Microsoft щойно оголосила Проект Му, обіцяючи «прошивку як послугу» на підтримуваному обладнанні. Кожен виробник ПК повинен взяти до уваги. Комп’ютери потребують оновлення системи безпеки для свого мікропрограмного забезпечення UEFI, і виробники ПК погано попрацювали над їх доставкою.
Що таке прошивка UEFI?
Сучасні ПК використовують прошивку UEFI замість традиційного BIOS. Прошивка UEFI — це програмне забезпечення низького рівня, яке запускається під час завантаження ПК. Він перевіряє та ініціалізує ваше обладнання, виконує деяку низькорівневу конфігурацію системи, а потім завантажує операційну систему з внутрішнього диска вашого комп’ютера або іншого завантажувального пристрою.
Однак UEFI трохи складніший, ніж старе програмне забезпечення BIOS. Наприклад, комп’ютери з процесорами Intel мають так званий Intel Management Engine, який по суті є крихітною операційною системою. Він працює паралельно з Windows, Linux або іншою операційною системою, яка працює на вашому комп’ютері. У корпоративних мережах системні адміністратори можуть використовувати функції Intel ME для віддаленого керування своїми комп’ютерами.
UEFI також містить «мікрокод» процесора, який схожий на мікропрограму для вашого процесора. Коли комп’ютер завантажується, він завантажує мікрокод із мікропрограми UEFI. Думайте про це як про інтерпретатор, який перекладає інструкції програмного забезпечення в апаратні інструкції, що виконуються на ЦП.
Чому мікропрограму UEFI потребує оновлення безпеки
Останні кілька років знову і знову показують, чому мікропрограмне забезпечення UEFI потребує своєчасних оновлень безпеки.
Ми всі дізналися про Spectre у 2018 році, показуючи серйозні архітектурні проблеми з сучасними процесорами. Проблеми з тим, що називається «спекулятивним виконанням», означали, що програми могли уникнути стандартних обмежень безпеки та читати захищені області пам’яті. Виправлено, що Spectre вимагає оновлення мікрокоду ЦП для правильної роботи. Це означає, що виробникам ПК довелося оновити всі свої ноутбуки та настільні ПК — а виробникам материнських плат — оновити всі свої материнські плати — за допомогою нової мікропрограми UEFI, що містить оновлений мікрокод. Ваш ПК недостатньо захищений від Spectre, якщо ви не встановили оновлення мікропрограми UEFI. AMD також випустила оновлення мікрокоду, щоб захистити системи з процесорами AMD від атак Spectre, тож це стосується не лише Intel.
Intel’s Management Engine побачив деякі помилки безпеки це може або дозволити зловмисникам з локальним доступом до комп’ютера зламати програмне забезпечення Management Engine, або дозволити зловмиснику з віддаленим доступом викликати проблеми. На щастя, віддалені експлойти торкнулися лише тих компаній, які ввімкнули технологію Intel Active Management Technology (AMT), тому середні споживачі не постраждали.
Це лише кілька прикладів. Дослідники також продемонстрували, що можна зловживати мікропрограмою UEFI на деяких ПК, використовуючи її для отримання глибокого доступу до системи. Вони навіть продемонстрували стійке програмне забезпечення-вимагач який отримав доступ до мікропрограми UEFI комп’ютера та запустився звідти.
Галузь повинна оновлювати мікропрограму UEFI кожного комп’ютера, як і будь-яке інше програмне забезпечення, щоб захистити від цих проблем і подібних недоліків у майбутньому.
Як процес оновлення був порушений роками
Процес оновлення BIOS був безладом назавжди — ще задовго до UEFI. Традиційно комп’ютери постачалися з цим старовинним BIOS, і менше могло піти не так. Виробники ПК можуть постачати кілька оновлень BIOS, щоб виправити незначні проблеми, але звичайною порадою було уникати їх встановлення, якщо ваш комп’ютер працював належним чином. Вам часто доводилося завантажуватися із завантажувального диска DOS, щоб оновити BIOS, і всі чули історії про те, що оновлення BIOS виходять з ладу та блокують ПК, що робило їх неможливими.
Ситуація змінилася. Прошивка UEFI робить набагато більше, і за останні кілька років Intel випустила кілька великих оновлень таких речей, як мікрокод ЦП і Intel ME. Щоразу, коли Intel випускає таке оновлення, все, що Intel може зробити, це сказати «запитайте у виробника вашого комп’ютера». Виробник вашого комп’ютера — або виробник материнської плати, якщо ви створили власний комп’ютер — має взяти код від Intel та інтегрувати його в нову версію мікропрограми UEFI. Потім вони повинні перевірити прошивку. О, і кожен виробник повинен повторити цей процес для кожного окремого ПК, який вони продають, оскільки всі вони мають різну прошивку UEFI. Це той вид ручної роботи, через який телефони Android було так важко оновлювати в минулому.
На практиці це означає, що для отримання критичних оновлень безпеки, які мають доставлятися через UEFI, часто потрібен багато часу — багато місяців. Це означає, що виробники можуть знизати плечима і відмовитися оновлювати ПК, яким всього кілька років. І навіть коли виробники випускають оновлення, ці оновлення часто ховаються на веб-сайті підтримки цього виробника. Більшість користувачів ПК ніколи не дізнаються про існування цих оновлень мікропрограми UEFI та не встановлять їх, тому ці помилки в кінцевому підсумку залишаються на існуючих ПК протягом тривалого часу. І деякі виробники все ще змушують вас встановлювати оновлення мікропрограми, спочатку завантажуючи DOS — лише для того, щоб зробити це ще більш складним.
Що люди роблять щодо цього
Це безлад. Нам потрібен спрощений процес, щоб виробники могли легше створювати нові оновлення мікропрограми UEFI. Нам також потрібен кращий процес випуску цих оновлень, щоб користувачі могли автоматично встановлювати їх на своїх ПК. Зараз процес повільний і ручний — він має бути швидким і автоматичним.
Це те, що Microsoft намагається зробити з Project Mu. Ось як офіційна документація пояснює це:
Mu побудовано на ідеї, що доставка та обслуговування продукту UEFI — це постійна співпраця між численними партнерами. Занадто довго промисловість створювала продукти з використанням моделі «розділу» в поєднанні з копіюванням/вставкою/перейменуванням, і з кожним новим продуктом навантаження на технічне обслуговування зростає до такого рівня, що оновлення майже неможливі через вартість та ризик.
Project Mu — це допомога виробникам ПК швидше створювати й тестувати оновлення UEFI, спрощуючи процес розробки UEFI та допомагаючи всім працювати разом. Сподіваємося, цього не вистачає, оскільки Microsoft вже полегшила виробникам ПК автоматично надсилати користувачам оновлення мікропрограми UEFI.
Зокрема, Microsoft дозволяє виробникам ПК випускати оновлення мікропрограми через Windows Update і надає документацію щодо цього принаймні з 2017 року. Microsoft також оголосила Оновлення мікропрограми компонента; модель з відкритим вихідним кодом, яку виробники можуть використовувати для оновлення UEFI та іншого мікропрограмного забезпечення, ще в жовтні 2018 року. Якщо виробники ПК підтримають це, вони зможуть дуже швидко доставити оновлення мікропрограм всім своїм користувачам.
Це також стосується не лише Windows. У Linux розробники намагаються полегшити виробникам ПК випуск оновлень UEFI LVFS, служба прошивки постачальника Linux. Постачальники ПК можуть надсилати свої оновлення, і вони з’являться для завантаження в програмі GNOME Software, яка використовується в Ubuntu та багатьох інших дистрибутивах Linux. Ця спроба датується 2015 роком. Виробникам ПК подобається Dell і Lenovo беруть участь.
Ці рішення для Windows і Linux також впливають не тільки на оновлення UEFI. Виробники обладнання можуть використовувати їх для оновлення всього, від мікропрограми USB-миші до прошивки твердотільного накопичувача в майбутньому.
Як SwiftOnSecurity Якщо говорити про проблеми з мікропрограмою та шифруванням твердотільного накопичувача, оновлення мікропрограми можуть бути надійними. Ми повинні очікувати кращого від виробників обладнання.
Оновлення прошивки можуть бути надійними. Я ініціював принаймні 3000 оновлень Dell BIOS лише з однією помилкою, і цей старий ПК уже працював через несправність.
Подумайте ще раз, що, на вашу думку, неможливо. Обслуговування прошивки не є неможливим або ризикованим. Це вимагає, щоб люди вимагали кращого.
— SwiftOnSecurity (@SwiftOnSecurity) 6 листопада 2018 року
Авторство зображення: Intel, Наташа Ейбл, kubais/Shutterstock.com.