIOS για να διορθώσουν μικρά προβλήματα, αλλά οι συνηθισμένες συμβουλές ήταν να αποφύγετε την εγκατάστασή τους εάν ο υπολογιστής σας λειτουργούσε σωστά. Συχνά χρειάστηκε να εκκινήσετε από μια μονάδα εκκίνησης DOS για να αναβοσβήνει η ενημέρωση του BIOS και όλοι ακούστηκαν ιστορίες των ενημερώσεων του BIOS που αποτυγχάνουν και μπλοκάρουν τους υπολογιστές, καθιστώντας τους unbootable.

Τα πράγματα έχουν αλλάξει. Το firmware της UEFI κάνει πολύ περισσότερα και η Intel έχει κυκλοφορήσει αρκετές μεγάλες ενημερώσεις για πράγματα όπως ο μικροεπεξεργαστής CPU και η Intel ME τα τελευταία χρόνια. Κάθε φορά που η Intel κυκλοφορεί μια τέτοια ενημέρωση, η Intel μπορεί να κάνει ότι λέει "ρωτήστε τον κατασκευαστή του υπολογιστή σας." Ο κατασκευαστής του υπολογιστή σας ή κατασκευαστής μητρικής πλακέτας, εάν βάλατε το δικό σας PC, πρέπει να πάρει τον κώδικα από την Intel και να την ενσωματώσει σε ένα νέο υλικολογισμικό UEFI εκδοχή. Στη συνέχεια πρέπει να ελέγξουν το υλικολογισμικό. Ω, και κάθε κατασκευαστής πρέπει να επαναλάβει αυτή τη διαδικασία για κάθε μεμονωμένο υπολογιστή που πωλεί, καθώς όλοι έχουν διαφορετικό firmware UEFI. Είναι το είδος της χειρωνακτικής εργασίας που έκανε τα τηλέφωνα Android τόσο δύσκολο να ενημερωθούν στο παρελθόν.

Στην πράξη, αυτό σημαίνει ότι διαρκεί πολύς χρόνος - πολλοί μήνες - για να λάβετε κρίσιμες ενημερώσεις ασφαλείας που πρέπει να παραδοθούν μέσω του UEFI. Αυτό σημαίνει ότι οι κατασκευαστές ενδέχεται να σηκωθούν και να αρνηθούν να ενημερώσουν τους υπολογιστές που έχουν μόλις λίγα χρόνια. Και ακόμα και όταν οι κατασκευαστές κάνουν ενημερώσεις κυκλοφορίας, αυτές οι ενημερώσεις συχνά θάβονται στον ιστότοπο υποστήριξης του κατασκευαστή. Οι περισσότεροι χρήστες PC δεν θα ανακαλύψουν ποτέ ότι υπάρχουν ενημερώσεις υλικολογισμικού UEFI και να τις εγκαταστήσετε, έτσι ώστε αυτά τα σφάλματα να καταλήγουν να ζουν σε υπάρχοντες υπολογιστές για μεγάλο χρονικό διάστημα. Και ορισμένοι κατασκευαστές σας κάνουν ακόμα να εγκαταστήσετε ενημερώσεις υλικολογισμικού με εκκίνηση στο DOS πρώτα - ακριβώς για να το κάνετε πιο περίπλοκο.

Τι κάνουν οι άνθρωποι γι 'αυτό

Αυτό είναι ένα χάος. Χρειαζόμαστε μια βελτιωμένη διαδικασία όπου οι κατασκευαστές μπορούν να δημιουργήσουν πιο εύκολα νέες ενημερώσεις υλικολογισμικού UEFI. Χρειαζόμαστε επίσης μια καλύτερη διαδικασία για την απελευθέρωση αυτών των ενημερώσεων, ώστε οι χρήστες να μπορούν να τα εγκαταστήσουν αυτόματα στους υπολογιστές τους. Αυτή τη στιγμή η διαδικασία είναι αργή και χειροκίνητη - πρέπει να είναι γρήγορη και αυτόματη.

Αυτό ακριβώς προσπαθεί να κάνει η Microsoft με το Project Mu. Εδώ εξηγείται η επίσημη τεκμηρίωση:

Η Mu είναι χτισμένη γύρω από την ιδέα ότι η ναυτιλία και η διατήρηση ενός προϊόντος της UEFI είναι συνεχής συνεργασία μεταξύ πολλών εταίρων. Για πάρα πολύ καιρό η βιομηχανία έχει κατασκευάσει προϊόντα χρησιμοποιώντας ένα μοντέλο "forking" σε συνδυασμό με την αντιγραφή / επικόλληση / μετονομασία και με κάθε νέο προϊόν το βάρος συντήρησης αυξάνεται σε τέτοιο επίπεδο ώστε οι ενημερώσεις είναι σχεδόν αδύνατες λόγω κόστους και κινδύνου.

Το Project Mu έχει ως στόχο να βοηθά τους κατασκευαστές PC να δημιουργούν και να δοκιμάζουν ταχύτερα τις ενημερώσεις του UEFI, εξορθολογώντας τη διαδικασία ανάπτυξης του UEFI και βοηθώντας όλους να συνεργαστούν. Ας ελπίσουμε ότι αυτό είναι το κομμάτι που λείπει, καθώς η Microsoft έχει ήδη διευκολύνει τους κατασκευαστές PC να στέλνουν αυτομάτως στους χρήστες ενημερώσεις υλικολογισμικού UEFI.

Συγκεκριμένα, η Microsoft επιτρέπει στους κατασκευαστές υπολογιστών να εκδίδουν ενημερώσεις υλικολογισμικού μέσω του Windows Update και έχει παράσχει τεκμηρίωση σχετικά με αυτό τουλάχιστον από το 2017. Η Microsoft ανακοίνωσε επίσης την ενημέρωση υλικολογισμικού Component; ένα μοντέλο ανοιχτού κώδικα που μπορούν να χρησιμοποιήσουν οι κατασκευαστές για την ενημέρωση του UEFI και άλλου υλικολογισμικού, τον Οκτώβριο του 2018. Αν οι κατασκευαστές υπολογιστών φτάσουν στο πλοίο με αυτό, θα μπορούσαν να προσφέρουν ενημερώσεις υλικολογισμικού σε όλους τους χρήστες πολύ γρήγορα.

Αυτό δεν είναι μόνο ένα πράγμα των Windows, είτε. Πάνω από το Linux, οι προγραμματιστές προσπαθούν να διευκολύνουν τους κατασκευαστές PC να εκδίδουν ενημερώσεις UEFI με την LVFS, την υπηρεσία υλικολογισμικού Vendor Firmware. Οι πωλητές υπολογιστών μπορούν να υποβάλουν τις ενημερώσεις τους και θα εμφανιστούν για λήψη στην εφαρμογή λογισμικού GNOME, η οποία χρησιμοποιείται στο Ubuntu και σε πολλές άλλες διανομές Linux. Η προσπάθεια αυτή χρονολογείται από το 2015. Συμμετέχουν επίσης κατασκευαστές υπολογιστών όπως η Dell και η Lenovo.

Αυτές οι λύσεις για τα Windows και το Linux επηρεάζουν περισσότερο από τις ενημερώσεις του UEFI. Οι κατασκευαστές υλικού θα μπορούσαν να τις χρησιμοποιήσουν για να ενημερώσουν τα πάντα από το firmware του ποντικιού USB στο στερεοφωνικό firmware του σκληρού δίσκου στο μέλλον.

Όπως το έθεσε το SwiftOnSecurity όταν μιλάμε για τα προβλήματα με το firmware και την κρυπτογράφηση του SSD, οι ενημερώσεις υλικολογισμικού μπορεί να είναι αξιόπιστες. Πρέπει να περιμένουμε καλύτερα από τους κατασκευαστές υλικού.

Οι ενημερώσεις υλικολογισμικού μπορούν να είναι αξιόπιστες. Έχω ξεκινήσει τουλάχιστον 3.000 ενημερώσεις του Dell BIOS με μία μόνο αποτυχία και αυτός ο παλιός υπολογιστής ήταν ήδη σε υπηρεσία για αποτυχία.

Ξανασκεφτείτε τι πιστεύετε ότι είναι αδύνατο. Η συντήρηση του υλικολογισμικού δεν είναι αδύνατη ή επικίνδυνη. Απαιτεί καλύτερα τις ανάγκες των ανθρώπων.

- SwiftOnSecurity (@SwiftOnSecurity) 6 Νοεμβρίου 2018

Image Credit: Intel, Natascha Eibl, kubais / Shutterstock.com.