Pagina principala » HOWTO » De ce firmware-ul UEFI al PC-ului are nevoie de actualizări de securitate

    De ce firmware-ul UEFI al PC-ului are nevoie de actualizări de securitate

    Microsoft tocmai a anunțat proiectul Mu, promițând "firmware ca un serviciu" pe hardware-ul suportat. Fiecare producător de PC-uri ar trebui să ia notă. PC-urile au nevoie de actualizări de securitate pentru firmware-ul UEFI, iar producătorii de PC-uri au făcut o treabă slabă de livrare a acestora.

    Ce este firmware-ul UEFI??

    PC-urile moderne utilizează firmware-ul UEFI în locul unui BIOS tradițional. Firmware-ul UEFI este software-ul de nivel scăzut care începe când porniți computerul. Acesta testează și inițializează hardware-ul dvs., are configurații de nivel scăzut ale sistemului și apoi pornește un sistem de operare de pe unitatea internă a computerului dvs. sau de pe un alt dispozitiv de pornire.

    Cu toate acestea, UEFI este un pic mai complicat decât software-ul mai vechi BIOS. De exemplu, computerele cu procesoare Intel au ceva denumit Intel Management Engine, care este în esență un sistem de operare mic. Acesta rulează în paralel cu Windows, Linux sau orice alt sistem de operare pe care îl executați pe computer. În rețelele corporative, administratorii de sistem pot utiliza funcții din Intel ME pentru a-și gestiona de la distanță computerele.

    UEFI conține, de asemenea, un procesor "microcod", care este un fel de firmware pentru procesor. Când computerul se învârte, acesta încarcă microcodul din firmware-ul UEFI. Gândiți-vă la ea ca un interpret care traduce instrucțiunile de software la instrucțiunile hardware efectuate pe CPU.

    De ce UEFI Firmware are nevoie de actualizări de securitate

    Ultimii ani au demonstrat de ce firmware-ul UEFI are nevoie de actualizări de securitate în timp util.

    Cu toții am învățat despre Spectre în 2018, arătând problemele arhitecturale grave cu procesoarele moderne. Probleme cu ceva numit "executare speculativă" înseamnă că programele ar putea să scape de restricțiile standard de securitate și să citească zonele securizate ale memoriei. Fixează la Spectre cerințele actualizate ale microcodului CPU pentru a funcționa corect. Asta inseamna ca producatorii de PC-uri trebuiau sa-si actualizeze toate laptopurile si desktop-urile - iar producatorii de placi de baza au trebuit sa-si actualizeze toate placile de baza - cu noul firmware UEFI care continea microcodul actualizat. PC-ul dvs. nu este protejat în mod adecvat împotriva Spectrelor decât dacă ați instalat actualizarea firmware-ului UEFI. AMD a lansat, de asemenea, actualizări de microcode pentru a proteja sistemele cu procesoare AMD de la atacurile Spectre, deci nu este doar un lucru Intel.

    Intel Engine Management a văzut câteva erori de securitate care le-ar putea lăsa pe atacatorii cu acces local la computer să curețe software-ul Engine Management sau să lase un atacator cu acces de la distanță să provoace probleme. Din fericire, telecomanda exploatează numai întreprinderile afectate care au activat tehnologia Intel Active Management Technology (AMT), astfel încât consumatorii obișnuiți nu au fost afectați.

    Acestea sunt doar câteva exemple. Cercetătorii au demonstrat de asemenea că este posibil să se abuzeze de firmware-ul UEFI pe anumite PC-uri, folosind-o pentru a obține un acces profund la sistem. Ei au demonstrat chiar și răscumpărarea persistentă, care a obținut acces la firmware-ul unui computer UEFI și a fugit de acolo.

    Industria ar trebui să actualizeze firmware-ul UEFI al fiecărui computer, la fel ca orice alt software pentru a proteja împotriva acestor probleme și defecte similare în viitor.

    Modul în care procesul de actualizare a fost spart de ani

    Procesul de actualizare a BIOS a fost o mizerie pentru totdeauna - mult timp înainte de UEFI. În mod tradițional, computerele livrate cu acel BIOS de la școală veche și mai puțin ar putea merge prost. Producătorii de PC-uri ar putea să trimită câteva actualizări BIOS pentru a rezolva probleme minore, dar sfatul obișnuit era să eviți instalarea acestora dacă PC-ul funcționa corect. De multe ori a trebuit să porniți de pe o unitate DOS bootabilă pentru a bloca actualizarea BIOS-ului și toată lumea a auzit poveștile despre actualizările BIOS care nu reușesc și căderea PC-urilor, făcându-le să nu fie portabile.

    Lucrurile s-au schimbat. Firmware-ul UEFI face mult mai mult, iar Intel a lansat câteva actualizări mari pentru lucruri precum microcodul procesorului și Intel ME în ultimii ani. Ori de câte ori Intel lansează o astfel de actualizare, tot ce poate face Intel este să spună "întrebați-vă producătorul computerului dvs." Producătorul computerului sau producătorul plăcii de bază, dacă ați construit PC-ul propriu, trebuie să ia codul de la Intel și să îl integreze într-un nou firmware UEFI versiune. Apoi trebuie să testeze firmware-ul. Oh, și fiecare producător trebuie să repete acest proces pentru fiecare PC individual pe care îl vând, deoarece toate au firmware UEFI diferit. Este genul de muncă manuală care a făcut telefoanele Android atât de greu de actualizat în trecut.

    În practică, aceasta înseamnă că durează adesea mult timp - multe luni - pentru a obține actualizări critice de securitate care trebuie livrate prin intermediul UEFI. Aceasta înseamnă că producătorii ar putea ridica din umeri și pot refuza să actualizeze PC-uri care au doar câțiva ani. Și chiar și atunci când producătorii fac actualizări de lansare, acele actualizări sunt adesea îngropate pe site-ul web al producătorului. Majoritatea utilizatorilor de PC-uri nu vor descoperi vreodată că actualizările firmware-ului UEFI există și le instalează, astfel încât aceste bug-uri se termină să trăiască pe PC-urile existente pentru o lungă perioadă de timp. Și unii producători încă vă fac să instalați actualizări de firmware prin bootarea în DOS mai întâi - doar pentru a face acest lucru mai complicat.

    Ce fac oamenii despre asta

    E o mizerie. Avem nevoie de un proces raționalizat în care producătorii pot crea mai ușor noi actualizări ale firmware-ului UEFI. De asemenea, avem nevoie de un proces mai bun pentru lansarea acelor actualizări, astfel încât utilizatorii să le poată instala automat pe PC-urile lor. Chiar acum procesul este lent și manual - ar trebui să fie rapid și automat.

    Așa încearcă Microsoft să facă cu Proiectul Mu. Iată cum explică documentația oficială:

    Mu este construit în jurul ideii că transportul și întreținerea unui produs UEFI este o colaborare continuă între numeroși parteneri. De prea mult timp, industria a construit produse folosind un model "forking" combinat cu copiere / lipire / redenumire și cu fiecare produs nou sarcina de întreținere crește la un nivel atât de ridicat încât actualizările sunt aproape imposibile datorită costului și riscului.

    Proiectul Mu are ca scop să ajute producătorii de PC-uri să creeze și să testeze mai rapid actualizările UEFI, raționalizând procesul de dezvoltare al UEFI și ajutând toată lumea să colaboreze. Sperăm că aceasta este piesa lipsă, deoarece Microsoft a făcut deja mai ușor pentru producătorii de PC-uri să trimită actualizările firmware-ului UEFI către utilizatori automat.

    Mai exact, Microsoft permite producătorilor de PC-uri să lanseze actualizări ale firmware-ului prin Windows Update și a furnizat o documentație în acest sens de la cel puțin 2017. Microsoft a anunțat, de asemenea, actualizarea firmware-ului Component; un model open-source pe care producătorii îl pot utiliza pentru a actualiza UEFI și alte firmware, în octombrie 2018. Dacă producătorii de PC-uri se implică în acest lucru, ar putea oferi actualizări de firmware tuturor utilizatorilor lor foarte repede.

    Acesta nu este doar un lucru Windows. Pornind de pe Linux, dezvoltatorii încearcă să ușureze producătorii de PC-uri să lanseze actualizări UEFI cu LVFS, Service-ul Firmware de la Linux. Vânzătorii de PC-uri pot trimite actualizările și vor apărea pentru descărcare în aplicația GNOME Software, care este utilizată pe Ubuntu și în multe alte distribuții Linux. Acest efort datează din 2015. Producătorii de PC-uri precum Dell și Lenovo participă.

    Aceste soluții pentru Windows și Linux afectează mai mult decât doar actualizările UEFI. Producătorii de hardware ar putea să le folosească pentru a actualiza totul de la firmware-ul mouse-ului USB la firmware-ul drive-ului solid în viitor.

    După cum a spus SwiftOnSecurity atunci când vorbește despre problemele cu firmware-ul drive-ului și criptarea, actualizările firmware-ului pot fi fiabile. Trebuie să ne așteptăm mai bine la producătorii de hardware.

    Actualizările firmware-ului pot fi fiabile. Am inițiat cel puțin 3.000 de actualizări BIOS Dell cu un singur eșec și acel PC vechi a fost deja în serviciu pentru că nu a reușit.

    Re-gândiți-vă ce credeți că este imposibil. Întreținerea firmware-ului nu este imposibilă sau riscantă. Ea cere oamenilor să ceară mai bine.

    - SwiftOnSecurity (@SwiftOnSecurity) 6 noiembrie 2018

    Credit de imagine: Intel, Natascha Eibl, kubais / Shutterstock.com.