A Microsoft most jelentette be Projekt Mu, amely „firmware-t szolgáltatásként” ígér a támogatott hardvereken. Minden PC-gyártónak ezt figyelembe kell vennie. A számítógépeknek biztonsági frissítésekre van szükségük az UEFI firmware-hez, és a PC-gyártók rosszul teljesítették ezeket.
Tartalomjegyzék
Mi az UEFI firmware?
A modern számítógépek UEFI firmware-t használnak a hagyományos BIOS helyett. Az UEFI firmware egy alacsony szintű szoftver, amely a számítógép indításakor indul el. Teszteli és inicializálja a hardvert, elvégzi az alacsony szintű rendszerkonfigurációt, majd elindítja az operációs rendszert a számítógép belső meghajtójáról vagy más rendszerindító eszközről.
Az UEFI azonban egy kicsit bonyolultabb, mint a régebbi BIOS-szoftver. Például az Intel processzorokkal rendelkező számítógépeken van valami úgynevezett Intel Management Engine, ami alapvetően egy apró operációs rendszer. Párhuzamosan fut Windows, Linux vagy bármilyen operációs rendszerrel, amelyet a számítógépén futtat. Vállalati hálózatokon a rendszergazdák az Intel ME szolgáltatásait használhatják számítógépeik távoli kezelésére.
Az UEFI processzor „mikrokódot” is tartalmaz, amely a processzor firmware-éhez hasonló. Amikor a számítógép elindul, betölti a mikrokódot az UEFI firmware-ből. Tekintsd úgy, mint egy tolmácsot, amely a szoftveres utasításokat a CPU-n végrehajtott hardverutasításokká fordítja le.
Miért van szüksége az UEFI firmware-nek biztonsági frissítésekre?
Az elmúlt néhány év újra és újra megmutatta, miért van szüksége az UEFI firmware-nek időszerű biztonsági frissítésekre.
Mindannyian tanultunk a Spectre-ről 2018-ban, bemutatva a modern CPU-kkal kapcsolatos komoly építészeti problémákat. A „spekulatív végrehajtás”-nak nevezett problémák azt jelentették, hogy a programok elkerülhetik a szabványos biztonsági korlátozásokat, és beolvashatták a memória biztonságos területeit. Javítások a Spectre által a megfelelő működéshez szükséges CPU-mikrokód-frissítésekhez. Ez azt jelenti, hogy a PC-gyártóknak frissíteniük kellett minden laptopjukat és asztali számítógépüket – az alaplapgyártóknak pedig az összes alaplapjukat – a frissített mikrokódot tartalmazó új UEFI firmware-rel. A számítógépe nincs megfelelően védve a Spectre ellen, hacsak nem telepített UEFI firmware-frissítést. AMD mikrokód-frissítéseket is kiadott, hogy megvédje az AMD processzorokkal rendelkező rendszereket a Spectre támadásokkal szemben, tehát ez nem csak az Intel dolga.
Az Intel Management Engine látott néhányat biztonsági hibák Ez vagy lehetővé teheti a számítógéphez helyi hozzáféréssel rendelkező támadók számára a Management Engine szoftver feltörését, vagy a távoli hozzáféréssel rendelkező támadók problémáit. Szerencsére a távoli kihasználások csak azokat a vállalkozásokat érintették, amelyek engedélyezték az Intel Active Management Technology-t (AMT), így az átlagos fogyasztókat ez nem érintette.
Ez csak néhány példa. A kutatók azt is kimutatták, hogy egyes PC-ken lehetséges visszaélni az UEFI firmware-rel, ezzel mélyreható hozzáférést biztosítva a rendszerhez. Még demonstráltak is tartós zsarolóprogram amely hozzáférést kapott egy számítógép UEFI firmware-éhez, és onnan futott.
Az iparágnak minden számítógép UEFI-firmware-ét frissítenie kell, mint bármely más szoftvert, hogy a jövőben megvédje magát ezekkel a problémákkal és hasonló hibákkal szemben.
Hogyan szakadt meg a frissítési folyamat évek óta
A BIOS frissítési folyamata örök káosz volt – már jóval az UEFI előtt. Hagyományosan a számítógépeket a régi iskola BIOS-ával szállították, és kevesebb is hibázhatott. A számítógépgyártók szállíthatnak néhány BIOS-frissítést a kisebb problémák megoldására, de a szokásos tanács az volt, hogy kerülje a telepítést, ha a számítógép megfelelően működik. Gyakran kellett rendszerindító DOS-meghajtóról indítani a BIOS-frissítés frissítéséhez, és mindenki hallott olyan történeteket, hogy a BIOS-frissítések meghiúsultak, és a PC-ket leblokkolták, és azok rendszerindítóvá váltak.
A dolgok megváltoztak. Az UEFI firmware sokkal többet tesz, és az Intel az elmúlt néhány évben számos nagy frissítést adott ki olyan dolgokhoz, mint a CPU mikrokód és az Intel ME. Amikor az Intel ilyen frissítést ad ki, az Intel csak annyit tehet, hogy „kérdezze meg a számítógép gyártóját”. A számítógép gyártójának – vagy az alaplap gyártójának, ha saját számítógépét építette – át kell vennie a kódot az Inteltől, és integrálnia kell egy új UEFI firmware-verzióba. Ezután tesztelniük kell a firmware-t. Ó, és minden gyártónak meg kell ismételnie ezt a folyamatot minden egyes eladott számítógépén, mivel mindegyiknek más az UEFI firmware-je. Ez az a fajta kézi munka, amely a múltban olyan nehézzé tette az Android telefonok frissítését.
Ez a gyakorlatban azt jelenti, hogy gyakran hosszú időbe telik – sok hónapig – a kritikus biztonsági frissítések beszerzése, amelyeket az UEFI-n keresztül kell eljuttatni. Ez azt jelenti, hogy a gyártók vállat vonhatnak, és megtagadhatják a néhány éves PC-k frissítését. És még akkor is, ha a gyártók kiadnak frissítéseket, ezek a frissítések gyakran el vannak temetve az adott gyártó támogatási webhelyén. A legtöbb PC-felhasználó soha nem fogja felfedezni, hogy léteznek ezek az UEFI firmware-frissítések, és nem telepíti őket, így ezek a hibák hosszú ideig a meglévő számítógépeken élnek. Egyes gyártók továbbra is úgy kényszerítik a firmware-frissítések telepítését, hogy először DOS rendszerbe kell indítani – csak azért, hogy ez még bonyolultabb legyen.
Mit csinálnak az emberek
Ez egy rendetlenség. Egy egyszerűsített folyamatra van szükségünk, ahol a gyártók könnyebben hozhatnak létre új UEFI firmware-frissítéseket. A frissítések kiadásához is jobb eljárásra van szükségünk, hogy a felhasználók automatikusan telepíthessék őket számítógépükre. Jelenleg a folyamat lassú és manuális – gyorsnak és automatikusnak kell lennie.
A Microsoft ezt próbálja elérni a Project Mu-val. Íme, hogyan a hivatalos dokumentáció elmagyarázza:
A Mu arra épül, hogy az UEFI-termékek szállítása és karbantartása számos partner folyamatos együttműködése. Az ipar túl sokáig építette a termékeket a másolás/beillesztés/átnevezés kombinált „forking” modellel, és minden új termékkel a karbantartási teher olyan szintre nő, hogy a frissítések a költségek és a kockázatok miatt szinte lehetetlenek.
A Project Mu célja, hogy segítse a PC-gyártókat az UEFI-frissítések gyorsabb létrehozásában és tesztelésében az UEFI-fejlesztési folyamat leegyszerűsítésével és mindenki együttműködésének segítésével. Remélhetőleg ez a hiányzó darab, a Microsoft ugyanis már megkönnyítette a PC-gyártók számára, hogy automatikusan elküldjék az UEFI firmware-frissítéseiket a felhasználóknak.
Pontosabban, a Microsoft lehetővé teszi a PC-gyártók számára firmware frissítéseket ad ki a Windows Update-en keresztül, és legalább 2017 óta dokumentációt adott erről. A Microsoft is bejelentette Komponens firmware frissítés; egy nyílt forráskódú modell, amellyel a gyártók 2018 októberében frissíthetik az UEFI-t és más firmware-t. Ha a PC-gyártók ezt elfogadják, nagyon gyorsan eljuttathatják a firmware-frissítéseket minden felhasználójukhoz.
Ez sem csak a Windows dolog. Linux alatt a fejlesztők igyekeznek megkönnyíteni a PC-gyártók számára az UEFI-frissítések kiadását LVFS, a Linux szállítói firmware-szolgáltatás. A PC-gyártók elküldhetik frissítéseiket, és azok letöltésre megjelennek a GNOME Software alkalmazásban, amelyet az Ubuntu és sok más Linux disztribúció használ. Ez az erőfeszítés 2015-ig nyúlik vissza. A PC-gyártók kedvelik Dell és Lenovo vesznek részt.
Ezek a Windows és Linux megoldások nemcsak az UEFI-frissítéseket érintik. A hardvergyártók a jövőben felhasználhatják ezeket az USB-egér firmware-től a szilárdtestalapú meghajtók firmware-jéig.
Mint SwiftOnSecurity Ha a szilárdtestalapú meghajtó firmware-ével és titkosításával kapcsolatos problémákról beszélünk, akkor a firmware-frissítések megbízhatóak lehetnek. Jobbat kell várnunk a hardvergyártóktól.
A firmware frissítések megbízhatóak lehetnek. Legalább 3000 Dell BIOS-frissítést kezdeményeztem egyetlen hiba miatt, és az a régi számítógép már üzemben volt meghibásodás miatt.
Gondold át újra azt, amit lehetetlennek tartasz. A firmware szervizelése nem lehetetlen vagy kockázatos. Ehhez az emberek jobbat kívánnak.
— SwiftOnSecurity (@SwiftOnSecurity) 2018. november 6
Kép jóváírása: Intel, Natascha Eibl, kubais/Shutterstock.com.