Microsoft току-що обяви Проект Му, обещаващ „фърмуер като услуга“ на поддържан хардуер. Всеки производител на компютри трябва да вземе под внимание. Компютрите се нуждаят от актуализации на защитата на фърмуера на UEFI и производителите на компютри не са свършили зле работата по предоставянето им.
Съдържание
Какво е фърмуер на UEFI?
Съвременните компютри използват UEFI фърмуер вместо традиционен BIOS. UEFI фърмуерът е софтуерът от ниско ниво, който се стартира, когато стартирате компютъра си. Той тества и инициализира вашия хардуер, прави системна конфигурация на ниско ниво и след това зарежда операционна система от вътрешното устройство на вашия компютър или друго устройство за зареждане.
UEFI обаче е малко по-сложен от по-стария BIOS софтуер. Например компютрите с процесори на Intel имат нещо, наречено Intel Management Engine, което по същество е малка операционна система. Работи успоредно с Windows, Linux или каквато и да е операционна система, която използвате на вашия компютър. В корпоративни мрежи системните администратори могат да използват функции в Intel ME за дистанционно управление на своите компютри.
UEFI също така съдържа „микрокод“ на процесора, който е нещо като фърмуер за вашия процесор. Когато компютърът ви се стартира, той зарежда микрокод от фърмуера на UEFI. Мислете за това като за интерпретатор, който превежда софтуерните инструкции в хардуерни инструкции, изпълнявани на процесора.
Защо фърмуерът на UEFI се нуждае от актуализации на защитата
Последните няколко години показват отново и отново защо фърмуерът на UEFI се нуждае от навременни актуализации на защитата.
Всички научихме за Spectre през 2018 г., показвайки сериозните архитектурни проблеми със съвременните процесори. Проблеми с нещо, наречено „спекулативно изпълнение“, означаваше, че програмите могат да избягат от стандартните ограничения за сигурност и да четат защитени области от паметта. Поправки на Spectre, необходими актуализации на микрокод на процесора, за да функционират правилно. Това означава, че производителите на компютри трябваше да актуализират всичките си лаптопи и настолни компютри – а производителите на дънни платки трябваше да актуализират всичките си дънни платки – с нов фърмуер на UEFI, съдържащ актуализирания микрокод. Вашият компютър не е достатъчно защитен срещу Spectre, освен ако не сте инсталирали актуализация на фърмуера на UEFI. AMD също така пусна актуализации на микрокод за защита на системите с AMD процесори от атаки на Spectre, така че това не е само нещо на Intel.
Management Engine на Intel е видял някои грешки в сигурността което може или да позволи на нападателите с локален достъп до компютъра да разбият софтуера на Management Engine, или да позволи на нападател с отдалечен достъп да причини проблеми. За щастие отдалечените експлоати засегнаха само фирми, които са активирали технологията за активно управление на Intel (AMT), така че средните потребители не бяха засегнати.
Това са само няколко примера. Изследователите също така показаха, че е възможно да се злоупотребява с фърмуера на UEFI на някои компютри, като се използва за получаване на дълбок достъп до системата. Дори са демонстрирали постоянен ransomware който получи достъп до UEFI фърмуера на компютъра и стартира от там.
Индустрията трябва да актуализира UEFI фърмуера на всеки компютър, както всеки друг софтуер, за да помогне за защита срещу тези проблеми и подобни недостатъци в бъдеще.
Как процесът на актуализиране е бил нарушен от години
Процесът на актуализиране на BIOS е бъркотия завинаги – много преди UEFI. Традиционно компютрите се доставят с този стар BIOS и по-малко може да се обърка. Производителите на компютри може да доставят няколко актуализации на BIOS, за да коригират дребни проблеми, но обичайният съвет беше да избягвате инсталирането им, ако компютърът ви работи правилно. Често ви се налагаше да стартирате от стартиращо DOS устройство, за да мигате актуализацията на BIOS, и всички чуха истории за неуспешни актуализации на BIOS и блокиране на компютрите, което ги прави невъзможни за стартиране.
Нещата се промениха. Фърмуерът на UEFI прави много повече и през последните няколко години Intel пусна няколко големи актуализации на неща като микрокод на процесора и Intel ME. Всеки път, когато Intel пусне такава актуализация, всичко, което Intel може да направи, е да каже „попитайте производителя на вашия компютър“. Производителят на вашия компютър — или производителят на дънната платка, ако сте изградили свой собствен компютър — трябва да вземе кода от Intel и да го интегрира в нова версия на фърмуера на UEFI. След това те трябва да тестват фърмуера. О, и всеки производител трябва да повтори този процес за всеки отделен компютър, който продава, тъй като всички те имат различен фърмуер на UEFI. Това е вид ръчна работа, която правеше телефоните с Android толкова трудни за актуализиране в миналото.
На практика това означава, че често отнема много време — много месеци — за получаване на критични актуализации на сигурността, които трябва да се доставят чрез UEFI. Това означава, че производителите може да свият рамене и да откажат да актуализират компютри, които са само на няколко години. И дори когато производителите пускат актуализации, тези актуализации често са погребани на уебсайта за поддръжка на този производител. Повечето потребители на компютри никога няма да открият, че съществуват тези актуализации на фърмуера на UEFI и да ги инсталират, така че тези грешки в крайна сметка живеят в съществуващите компютри за дълго време. И някои производители все още ви карат да инсталирате актуализации на фърмуера, като първо стартирате DOS – само за да го направят допълнително сложно.
Какво правят хората по въпроса
Това е бъркотия. Нуждаем се от опростен процес, при който производителите могат по-лесно да създават нови актуализации на фърмуера на UEFI. Също така се нуждаем от по-добър процес за пускане на тези актуализации, така че потребителите да могат да ги инсталират автоматично на своите компютри. В момента процесът е бавен и ръчен – трябва да бъде бърз и автоматичен.
Това е, което Microsoft се опитва да направи с Project Mu. Ето как официална документация обяснява го:
Mu е изграден около идеята, че доставката и поддръжката на UEFI продукт е непрекъснато сътрудничество между множество партньори. Твърде дълго индустрията е изграждала продукти, използвайки модел на „разклоняване“ в комбинация с копиране/поставяне/преименуване и с всеки нов продукт тежестта за поддръжка нараства до такова ниво, че актуализациите са почти невъзможни поради разходи и риск.
Project Mu цели да помогне на производителите на компютри да създават и тестват UEFI актуализации по-бързо, като рационализира процеса на разработка на UEFI и помага на всички да работят заедно. Надяваме се, че това е липсващото парче, тъй като Microsoft вече улесни производителите на компютри да изпращат автоматично своите UEFI актуализации на фърмуера на потребителите.
По-конкретно, Microsoft позволява на производителите на компютри издаване на актуализации на фърмуера чрез Windows Update и предоставя документация за това поне от 2017 г. Microsoft също обяви Актуализация на фърмуера на компонентите; модел с отворен код, който производителите могат да използват за актуализиране на UEFI и друг фърмуер, още през октомври 2018 г. Ако производителите на компютри се включат с това, те биха могли да доставят актуализации на фърмуера на всички свои потребители много бързо.
Това също не е само за Windows. В Linux разработчиците се опитват да улеснят производителите на компютри да издават UEFI актуализации LVFS, услугата за фърмуер на доставчик на Linux. Доставчиците на компютри могат да изпращат своите актуализации и те ще се появят за изтегляне в софтуерното приложение GNOME, което се използва в Ubuntu и много други дистрибуции на Linux. Това усилие датира от 2015 г. Производителите на компютри харесват Dell и Lenovo участват.
Тези решения за Windows и Linux засягат и нещо повече от актуализации на UEFI. Производителите на хардуер могат да ги използват, за да актуализират всичко от фърмуера на USB мишка до фърмуера на SSD устройство в бъдеще.
Като SwiftOnSecurity кажете го, когато говорим за проблемите с фърмуера и криптирането на твърдия диск, актуализациите на фърмуера могат да бъдат надеждни. Трябва да очакваме по-добро от производителите на хардуер.
Актуализациите на фърмуера могат да бъдат надеждни. Започнах най-малко 3000 актуализации на BIOS на Dell само с една повреда и този стар компютър вече беше в експлоатация за повреда.
Преосмислете това, което смятате за невъзможно. Обслужването на фърмуера не е невъзможно или рисковано. Това изисква хората да търсят по-добро.
— SwiftOnSecurity (@SwiftOnSecurity) 6 ноември 2018 г
Кредит на изображението: Intel, Наташа Айбл, kubais/Shutterstock.com.