Microsoft tikko paziņoja Projekts Mu, solot “programmaparatūru kā pakalpojumu” atbalstītajai aparatūrai. Katram datoru ražotājam tas jāņem vērā. Personālajiem datoriem ir nepieciešami UEFI programmaparatūras drošības atjauninājumi, un datoru ražotāji ir slikti tos piegādājuši.
Kas ir UEFI programmaparatūra?
Mūsdienu datoros tradicionālās BIOS vietā tiek izmantota UEFI programmaparatūra. UEFI programmaparatūra ir zema līmeņa programmatūra, kas tiek startēta, palaižot datoru. Tas pārbauda un inicializē aparatūru, veic zema līmeņa sistēmas konfigurāciju un pēc tam sāk operētājsistēmu no datora iekšējā diska vai citas sāknēšanas ierīces.
Tomēr UEFI ir nedaudz sarežģītāks par vecāko BIOS programmatūru. Piemēram, datoriem ar Intel procesoriem ir kaut kas tāds, ko sauc par Intel Management Engine, kas būtībā ir niecīga operētājsistēma. Tas darbojas paralēli operētājsistēmai Windows, Linux vai jebkurai citai operētājsistēmai, kuru izmantojat savā datorā. Korporatīvajos tīklos sistēmas administratori var izmantot Intel ME līdzekļus, lai attālināti pārvaldītu savus datorus.
UEFI satur arī procesora “mikrokodu”, kas ir līdzīgs jūsu procesora programmaparatūrai. Kad dators tiek palaists, tas ielādē mikrokodu no UEFI programmaparatūras. Padomājiet par to kā par tulku, kas pārvērš programmatūras instrukcijas aparatūras instrukcijās, kas tiek veiktas CPU.
Kāpēc UEFI programmaparatūrai ir nepieciešami drošības atjauninājumi
Daži pēdējie gadi atkal un atkal ir parādījuši, kāpēc UEFI programmaparatūrai ir nepieciešami savlaicīgi drošības atjauninājumi.
Mēs visi uzzinājām par Spectre 2018. gadā, parādot nopietnās arhitektūras problēmas ar mūsdienu CPU. Problēmas ar kaut ko, ko sauc par “spekulatīvo izpildi”, nozīmēja, ka programmas varēja izvairīties no standarta drošības ierobežojumiem un lasīt drošās atmiņas apgabalus. Lai pareizi darbotos, ir veikti labojumi, kas nepieciešami CPU mikrokoda atjauninājumiem. Tas nozīmē, ka datoru ražotājiem bija jāatjaunina visi savi klēpjdatori un galddatori — un mātesplates ražotājiem bija jāatjaunina visas savas mātesplates — ar jaunu UEFI programmaparatūru, kas satur atjaunināto mikrokodu. Jūsu dators nav pietiekami aizsargāts pret Spectre, ja vien neesat instalējis UEFI programmaparatūras atjauninājumu. AMD arī izlaida mikrokoda atjauninājumus, lai aizsargātu sistēmas ar AMD procesoriem no Spectre uzbrukumiem, tāpēc tā nav tikai Intel lieta.
Intel pārvaldības dzinējs ir redzējis dažus drošības kļūdas kas var ļaut uzbrucējiem ar lokālu piekļuvi datoram uzlauzt Management Engine programmatūru vai ļaut uzbrucējam ar attālo piekļuvi radīt problēmas. Par laimi, attālās darbības skāra tikai uzņēmumus, kuri bija iespējojuši Intel Active Management Technology (AMT), tāpēc vidusmēra patērētāji netika ietekmēti.
Šie ir tikai daži piemēri. Pētnieki ir arī pierādījuši, ka dažos datoros ir iespējams ļaunprātīgi izmantot UEFI programmaparatūru, izmantojot to, lai iegūtu dziļu piekļuvi sistēmai. Viņi pat ir pierādījuši pastāvīga izpirkuma programmatūra kas ieguva piekļuvi datora UEFI programmaparatūrai un darbojās no turienes.
Nozarei ir jāatjaunina katra datora UEFI programmaparatūra tāpat kā jebkura cita programmatūra, lai palīdzētu aizsargāt pret šīm problēmām un līdzīgiem trūkumiem nākotnē.
Kā atjaunināšanas process ir bojāts gadiem ilgi
BIOS atjaunināšanas process ir bijis haoss uz visiem laikiem — jau ilgi pirms UEFI. Tradicionāli datori tika piegādāti ar vecās skolas BIOS, un mazāk varēja noiet greizi. Personālo datoru ražotāji var piegādāt dažus BIOS atjauninājumus, lai novērstu nelielas problēmas, taču parastais padoms bija izvairīties no to instalēšanas, ja dators darbojas pareizi. Bieži nācās palaist no sāknējama DOS diskdziņa, lai veiktu BIOS atjauninājumu, un visi dzirdēja stāstus par BIOS atjauninājumu kļūmēm un datoru bloķēšanu, padarot tos nebootējamus.
Lietas ir mainījušās. UEFI programmaparatūra dara daudz vairāk, un Intel pēdējos gados ir izlaidusi vairākus lielus atjauninājumus tādām lietām kā CPU mikrokods un Intel ME. Ikreiz, kad Intel izlaiž šādu atjauninājumu, Intel var tikai pateikt “jautājiet savam datora ražotājam”. Jūsu datora ražotājam vai mātesplates ražotājam, ja esat izveidojis savu datoru, ir jāiegūst kods no Intel un jāintegrē tas jaunā UEFI programmaparatūras versijā. Pēc tam viņiem ir jāpārbauda programmaparatūra. Ak, un katram ražotājam šis process ir jāatkārto katram atsevišķam datoram, ko viņi pārdod, jo tiem visiem ir atšķirīga UEFI programmaparatūra. Tas ir manuāls darbs, kas agrāk Android tālruņus padarīja tik grūti atjaunināt.
Praksē tas nozīmē, ka bieži vien ir nepieciešams ilgs laiks — daudzi mēneši, lai iegūtu kritiskos drošības atjauninājumus, kas ir jāpiegādā, izmantojot UEFI. Tas nozīmē, ka ražotāji var paraustīt plecus un atteikties atjaunināt datorus, kas ir tikai dažus gadus veci. Un pat tad, ja ražotāji izlaiž atjauninājumus, šie atjauninājumi bieži tiek aprakti šī ražotāja atbalsta vietnē. Lielākā daļa datoru lietotāju nekad neatklās, ka pastāv šie UEFI programmaparatūras atjauninājumi, un tos neinstalēs, tāpēc šīs kļūdas ilgstoši saglabājas esošajos datoros. Un daži ražotāji joprojām liek jums instalēt programmaparatūras atjauninājumus, vispirms palaižot DOS — lai tas būtu īpaši sarežģīts.
Ko cilvēki dara par to
Tas ir haoss. Mums ir nepieciešams racionalizēts process, kurā ražotāji var vieglāk izveidot jaunus UEFI programmaparatūras atjauninājumus. Mums ir nepieciešams arī labāks process šo atjauninājumu izlaišanai, lai lietotāji tos varētu automātiski instalēt savos datoros. Pašlaik process ir lēns un manuāls — tam jābūt ātram un automātiskam.
Tas ir tas, ko Microsoft cenšas darīt ar Project Mu. Lūk, kā oficiālā dokumentācija to izskaidro:
Mu pamatā ir ideja, ka UEFI produkta piegāde un uzturēšana ir pastāvīga sadarbība starp daudziem partneriem. Pārāk ilgi nozare ir veidojusi produktus, izmantojot “forking” modeli, kas apvienots ar kopēšanu/ielīmēšanu/pārdēvēšanu, un ar katru jaunu produktu uzturēšanas slogs pieaug līdz tādam līmenim, ka atjaunināšana izmaksu un riska dēļ ir gandrīz neiespējama.
Projekta Mu mērķis ir palīdzēt datoru ražotājiem ātrāk izveidot un testēt UEFI atjauninājumus, racionalizējot UEFI izstrādes procesu un palīdzot visiem strādāt kopā. Cerams, ka šī ir trūkstošā daļa, jo Microsoft jau ir atvieglojusi datoru ražotājiem iespēju automātiski nosūtīt UEFI programmaparatūras atjauninājumus lietotājiem.
Konkrēti, Microsoft ļauj datoru ražotājiem izsniedziet programmaparatūras atjauninājumus izmantojot Windows Update, un ir nodrošinājis dokumentāciju par to vismaz kopš 2017. gada. Paziņoja arī Microsoft Komponentu programmaparatūras atjauninājums; atvērtā pirmkoda modelis, ko ražotāji var izmantot, lai atjauninātu UEFI un citu programmaparatūru, jau 2018. gada oktobrī. Ja datoru ražotāji to izmantos, viņi varētu ļoti ātri piegādāt programmaparatūras atjauninājumus visiem saviem lietotājiem.
Arī šī nav tikai Windows lieta. Operētājsistēmā Linux izstrādātāji cenšas atvieglot datoru ražotājiem UEFI atjauninājumu izdošanu LVFS, Linux piegādātāja programmaparatūras pakalpojums. Personālo datoru pārdevēji var iesniegt savus atjauninājumus, un tie tiks parādīti lejupielādei GNOME programmatūras lietojumprogrammā, kas tiek izmantota Ubuntu un daudzos citos Linux izplatījumos. Šie centieni aizsākās 2015. gadā. Personālo datoru ražotājiem patīk Dell un Lenovo piedalās.
Šie Windows un Linux risinājumi ietekmē ne tikai UEFI atjauninājumus. Aparatūras ražotāji varētu tos izmantot, lai nākotnē atjauninātu visu, sākot no USB peles programmaparatūras līdz cietvielu diska programmaparatūrai.
Kā SwiftOnSecurity runājot par problēmām ar cietvielu diska programmaparatūru un šifrēšanu, programmaparatūras atjauninājumi var būt uzticami. Mums ir jāgaida labāk no aparatūras ražotājiem.
Programmaparatūras atjauninājumi var būt uzticami. Esmu sācis vismaz 3000 Dell BIOS atjauninājumus ar tikai vienu kļūmi, un vecais dators jau tika izmantots kļūmes dēļ.
Pārdomājiet to, kas jums šķiet neiespējams. Programmaparatūras apkalpošana nav neiespējama vai riskanta. Tas prasa, lai cilvēki pieprasītu labāku.
— SwiftOnSecurity (@SwiftOnSecurity) 2018. gada 6. novembris
Attēla kredīts: Intel, Nataša Eibla, kubais/Shutterstock.com.