Koduleht » kuidas » Miks teie arvuti UEFI püsivara vajab turvavärskendusi

    Miks teie arvuti UEFI püsivara vajab turvavärskendusi

    Microsoft teatas just projektist Mu, lubades toetatud riistvaral „püsivara kui teenusena“. Iga arvuti tootja peaks teadma. Arvutid vajavad oma UEFI püsivara turvavärskendusi ning arvutitootjad on nende tarnimisel halva töö teinud.

    Mis on UEFI püsivara?

    Kaasaegsed arvutid kasutavad traditsioonilist BIOSi asemel UEFI püsivara. UEFI püsivara on madala tasemega tarkvara, mis algab arvuti käivitamisel. See testib ja lähtestab teie riistvara, teeb mõne madala taseme süsteemikonfiguratsiooni ja seejärel käivitab operatsioonisüsteemi arvuti sisemisest draiverist või mõnest teisest käivitusseadmest.

    Kuid UEFI on veidi keerulisem kui vanem BIOS-tarkvara. Näiteks Intel-protsessoriga arvutitel on midagi, mida nimetatakse Intel Management Engine'iks, mis on põhimõtteliselt väike operatsioonisüsteem. See töötab paralleelselt Windowsiga, Linuxiga või mis tahes operatsioonisüsteemiga, mida teie arvutis töötab. Ettevõtete võrkudes saavad süsteemiadministraatorid oma arvutite kaugjuhtimiseks kasutada Intel ME funktsioone.

    UEFI sisaldab ka protsessori „mikrokoodi”, mis on omamoodi nagu teie protsessori püsivara. Kui arvuti käivitub, laadib see mikrokoodi UEFI püsivara. Mõelge sellele kui tõlkile, mis tõlgib tarkvarast juhised protsessoril tehtud riistvarasuunistele.

    Miks UEFI püsivara vajab turvavärskendusi

    Viimastel aastatel on näidatud, miks UEFI püsivara vajab õigeaegseid turvavärskendusi.

    Me kõik õppisime Spektrist 2018. aastal, näidates kaasaegsete protsessorite tõsiseid arhitektuuriprobleeme. Probleemid, mida nimetatakse spekulatiivseks täitmiseks, tähendasid, et programmid võivad pääseda tavalistest turvapiirangutest ja lugeda turvalisi mälupiirkondi. Spectre'i jaoks on vaja, et CPU mikrokoodide uuendused toimiksid õigesti. See tähendab, et arvutitootjad pidid värskendama kõik oma sülearvutid ja lauaarvutid ning emaplaadi tootjad pidid värskendama kõik oma emaplaadid - uue UEFI püsivara, mis sisaldas uuendatud mikrokoodi. Teie arvuti ei ole Spektri eest piisavalt kaitstud, kui te pole installinud UEFI püsivara värskendust. AMD vabastas ka mikrokoodide värskendused, et kaitsta Spectre'i rünnakutega AMD protsessorite süsteeme, nii et see ei ole ainult Intel'i asi.

    Inteli juhtimismootor on näinud mõningaid turvavigu, mis võivad lasta arvutil ründajatel lõhkuda Management Engine tarkvara või lasta ründajal, kellel on kaugjuurdepääs, probleeme. Õnneks kasutab kaugkasutus ainult neid ettevõtteid, kes olid aktiveerinud Intel Active Management Technology (AMT), seega ei mõjutanud keskmised tarbijad.

    Need on vaid mõned näited. Teadlased on samuti näidanud, et on võimalik kuritarvitada UEFI püsivara mõnel arvutil, kasutades selleks süsteemset juurdepääsu. Nad on isegi näidanud püsivat ransomware, mis sai juurdepääsu arvuti UEFI firmware ja jooksis sealt.

    Tööstus peaks uuendama iga arvuti UEFI püsivara nagu iga teine ​​tarkvara, et kaitsta nende probleemide ja sarnaste vigade eest tulevikus.

    Kuidas uuendusprotsess on aastaid katkenud

    BIOS-i värskendusprotsess on olnud igaveseks ajaks segadus, sest kaua enne UEFI-d. Traditsiooniliselt võivad selle vana kooli BIOSiga tarnitud arvutid ja vähem arvutid valesti minna. Arvutitootjad võivad väikeste probleemide lahendamiseks saata mõned BIOS-i värskendused, kuid tavaline soovitus oli vältida nende installimist, kui teie arvuti töötab korralikult. BIOS-i värskendamiseks tuli teil sageli käivitada käivitatavast DOS-draivist ning kõik kuulsid lugusid BIOS-i värskendustest, mis ei suutnud käivitada arvutit..

    Asjad on muutunud. UEFI püsivara teeb palju rohkem ja Intel on viimastel aastatel avaldanud mitmeid suuri uuendusi sellistele asjadele nagu CPU mikrokood ja Intel ME. Iga kord, kui Intel sellist värskendust avaldab, võib öelda, et kõik Intel võib öelda „küsi oma arvuti tootjalt.” Arvuti tootja või emaplaadi tootja, kui ehitasite oma arvuti, peab selle Intelilt võtma ja integreerima uue UEFI püsivara versioon. Seejärel peavad nad kontrollima püsivara. Oh, ja iga tootja peab seda protsessi kordama iga müüdava personaalarvuti puhul, kuna neil kõigil on erinevad UEFI püsivara. See on selline käsitsi tehtav töö, mis tegi Android-telefonid minevikus nii keeruliseks.

    Praktikas tähendab see, et UEFI kaudu edastatavate kriitiliste turvavärskenduste saamiseks kulub sageli kaua aega - mitu kuud. See tähendab, et tootjad võivad õlakehitusest keelduda ja keelduda värskendamast vaid mõne aasta vanuseid arvuteid. Ja isegi kui tootjad värskendusi avaldavad, maetakse need värskendused sageli selle tootja veebisaidile. Enamik arvutikasutajaid ei leia kunagi neid UEFI püsivara värskendusi ja neid installida, nii et need vead elavad juba olemasolevatel arvutitel juba pikka aega. Ja mõned tootjad panevad endiselt firmware värskendusi installima, käivitades DOS-i kõigepealt, et muuta see eriti keeruliseks.

    Mida inimesed sellest teevad

    See on segadus. Vajame lihtsustatud protsessi, kus tootjad saavad hõlpsamini luua uusi UEFI püsivara värskendusi. Meil on vaja ka paremat protsessi nende värskenduste vabastamiseks, et kasutajad saaksid need automaatselt arvutisse installida. Praegu on protsess aeglane ja see peaks olema kiire ja automaatne.

    Seda üritab Microsoft projektiga Mu teha. Järgnevalt selgitatakse ametlikku dokumentatsiooni:

    Mu on rajatud ideele, et UEFI toote tarnimine ja hooldamine on pidev koostöö paljude partnerite vahel. Liiga kaua on tootmisharu ehitanud tooteid, kasutades „kahvli” mudelit koos kopeerimise / kleepimise / ümbernimetamisega ning iga uue toote puhul kasvab hoolduskoormus sellisele tasemele, et uuendused on kulude ja riski tõttu peaaegu võimatud.

    Projekt Mu on mõeldud selleks, et aidata arvutitootjatel UEFI uuendusi kiiremini luua ja testida, lihtsustades UEFI arendusprotsessi ja aidates kõigil koos töötada. Loodetavasti on see puudu, sest Microsoft on juba teinud PC tootjatele lihtsamaks saata oma UEFI püsivara värskendused kasutajatele automaatselt.

    Täpsemalt, Microsoft võimaldab arvutitootjatel väljastada püsivara värskendusi Windowsi värskenduse kaudu ja on esitanud selle kohta dokumentatsiooni vähemalt alates 2017. aastast. Microsoft teatas ka komponendi püsivara värskendusest; avatud lähtekoodiga mudel, mida tootjad saavad UEFI ja muude püsivara värskendamiseks kasutada juba 2018. aasta oktoobris. Kui arvutitootjad saavad sellega kaasas, võivad nad pakkuda firmavärskenduste värskendusi kõigile oma kasutajatele väga kiiresti.

    See ei ole ainult Windowsi asi. Linuxi kaudu püüavad arendajad PC tootjate jaoks lihtsamalt välja anda UEFI värskendusi LVFS-iga, Linux Vendor Firmware Service'iga. PC-müüjad saavad oma värskendused esitada ja nad ilmuvad allalaadimiseks GNOME'i tarkvararakenduses, mida kasutatakse Ubuntu ja paljude teiste Linuxi levituste puhul. Need jõupingutused pärinevad aastast 2015. Arvutitootjad nagu Dell ja Lenovo osalevad.

    Need Windows ja Linuxi lahendused mõjutavad rohkem kui lihtsalt UEFI värskendusi. Riistvaratootjad saaksid neid kasutada tulevikus, et värskendada kõike USB-hiirte püsivara püsivara draiverile.

    Kuna SwiftOnSecurity pani selle tahkis-draivi püsivara ja krüpteerimise probleemidest rääkima, võivad püsivara värskendused olla usaldusväärsed. Me peame riistvaratootjatelt paremini ootama.

    Püsivara värskendused võivad olla usaldusväärsed. Olen käivitanud vähemalt 3000 Dell BIOS-i värskendust ainult ühe vea tõttu ja see vana arvuti oli juba töövõimetu.

    Mõtle uuesti, mida sa arvad on võimatu. Püsivara hooldus ei ole võimatu ega riskantne. See nõuab inimestelt suuremat nõudlust.

    - SwiftOnSecurity (@SwiftOnSecurity) 6. november 2018

    Pildi krediit: Intel, Natascha Eibl, kubais / Shutterstock.com.