Homepage » hogyan kell » Miért van szüksége a számítógép UEFI firmware-re biztonsági frissítésekre

    Miért van szüksége a számítógép UEFI firmware-re biztonsági frissítésekre

    A Microsoft éppen bejelentette a Mu projektet, amely „firmware-t szolgáltatásként” ígér. Minden PC-gyártónak tudnia kell. A PC-k biztonsági frissítéseket igényelnek az UEFI firmware-hez, és a PC-gyártók rossz munkát végeztek a kiszállításukhoz.

    Mi az UEFI firmware?

    A modern számítógépek a hagyományos BIOS helyett UEFI firmware-t használnak. Az UEFI firmware az alacsony szintű szoftver, amely a számítógép indításakor indul el. Teszteli és inicializálja a hardvert, elvégzi az alacsony szintű rendszerkonfigurációt, majd operációs rendszert indít a számítógép belső meghajtójából vagy egy másik rendszerindító eszközből.

    Azonban az UEFI egy kicsit bonyolultabb, mint a régebbi BIOS szoftver. Például az Intel processzorokkal rendelkező számítógépek az Intel Management Engine néven ismertek, ami alapvetően egy apró operációs rendszer. Ez párhuzamosan fut a Windows, Linux vagy bármilyen operációs rendszerrel, amelyet a számítógépen futtat. Vállalati hálózatokban a rendszergazdák az Intel ME szolgáltatásait használhatják számítógépeik távoli kezelésére.

    Az UEFI processzor „mikrokódot” is tartalmaz, amely a processzorhoz hasonló firmware. Amikor a számítógép elindul, mikrokódot tölt be az UEFI firmware-ből. Gondolj úgy, mint egy tolmács, amely lefordítja a szoftver utasításokat a processzoron végrehajtott hardveres utasításokra.

    Miért van szüksége az UEFI firmware-re biztonsági frissítésekre

    Az elmúlt évek többször is megmutatták, hogy az UEFI firmware-nek időszerű biztonsági frissítésekre van szükség.

    2018-ban mindannyian megtudtuk a Spectert, ami a modern CPU-kkal kapcsolatos komoly építészeti problémákat mutatja. Problémák a „spekulatív végrehajtás” nevű programokkal azt jelentették, hogy a programok elkerülhetik a szabványos biztonsági korlátozásokat és olvassák el a biztonságos memóriaterületeket. Javítja a Spectre-hez szükséges CPU mikrokód frissítéseket, hogy megfelelően működjenek. Ez azt jelenti, hogy a PC-gyártóknak frissíteniük kellett minden laptop és asztali számítógépüket, és az alaplapgyártóknak frissítettük a frissített mikrokódot tartalmazó új UEFI firmware-eket. A számítógép nem védett megfelelően a Specter ellen, hacsak nem telepített egy UEFI firmware-frissítést. Az AMD mikrokódfrissítéseket is kiadott, hogy megvédje a Spectre támadásokból származó AMD processzorokkal rendelkező rendszereket, így ez nem csak egy Intel dolog.

    Az Intel Management Engine némi biztonsági hibát észlelt, amely lehetővé tette, hogy a támadók helyi hozzáféréssel rendelkezzenek a számítógéphez, vagy megrongálják a Management Engine szoftvert, vagy hagyják, hogy a támadó távoli hozzáféréssel bajba kerüljön. Szerencsére a távoli kiaknázások csak az érintett vállalkozásokra vonatkoznak, akik engedélyezték az Intel Active Management Technology (AMT) használatát, így az átlagos fogyasztók nem érintettek.

    Ezek csak néhány példa. A kutatók azt is kimutatták, hogy egyes számítógépeken lehetséges az UEFI firmware-ének visszaélése, és a rendszerhez való mély hozzáférés elérése érdekében. Folyamatos ransomware-t mutattak be, amelyek hozzáférést nyertek a számítógép UEFI firmware-hez, és onnan futottak.

    Az iparnak frissítenie kell minden számítógép UEFI firmware-jét, mint bármely más szoftvert, hogy megvédje ezeket a problémákat és a jövőbeni hasonló hibákat..

    A frissítési folyamat évek óta megtörtént

    A BIOS frissítési folyamat örökre már az UEFI előtt volt. Hagyományosan a régi iskola BIOS-al szállított számítógépek, és kevésbé rosszul mennek. A PC-gyártók néhány BIOS-frissítést küldhetnek a kisebb problémák megoldására, de a szokásos tanács az volt, hogy ne telepítsük őket, ha a számítógép megfelelően működik. Gyakran be kellett indítania a bootolható DOS-meghajtóról a BIOS-frissítés villogásához, és mindenki hallotta a BIOS-frissítésekről, amelyek a hibás és megrongálódó PC-ket frissítették, és ezáltal leállíthatatlan.

    A dolgok megváltoztak. Az UEFI firmware sokkal többet tesz, és az Intel számos frissítést adott ki az elmúlt években, mint például a CPU mikrokód és az Intel ME. Amikor az Intel egy ilyen frissítést kiad, az Intel mindössze azt mondja: „kérdezze meg a számítógép gyártóját.” A számítógép gyártójának vagy alaplapjának gyártója, ha saját PC-jét építette, a kódot az Inteltől kell átvennie, és új UEFI firmware-be kell integrálnia változat. Ezután tesztelniük kell a firmware-t. Oh, és minden gyártónak meg kell ismételnie ezt a folyamatot minden egyes értékesített PC-nél, mivel mindegyiküknek különböző UEFI firmware-je van. Ez az a fajta kézi munka, amely olyan nehézvé tette az Android telefonok frissítését a múltban.

    A gyakorlatban ez azt jelenti, hogy az UEFI-n keresztül szállítandó kritikus biztonsági frissítéseket gyakran sok-sok hónapig tart. Ez azt jelenti, hogy a gyártók vállat vontak, és megtagadhatják a néhány évig tartó PC-k frissítését. És még akkor is, ha a gyártók frissítéseket tesznek közzé, ezeket a frissítéseket gyakran eltemetik a gyártó támogatási webhelyén. A legtöbb PC-felhasználó soha nem fogja felfedezni azokat az UEFI-firmware-frissítéseket, amelyek léteznek és telepítik őket, így ezek a hibák már régóta a meglévő számítógépeken élnek. És néhány gyártó még mindig a firmware-frissítéseket telepíti a DOS-ba történő elindítással, csak azért, hogy extra bonyolult legyen.

    Mit csinálnak az emberek

    Ez egy rendetlenség. Egyszerűsített folyamatra van szükségünk, ahol a gyártók könnyebben hozhatnak létre új UEFI firmware-frissítéseket. Szükségünk van egy jobb folyamatra is a frissítések kiadásához, így a felhasználók automatikusan telepíthetik őket a számítógépükre. Most a folyamat lassú, és manuális-gyorsnak és automatikusnak kell lennie.

    Ez az, amit a Microsoft a Mu projektjével próbál tenni. Íme, hogy a hivatalos dokumentáció megmagyarázza:

    A Mu épül arra az elgondolásra, hogy az UEFI termék szállítása és karbantartása számos partner folyamatos együttműködése. Túl hosszú ideig az iparág olyan „villás” modellt használva gyártott termékeket, amelyek a másolás / beillesztés / átnevezés kombinációjával kombináltak, és minden új termék esetében a karbantartási teher olyan mértékben növekszik, hogy a frissítések a költségek és a kockázat miatt közel lehetetlenek.

    A Mu projekt a PC-gyártóknak az UEFI-frissítések gyorsabb létrehozását és tesztelését szolgálja, az UEFI fejlesztési folyamatának racionalizálása és mindenki együttműködése révén. Remélhetőleg ez a hiányzó darab, mivel a Microsoft már megkönnyítette a számítógépgyártók számára az UEFI firmware-frissítések automatikus küldését a felhasználóknak.

    Pontosabban, a Microsoft lehetővé teszi a PC-gyártók számára a firmware-frissítések kiadását a Windows Update rendszeren keresztül, és legalább 2017 óta dokumentálta ezt. A Microsoft bejelentette a Component Firmware frissítést is; egy nyílt forráskódú modell, amelyet a gyártók 2018. októberében használhatnak az UEFI és más firmware frissítésére..

    Ez sem csak Windows-dolog. Linux alatt a fejlesztők megpróbálják megkönnyíteni a PC-gyártók számára az UFS-frissítések kiadását az LVFS, a Linux Vendor Firmware Service szolgáltatással. A PC-gyártók frissítéseket tudnak benyújtani, és a letöltéshez a GNOME szoftveralkalmazásban fog megjelenni, amelyet az Ubuntu és más Linux-disztribúciók használnak. Ez az erőfeszítés 2015-re nyúlik vissza. Számítógép-gyártók, mint a Dell és a Lenovo is részt vesznek.

    Ezek a Windows és Linux megoldások többet érintenek, mint az UEFI frissítések is. A hardvergyártók használhatják őket a jövőben az USB egér firmware-ről a szilárdtest-meghajtó firmware-re frissítésre.

    Ahogy a SwiftOnSecurity a szilárdtest-meghajtó firmware-ével és a titkosítással kapcsolatos problémákról beszél, a firmware-frissítések megbízhatóak lehetnek. A hardvergyártóktól jobban kell számítanunk.

    A firmware-frissítések megbízhatóak lehetnek. Legalább 3000 Dell BIOS-frissítést kezdeményeztem csak egyetlen hiba esetén, és a régi PC már a hibás működésre szolgál.

    Gondold át, hogy mit gondolsz, lehetetlen. A firmware szervizelése nem lehetetlen vagy kockázatos. Szükség van az emberek jobb keresletére.

    - SwiftOnSecurity (@SwiftOnSecurity) 2018. november 6.

    Képhitel: Intel, Natascha Eibl, kubais / Shutterstock.com.