Мицрософт је управо најавио Пројецт Му, обећавајући „фирмвер као услугу“ на подржаном хардверу. Сваки произвођач рачунара треба да узме у обзир. Рачунарима су потребна безбедносна ажурирања за њихов УЕФИ фирмвер, а произвођачи рачунара су лоше обавили посао у њиховој испоруци.
Преглед садржаја
Шта је УЕФИ фирмвер?
Модерни рачунари користе УЕФИ фирмвер уместо традиционалног БИОС-а. УЕФИ фирмвер је софтвер ниског нивоа који се покреће када покренете рачунар. Он тестира и иницијализује ваш хардвер, врши конфигурацију система ниског нивоа, а затим покреће оперативни систем са унутрашњег диска вашег рачунара или другог уређаја за покретање.
Међутим, УЕФИ је мало компликованији од старијег БИОС софтвера. На пример, рачунари са Интел процесорима имају нешто што се зове Интел Манагемент Енгине, што је у основи мали оперативни систем. Ради паралелно са Виндовс-ом, Линук-ом или било којим оперативним системом који користите на рачунару. На корпоративним мрежама, администратори система могу да користе функције у Интел МЕ за даљинско управљање својим рачунарима.
УЕФИ такође садржи „микрокод“ процесора, који је као фирмвер за ваш процесор. Када се рачунар покрене, учитава микрокод из УЕФИ фирмвера. Замислите то као тумач који преводи софтверске инструкције у хардверске инструкције које се извршавају на ЦПУ-у.
Зашто су УЕФИ фирмверу потребна безбедносна ажурирања
Последњих неколико година је изнова и изнова показало зашто су УЕФИ фирмверу потребна правовремена безбедносна ажурирања.
Сви смо научили о Спецтре-у 2018. године, показујући озбиљне архитектонске проблеме са модерним ЦПУ-има. Проблеми са нечим што се зове „спекулативно извршење“ значили су да програми могу да избегну стандардна безбедносна ограничења и читају безбедне области меморије. Исправке за Спецтре потребна ажурирања микрокода ЦПУ-а да би исправно функционисала. То значи да су произвођачи рачунара морали да ажурирају све своје лаптоп и десктоп рачунаре — а произвођачи матичних плоча су морали да ажурирају све своје матичне плоче — новим УЕФИ фирмвером који садржи ажурирани микрокод. Ваш рачунар није адекватно заштићен од Спецтре осим ако нисте инсталирали УЕФИ ажурирање фирмвера. АМД такође је објавио ажурирања микрокода за заштиту система са АМД процесорима од Спецтре напада, тако да ово није само ствар Интела.
Интелов Манагемент Енгине је видео неке безбедносне грешке то може или дозволити нападачима са локалним приступом рачунару да провале софтвер Манагемент Енгине или дозволити да нападач са удаљеним приступом изазове проблеме. Срећом, експлоатације на даљину су утицале само на предузећа која су омогућила Интел Ацтиве Манагемент Тецхнологи (АМТ), тако да просечни потрошачи нису били погођени.
Ово је само неколико примера. Истраживачи су такође показали да је могуће злоупотребити УЕФИ фирмвер на неким рачунарима, користећи га за дубински приступ систему. Чак су и демонстрирали упорни рансомваре који је добио приступ УЕФИ фирмверу рачунара и покренуо одатле.
Индустрија би требало да ажурира УЕФИ фирмвер сваког рачунара као и сваки други софтвер како би се заштитила од ових проблема и сличних недостатака у будућности.
Како је процес ажурирања био прекинут годинама
Процес ажурирања БИОС-а био је заувек неред — још много пре УЕФИ-ја. Традиционално, рачунари су се испоручили са старим БИОС-ом и мање је могло поћи по злу. Произвођачи рачунара можда испоручују неколико ажурирања БИОС-а да би решили мање проблеме, али уобичајени савет је био да избегавате њихову инсталацију ако ваш рачунар ради исправно. Често сте морали да покренете систем са ДОС драјва за покретање да бисте флешовали ажурирање БИОС-а, а сви су чули приче о неуспешним ажурирањима БИОС-а и ометању рачунара, што их чини немогућим за покретање.
Ствари су се промениле. УЕФИ фирмвер чини много више, а Интел је објавио неколико великих ажурирања ствари као што су микрокод ЦПУ-а и Интел МЕ у последњих неколико година. Кад год Интел објави такво ажурирање, све што Интел може да уради је да каже „питајте произвођача рачунара“. Произвођач вашег рачунара — или произвођач матичне плоче, ако сте направили сопствени рачунар — мора да преузме код од Интела и да га интегрише у нову верзију УЕФИ фирмвера. Затим морају да тестирају фирмвер. Ох, и сваки произвођач мора да понови овај процес за сваки појединачни рачунар који продаје, пошто сви имају другачији УЕФИ фирмвер. То је врста ручног рада која је у прошлости чинила Андроид телефоне тако тешким за ажурирање.
У пракси, то значи да је често потребно много времена — много месеци — да би се добила критична безбедносна ажурирања која морају да се испоруче преко УЕФИ-ја. То значи да би произвођачи могли слегнути раменима и одбити да ажурирају рачунаре који су стари само неколико година. Чак и када произвођачи објављују ажурирања, та ажурирања су често закопана на веб локацији за подршку тог произвођача. Већина корисника рачунара никада неће открити да постоје ажурирања УЕФИ фирмвера и инсталирати их, тако да ове грешке на крају живе на постојећим рачунарима дуго времена. Неки произвођачи вас и даље терају да инсталирате ажурирања фирмвера тако што ћете прво покренути ДОС — само да би то додатно закомпликовало.
Шта људи раде поводом тога
То је неред. Потребан нам је поједностављен процес у којем произвођачи могу лакше креирати нова ажурирања УЕФИ фирмвера. Такође нам је потребан бољи процес за објављивање ових ажурирања, тако да корисници могу да их аутоматски инсталирају на својим рачунарима. Тренутно је процес спор и ручан — требало би да буде брз и аутоматски.
То је оно што Мицрософт покушава да уради са Пројецт Му. Ево како се званична документација објашњава то:
Му је изграђен око идеје да је испорука и одржавање УЕФИ производа стална сарадња између бројних партнера. Предуго је индустрија градила производе користећи модел „рачвања“ у комбинацији са копирањем/лепљењем/преименовањем и са сваким новим производом оптерећење одржавања расте до тог нивоа да су ажурирања скоро немогућа због трошкова и ризика.
Пројецт Му је све у томе да помогне произвођачима рачунара да брже креирају и тестирају УЕФИ ажурирања тако што поједностављује процес развоја УЕФИ-ја и помаже свима да раде заједно. Надајмо се да је ово део који недостаје, јер је Мицрософт већ олакшао произвођачима рачунара да аутоматски шаљу своје УЕФИ ажурирања фирмвера корисницима.
Конкретно, Мицрософт дозвољава произвођачима рачунара издати ажурирања фирмвера преко Виндовс Упдате-а и обезбедио је документацију о томе од најмање 2017. Мицрософт је такође најавио Ажурирање фирмвера компоненти; модел отвореног кода који произвођачи могу да користе за ажурирање УЕФИ-ја и другог фирмвера, још у октобру 2018. Ако се произвођачи рачунара укључе у ово, могли би врло брзо да испоруче ажурирања фирмвера свим својим корисницима.
Ово такође није само Виндовс ствар. На Линук-у, програмери покушавају да олакшају произвођачима рачунара да издају УЕФИ ажурирања ЛВФС, услуга фирмвера добављача Линук-а. Продавци рачунара могу да пошаљу своја ажурирања и она ће се појавити за преузимање у ГНОМЕ софтверској апликацији, која се користи на Убунту и многим другим дистрибуцијама Линука. Овај напор датира још од 2015. Произвођачи рачунара воле Делл и Леново учествују.
Ова решења за Виндовс и Линук утичу и на више од само УЕФИ ажурирања. Произвођачи хардвера би могли да их користе за ажурирање свега, од фирмвера УСБ миша до фирмвера ССД уређаја у будућности.
Као што СвифтОнСецурити Када говоримо о проблемима са фирмвером и шифровањем ССД уређаја, ажурирања фирмвера могу бити поуздана. Морамо очекивати боље од произвођача хардвера.
Ажурирања фирмвера могу бити поуздана. Покренуо сам најмање 3.000 ажурирања Делл БИОС-а са само једном грешком, а тај стари рачунар је већ био у функцији због квара.
Поново размислите шта мислите да је немогуће. Сервисирање фирмвера није немогуће нити ризично. То захтева да људи траже боље.
— СвифтОнСецурити (@СвифтОнСецурити) 6. новембра 2018. године
Кредит за слику: Интел, Натасцха Еибл, кубаис/Схуттерстоцк.цом.