Miksi tietokoneen UEFI-laiteohjelmisto tarvitsee tietoturvapäivityksiä
Microsoft julkisti juuri projektin Mu, joka lupaa "firmware palveluna" tuetussa laitteistossa. Jokaisen tietokoneen valmistajan tulisi ottaa huomioon. Tietokoneet tarvitsevat UEFI-laiteohjelmiston tietoturvapäivityksiä, ja PC-valmistajat ovat tehneet heikkoa työtä niiden toimittamisessa.
Mikä on UEFI-laiteohjelmisto?
Nykyaikaiset tietokoneet käyttävät UEFI-laiteohjelmistoa perinteisen BIOSin sijaan. UEFI-laiteohjelmisto on matalan tason ohjelmisto, joka käynnistyy, kun käynnistät tietokoneen. Se testaa ja alustaa laitteistosi, tekee jonkin verran matalan tason järjestelmän kokoonpanoa ja käynnistää sitten käyttöjärjestelmän tietokoneen sisäisestä asemasta tai muusta käynnistyslaitteesta.
UEFI on kuitenkin hieman monimutkaisempi kuin vanhempi BIOS-ohjelmisto. Esimerkiksi Intel-prosessoreilla varustetuissa tietokoneissa on jotain Intel Management Engine -ohjelmaa, joka on pohjimmiltaan pieni käyttöjärjestelmä. Se toimii samanaikaisesti Windows-, Linux- tai mitä tahansa tietokoneellasi toimivan käyttöjärjestelmän kanssa. Yritysten verkoissa järjestelmänvalvojat voivat käyttää Intel ME: n ominaisuuksia tietokoneiden etähallintaan.
UEFI sisältää myös prosessorin ”mikrokoodin”, joka on eräänlainen prosessorin ohjelmisto. Kun tietokone käynnistyy, se lataa mikrokoodin UEFI-laiteohjelmistosta. Ajattele sitä kuin tulkkia, joka kääntää ohjelmisto-ohjeet suorittimen suorittamiin laitteisto-ohjeisiin.
Miksi UEFI Firmware tarvitsee tietoturvapäivityksiä
Viime vuosina on käynyt ilmi, miksi UEFI-laiteohjelmisto tarvitsee oikea-aikaisia tietoturvapäivityksiä.
Olemme kaikki oppineet Spectrestä vuonna 2018, ja ne osoittavat vakavia arkkitehtonisia ongelmia nykyaikaisilla keskusyksiköillä. Ongelmia, joita kutsutaan spekulatiiviseksi toteutukseksi, tarkoitti, että ohjelmat voisivat välttää vakioturvallisuusrajoituksia ja lukea turvallisia muistialueita. Korjataan Specterille vaadittavat CPU-mikrokoodin päivitykset toimiakseen oikein. Tämä tarkoittaa sitä, että PC-valmistajien oli päivitettävä kaikki kannettavat tietokoneet ja pöytätietokoneet, ja emolevyn valmistajien oli päivitettävä kaikki emolevyt - uudella UEFI-laiteohjelmistolla, joka sisälsi päivitetyn mikrokoodin. Tietokoneesi ei ole riittävästi suojattu Specteria vastaan, ellet ole asentanut UEFI-laiteohjelmistopäivitystä. AMD julkaisi myös mikrokoodin päivitykset suojaamaan järjestelmiä, joilla on AMD-prosessorit Specterin hyökkäyksiltä, joten tämä ei ole vain Intel-asia.
Intelin Management Engine on nähnyt joitakin tietoturvavirheitä, jotka voivat joko antaa hyökkääjille, joilla on paikallinen pääsy tietokoneeseen, haltuunsa Management Engine -ohjelmiston tai antaa hyökkääjän, jolla on etäkäyttö, ongelmia. Onneksi etäkäyttö hyödyntää vain sellaisia yrityksiä, jotka olivat ottaneet käyttöön Intel Active Management Technologyn (AMT), joten keskivertokuluttajat eivät vaikuttaneet.
Nämä ovat vain muutamia esimerkkejä. Tutkijat ovat myös osoittaneet, että on mahdollista käyttää väärin UEFI-laiteohjelmistoa joissakin tietokoneissa, jolloin se saa syvällisen pääsyn järjestelmään. He ovat jopa osoittaneet jatkuvaa ransomware, joka sai pääsyn tietokoneen UEFI firmware ja juoksi sieltä.
Teollisuuden tulisi päivittää jokaisen tietokoneen UEFI-laiteohjelmisto aivan kuten mikä tahansa muu ohjelmisto, joka auttaa suojaamaan näitä ongelmia ja vastaavia virheitä tulevaisuudessa.
Miten päivitysprosessi on rikkoutunut vuosia
BIOS-päivitysprosessi on ollut sotku ikuisesti jo kauan ennen UEFI: ta. Perinteisesti vanhojen koulujen BIOS: n mukana toimitettavat tietokoneet ja vähemmän tietokoneet voivat mennä pieleen. PC-valmistajat saattavat lähettää muutamia BIOS-päivityksiä korjaamaan pieniä ongelmia, mutta tavallinen ohje oli välttää niiden asentaminen, jos tietokone toimi oikein. Sinun täytyi käynnistää BIOS-päivitys usein käynnistyskäyttöisestä DOS-asemasta, ja kaikki kuulivat tarinoita BIOS-päivityksistä, joissa on virheellisiä ja bricking-tietokoneita..
Asiat ovat muuttuneet. UEFI-laiteohjelmisto tekee paljon enemmän, ja Intel on julkaissut useita suuria päivityksiä esimerkiksi CPU-mikrokoodiin ja Intel ME: hen viime vuosina. Aina kun Intel julkaisee tällaisen päivityksen, kaikki Intel voi sanoa "kysy tietokoneesi valmistajalta." Tietokoneen valmistaja tai emolevyn valmistaja, jos rakensit oman tietokoneesi, on otettava koodi Intelista ja integroitava se uuteen UEFI-laiteohjelmistoon versio. Sitten heidän on testattava laiteohjelmisto. Oh, ja jokaisen valmistajan on toistettava tämä prosessi jokaisesta myydystä PC: stä, sillä niillä kaikilla on erilaiset UEFI-laiteohjelmistot. Se on sellainen manuaalinen työ, joka teki Android-puhelimista niin vaikeaa päivittää aiemmin.
Käytännössä tämä tarkoittaa, että UEFI: n kautta toimitettavien kriittisten tietoturvapäivitysten saaminen vaatii usein kauan - monta kuukautta. Se tarkoittaa, että valmistajat voivat vetäytyä ja kieltäytyä päivittämästä vain muutaman vuoden ikäisiä tietokoneita. Ja vaikka valmistajat julkaisevat päivityksiä, nämä päivitykset haudataan usein kyseisen valmistajan tukisivustolle. Useimmat PC-käyttäjät eivät löydä niitä UEFI-laiteohjelmistopäivityksiä ja asentaa ne, joten nämä virheet elävät jo olemassa olevissa tietokoneissa pitkään. Ja jotkut valmistajat asettavat ohjelmistopäivitykset asentamalla ne DOS: iin ensin, jotta se olisi erittäin monimutkainen.
Mitä ihmiset tekevät siitä
Se on sotku. Tarvitsemme virtaviivaisen prosessin, jossa valmistajat voivat helpommin luoda uusia UEFI-laiteohjelmistopäivityksiä. Tarvitsemme myös parempaa prosessia näiden päivitysten vapauttamiseksi, jotta käyttäjät voivat asentaa ne automaattisesti tietokoneisiinsa. Juuri nyt prosessi on hidasta ja sen pitäisi olla nopea ja automaattinen.
Sitä Microsoft yrittää tehdä projektin Mu kanssa. Seuraavassa kuvataan, miten viralliset asiakirjat selittävät sitä:
Mu on rakennettu ajatukseen, että UEFI-tuotteen kuljetus ja ylläpito on jatkuva yhteistyö useiden kumppaneiden välillä. Liian kauan teollisuus on rakentanut tuotteita käyttämällä "haarukkamalli" -mallia, joka on yhdistetty kopiointi / liitä / nimetä uudelleen, ja jokaisen uuden tuotteen kanssa ylläpitokuorma kasvaa niin suureksi, että päivitykset ovat lähes mahdotonta kustannusten ja riskien vuoksi.
Projektin Mu tarkoituksena on auttaa PC-valmistajia luomaan ja testaamaan UEFI-päivityksiä nopeammin tehostamalla UEFI-kehitysprosessia ja auttamalla kaikkia työskentelemään yhdessä. Toivottavasti tämä on puuttuva kappale, koska Microsoft on jo helpottanut PC-valmistajien lähettämiä UEFI-laiteohjelmistopäivityksiä käyttäjille automaattisesti.
Erityisesti Microsoft antaa PC-valmistajille mahdollisuuden päivittää firmware-päivityksiä Windows Update -palvelun kautta, ja se on toimittanut asiaa koskevat asiakirjat ainakin vuodesta 2017 alkaen. Microsoft ilmoitti myös Component Firmware -päivityksen; avoimen lähdekoodin malli, jota valmistajat voivat käyttää UEFI: n ja muiden laiteohjelmistojen päivittämiseen jo lokakuussa 2018. Jos PC-valmistajat pääsevät mukaan tähän, he voivat toimittaa laiteohjelmistopäivitykset kaikille käyttäjilleen hyvin nopeasti.
Tämä ei ole vain Windows-asia. Linuxissa kehittäjät yrittävät helpottaa PC-valmistajien antamia UEFI-päivityksiä LVFS: llä, Linux Vendor Firmware Service -palvelulla. PC-toimittajat voivat lähettää päivityksiä, ja ne näkyvät ladattavina GNOME-ohjelmistosovelluksessa, jota käytetään Ubuntu-ohjelmassa ja monissa muissa Linux-jakeluissa. Tämä ponnistus on peräisin vuodelta 2015. Tietokoneiden valmistajat, kuten Dell ja Lenovo, osallistuvat siihen.
Nämä Windows- ja Linux-ratkaisut vaikuttavat enemmän kuin vain UEFI-päivityksiin. Laitteiden valmistajat voisivat käyttää niitä päivittämään kaiken USB-hiiren laiteohjelmistosta kiinteän aseman laiteohjelmistoon tulevaisuudessa.
Kun SwiftOnSecurity laittaa sen puhuessaan kiinteän aseman laiteohjelmiston ja salauksen ongelmista, laiteohjelmistopäivitykset voivat olla luotettavia. Laitteiden valmistajilta on odotettava parempaa.
Laiteohjelmistopäivitykset voivat olla luotettavia. Olen käynnistänyt vähintään 3 000 Dellin BIOS-päivitystä vain yhdellä virheellä ja että vanha tietokone oli jo käytössä vian vuoksi.
Ajattele uudelleen, mitä mielestäsi on mahdotonta. Laiteohjelmiston huolto ei ole mahdotonta tai riskialtista. Se vaatii ihmisten kysyntää paremmin.
- SwiftOnSecurity (@SwiftOnSecurity) 6. marraskuuta 2018
Kuvaluotto: Intel, Natascha Eibl, kubais / Shutterstock.com.