Zašto su UEFI firmveru vašeg računala potrebna sigurnosna ažuriranja



Microsoft je upravo najavio Projekt Mu , obećavajući firmware kao uslugu na podržanom hardveru. Svaki proizvođač računala treba uzeti u obzir. Računala trebaju sigurnosna ažuriranja za svoj UEFI firmware, a proizvođači računala loše su ih isporučili.

Što je UEFI firmware?

Koriste se moderna računala UEFI firmware umjesto tradicionalnog BIOS . UEFI firmware je softver niske razine koji se pokreće kada pokrenete svoje računalo. Testira i inicijalizira vaš hardver, vrši konfiguraciju sustava na niskoj razini, a zatim pokreće operativni sustav s internog diska vašeg računala ili nekog drugog uređaj za pokretanje .





Međutim, UEFI je malo kompliciraniji od starijeg BIOS softvera. Na primjer, računala s Intelovim procesorima imaju nešto što se zove Intelov upravljački motor , koji je u osnovi mali operativni sustav. Radi paralelno sa sustavom Windows, Linux ili bilo kojim operativnim sustavom koji koristite na računalu. Na korporativnim mrežama administratori sustava mogu koristiti značajke Intel ME za daljinsko upravljanje svojim računalima.

UEFI također sadrži procesor mikrokod , što je kao firmware za vaš procesor. Kada se vaše računalo pokrene, učitava mikrokod iz UEFI firmware-a. Razmišljajte o tome kao o tumaču koji prevodi softverske upute u hardverske upute koje se izvode na CPU-u.



POVEZANO: Što je UEFI i kako se razlikuje od BIOS-a?

Zašto su UEFI firmveru potrebna sigurnosna ažuriranja

Posljednjih nekoliko godina iznova je pokazalo zašto su UEFI firmveru potrebna pravovremena sigurnosna ažuriranja.



Oglas

Svi smo učili o Spektar 2018., pokazujući ozbiljne arhitektonske probleme s modernim procesorima. Problemi s nečim što se zove spekulativno izvršenje značilo je da su programi mogli izbjeći standardna sigurnosna ograničenja i čitati sigurna područja memorije. Popravci za Spectre potrebna ažuriranja mikrokoda CPU-a ispravno funkcionirati. To znači da su proizvođači računala morali ažurirati sva svoja prijenosna i stolna računala – a proizvođači matičnih ploča morali su ažurirati sve svoje matične ploče – novim UEFI firmverom koji sadrži ažurirani mikrokod. Vaše računalo nije adekvatno zaštićeno od Spectre osim ako niste instalirali UEFI ažuriranje firmvera. AMD također je objavio ažuriranja mikrokoda za zaštitu sustava s AMD procesorima od Spectre napada, tako da ovo nije samo stvar Intela.

Intelov Management Engine vidio je neke sigurnosnih grešaka to bi moglo dopustiti napadačima s lokalnim pristupom računalu da provale softver Management Engine ili dopustiti da napadač s udaljenim pristupom izazove probleme. Srećom, udaljena eksploatacija utjecala su samo na tvrtke koje su omogućile Intel Active Management Technology (AMT), tako da prosječni potrošači nisu bili pogođeni.

Ovo je samo nekoliko primjera. Istraživači su također pokazali da je moguće zloupotrijebiti UEFI firmware na nekim računalima, koristeći ga za dobivanje dubokog pristupa sustavu. Čak su i demonstrirali uporni ransomware koji je dobio pristup UEFI firmveru računala i pokrenuo se od tamo.

Industrija bi trebala ažurirati UEFI firmware svakog računala kao i svaki drugi softver kako bi se zaštitila od ovih problema i sličnih nedostataka u budućnosti.

POVEZANO: Kako provjeriti jesu li vaše računalo ili telefon zaštićeni od Meltdown i Spectre

Kako je proces ažuriranja bio prekinut godinama

Proces ažuriranja BIOS-a bio je zauvijek nered - još mnogo prije UEFI-ja. Tradicionalno, računala su se isporučila s tim starim BIOS-om i manje bi moglo poći po zlu. Proizvođači računala bi mogli isporučiti nekoliko BIOS ažuriranja riješiti manje probleme, ali uobičajeni savjet je bio da izbjegavajte njihovu instalaciju ako je vaše računalo ispravno radilo. Često ste se morali pokretati s DOS diska za pokretanje kako biste bljesnuli ažuriranje BIOS-a, a svi su čuli priče o neuspjehu ažuriranja BIOS-a i ometanju računala, što ih čini nemogućim za pokretanje.

Stvari su se promijenile. UEFI firmware čini puno više, a Intel je u posljednjih nekoliko godina objavio nekoliko velikih ažuriranja za stvari poput mikrokoda CPU-a i Intel ME. Kad god Intel objavi takvo ažuriranje, sve što Intel može učiniti je reći da pita proizvođača svog računala. Proizvođač vašeg računala — ili proizvođač matične ploče, ako ste izgradili vlastito računalo — mora preuzeti kod od Intela i integrirati ga u novu verziju UEFI firmware-a. Zatim moraju testirati firmware. Oh, i svaki proizvođač mora ponoviti ovaj postupak za svako pojedinačno računalo koje prodaje, jer svi imaju različite UEFI firmware. To je vrsta ručnog rada koji je napravio Android telefoni tako teško ažurirati u prošlosti.

Oglas

U praksi to znači da je često potrebno puno vremena - mnogo mjeseci - da se dobiju kritična sigurnosna ažuriranja koja se moraju isporučiti putem UEFI-ja. To znači da bi proizvođači mogli slegnuti ramenima i odbiti ažurirati računala koja su stara samo nekoliko godina. Čak i kada proizvođači objavljuju ažuriranja, ta su ažuriranja često zakopana na web-stranici za podršku tog proizvođača. Većina korisnika osobnih računala nikada neće otkriti da postoje ažuriranja UEFI firmvera i instalirati ih, tako da te greške na kraju žive na postojećim računalima dugo vremena. Neki proizvođači još uvijek tjeraju da instalirate ažuriranja firmvera do dizanje u DOS prvo — samo da bude dodatno komplicirano.

Što ljudi rade u vezi s tim

To je nered. Potreban nam je pojednostavljen proces u kojem proizvođači mogu lakše kreirati nova ažuriranja UEFI firmvera. Također nam je potreban bolji proces za objavljivanje tih ažuriranja kako bi ih korisnici mogli automatski instalirati na svoja računala. Trenutno je proces spor i ručan - trebao bi biti brz i automatski.

To je ono što Microsoft pokušava učiniti s Project Mu. Evo kako se službena dokumentacija objašnjava to:

Mu je izgrađen oko ideje da je isporuka i održavanje UEFI proizvoda stalna suradnja brojnih partnera. Predugo je industrija gradila proizvode koristeći model račvanja u kombinaciji s kopiranjem/paste/preimenovanjem i sa svakim novim proizvodom opterećenje održavanja raste do takve razine da je ažuriranje gotovo nemoguće zbog troškova i rizika.

Projekt Mu je usmjeren na pomaganje proizvođačima računala da brže kreiraju i testiraju ažuriranja UEFI-ja pojednostavljujući razvojni proces UEFI-ja i pomažući svima da rade zajedno. Nadamo se da je ovo dio koji nedostaje, jer je Microsoft već olakšao proizvođačima računala da korisnicima automatski pošalju ažuriranja UEFI firmvera.

Točnije, Microsoft dopušta proizvođačima računala izdati ažuriranja firmvera putem Windows Update-a i dostavio je dokumentaciju o tome barem od 2017. Microsoft je također najavio Ažuriranje firmvera komponente ; model otvorenog koda koji proizvođači mogu koristiti za ažuriranje UEFI-ja i drugog firmware-a, još u listopadu 2018. Ako se proizvođači računala uhvate u koštac s ovim, mogli bi vrlo brzo isporučiti ažuriranja firmvera svim svojim korisnicima.

Ovo nije samo stvar Windowsa. Na Linuxu, programeri pokušavaju olakšati proizvođačima računala da izdaju UEFI ažuriranja LVFS , usluga firmvera dobavljača Linuxa. Dobavljači računala mogu poslati svoja ažuriranja i ona će se pojaviti za preuzimanje u aplikaciji GNOME Software, koja se koristi na Ubuntu i mnogim drugim distribucijama Linuxa. Ovaj napor datira još iz 2015. Proizvođači računala vole Dell i Lenovo sudjeluju.

Oglas

Ova rješenja za Windows i Linux utječu i na više od samo ažuriranja UEFI-ja. Proizvođači hardvera mogli bi ih koristiti za ažuriranje svega, od firmvera USB miša do firmwarea SSD uređaja u budućnosti.

Kao SwiftOnSecurity stavite kada govorite o problemi s firmverom i enkripcijom čvrstog diska , ažuriranja firmvera mogu biti pouzdana. Moramo očekivati ​​bolje od proizvođača hardvera.

Zasluga slike: Intel , Natascha Eibl , kubais /Shutterstock.com.

PROČITAJTE SLJEDEĆE
  • & rsaquo; Cyber ​​ponedjeljak 2021.: Najbolje tehničke ponude
  • › Što je MIL-SPEC zaštita od pada?
  • › Mapa računala je 40: Kako je Xerox Star stvorio radnu površinu
  • › Funkcije u odnosu na formule u Microsoft Excelu: u čemu je razlika?
  • › Kako pronaći svoj Spotify omotan 2021
  • › 5 web stranica koje svaki korisnik Linuxa treba označiti
Profilna fotografija Chrisa Hoffmana Chris Hoffman
Chris Hoffman je glavni urednik How-To Geek. Više od desetljeća piše o tehnologiji i dvije godine je bio kolumnist PCWorld-a. Chris je pisao za The New York Times, bio je intervjuiran kao stručnjak za tehnologiju na TV postajama kao što je Miamijev NBC 6, a njegov rad su pokrivale novinske kuće poput BBC-a. Od 2011. Chris je napisao preko 2000 članaka koji su pročitani gotovo milijardu puta --- i to samo ovdje na How-To Geek.
Pročitajte cijelu biografiju

Zanimljivi Članci