למה קושחה UffI של המחשב שלך זקוק עדכוני אבטחה
מיקרוסופט הודיעה רק על פרויקט מו, המבטיח "קושחה כשירות" בחומרה הנתמכת. כל יצרן מחשב צריך לשים לב. מחשבים אישיים זקוקים לעדכוני אבטחה לקושחת UEFI שלהם, ויצרני המחשבים האישיים עשו עבודה גרועה של אספקתם.
מהו קושחה UEFI?
מחשבים מודרניים משתמשים בקושחה של UEFI במקום ב- BIOS מסורתי. הקושחה של UEFI היא תוכנה ברמה נמוכה שמתחילה בעת אתחול המחשב. הוא בודק ומבצע אתחול של החומרה, מבצע תצורת מערכת ברמה נמוכה ולאחר מכן מבצע אתחול של מערכת הפעלה מהכונן הפנימי של המחשב או מהתקן אתחול אחר.
עם זאת, UEFI הוא קצת יותר מסובך מאשר תוכנת ה- BIOS הקודמת. לדוגמה, למחשבים עם מעבדי Intel יש משהו שנקרא Intel Management Engine, שהוא בעצם מערכת הפעלה זעירה. הוא פועל במקביל ל- Windows, Linux או כל מערכת הפעלה אחרת שאתה מפעיל במחשב. ברשתות ארגוניות, מנהלי מערכות יכולים להשתמש בתכונות ב- Intel ME כדי לנהל מרחוק את המחשבים שלהם.
UEFI מכיל גם מעבד "microcode", שהוא סוג של קושחה כמו המעבד שלך. כאשר המחשב שלך מאתחל, הוא טוען microcode מהקושחה UEFI. תחשוב על זה כמו מתורגמן המתרגם הוראות תוכנה להוראות חומרה שבוצעו על המעבד.
למה קושחה UEFI צריך עדכוני אבטחה
בשנים האחרונות הראו שוב ושוב מדוע הקושחה UEFI צריך עדכוני אבטחה בזמן.
כולנו למדנו על Specter בשנת 2018, מראה את הבעיות האדריכליות רציני עם המעבדים המודרניים. בעיות במשהו שנקרא "ביצוע ספקולטיבי" פירושו תוכניות יכולות להימלט מהגבלות אבטחה סטנדרטיות ולקרוא אזורים בטוחים של זיכרון. תיקונים ל Specter נדרש מעבד microcode עדכונים לתפקד כראוי. כלומר, יצרני המחשבים היו צריכים לעדכן את כל המחשבים הניידים והמחשבים השולחניים שלהם, ויצרני לוח האם היו צריכים לעדכן את כל לוחות האם שלהם - עם קושחה חדשה של UEFI המכילה את המיקרו-קוד המעודכן. המחשב שלך אינו מוגן כראוי מפני ספקטר, אלא אם התקנת עדכון קושחה של UEFI. AMD גם פרסמה עדכוני microcode כדי להגן על מערכות עם מעבדי AMD מפני התקפות Specter, אז זה לא רק דבר אינטל.
Intel's Management Engine ראה כמה באגים אבטחה שיכולים לאפשר לתוקפים עם גישה מקומית למחשב לפצח את תוכנת Engine Engine, או לאפשר לתוקף עם גישה מרחוק לגרום לבעיות. למרבה המזל, מרחוק מנצל רק מושפע עסקים שאיפשרו אינטל Active Management Technology (AMT), כך הצרכנים הממוצע לא היו מושפעים.
אלה הן רק כמה דוגמאות. חוקרים הוכיחו גם כי ניתן לנצל את הקושחה UEFI על כמה מחשבים, תוך שימוש בו כדי לקבל גישה עמוקה למערכת. הם אפילו הוכיחו ransomware מתמשך כי זכה גישה לקושחה UEFI של המחשב ורץ משם.
התעשייה צריכה לעדכן כל קושחה UEFI של המחשב בדיוק כמו כל תוכנה אחרת כדי לסייע בהגנה מפני בעיות אלה פגמים דומים בעתיד.
כיצד תהליך העדכון היה שבור במשך שנים
תהליך עדכון ה- BIOS היה בלגן לנצח - מאז הרבה לפני UEFI. באופן מסורתי, מחשבים שנשלחו עם ה- BIOS של בית הספר הישן, ופחות עלולים להשתבש. יצרני המחשבים האישיים עשויים לשלוח מספר עדכוני BIOS כדי לתקן בעיות קלות, אך העצה הרגילה היתה להימנע מלהתקין אותם אם המחשב שלך פועל כהלכה. לעתים קרובות היית צריך אתחול מתוך כונן DOS אתחול להבהב את עדכון ה- BIOS, וכולם שמעו סיפורים על עדכוני ה- BIOS נכשל bricking מחשבים, עיבוד אותם unbootable.
דברים השתנו. הקושחה של UEFI עושה הרבה יותר, ואינטל פרסמה כמה עדכונים גדולים לדברים כמו מעבד microcode ו- Intel ME בשנים האחרונות. בכל פעם ש- Intel משחררת עדכון זה, כל מה ש- Intel יכולה לעשות הוא לומר "שאל את יצרן המחשב שלך". יצרן המחשב או יצרן לוח האם, אם בנית מחשב אישי, חייב לקחת את הקוד מאינטל ולשלב אותו בקושחה חדשה של UEFI גרסה. לאחר מכן הם צריכים לבדוק את הקושחה. אה, ועל כל יצרן יש לחזור על תהליך זה עבור כל מחשב אישי הם מוכרים, כמו לכולם יש קושחה UEFI שונים. זה סוג של עבודה ידנית כי עשה טלפונים אנדרואיד כל כך קשה לעדכן בעבר.
בפועל, פירוש הדבר שלעתים קרובות לוקח הרבה חודשים - כדי לקבל עדכוני אבטחה קריטיים שיש להעביר באמצעות UEFI. זה אומר יצרנים עשויים למשוך בכתפיים מסרבים לעדכן מחשבים שהם רק כמה שנים. בנוסף, גם כאשר היצרנים משחררים עדכונים, עדכונים אלה נקברים לעתים קרובות באתר התמיכה של היצרן. רוב משתמשי ה- PC לעולם לא יגלו את עדכוני הקושחה של UEFI קיימים ולהתקין אותם, אז באגים אלה בסופו של דבר לחיות על מחשבים קיימים במשך זמן רב. וכמה יצרנים עדיין לגרום לך להתקין עדכוני קושחה על ידי אתחול לתוך DOS הראשון רק כדי לעשות את זה מסובך יותר.
מה אנשים עושים על זה
זה בלגן. אנו זקוקים לתהליך יעיל שבו יצרנים יכולים ליצור בקלות עדכוני קושחה חדשים של UEFI. כמו כן, אנו זקוקים לתהליך טוב יותר לשחרור עדכונים אלה, כך שמשתמשים יוכלו להתקין אותם באופן אוטומטי במחשבים שלהם. עכשיו התהליך הוא איטי ידנית - זה צריך להיות מהיר אוטומטי.
זה מה מיקרוסופט מנסה לעשות עם פרויקט מו. כך מסביר התיעוד הרשמי:
מו בנוי סביב הרעיון כי משלוח ושמירה על מוצר UEFI הוא שיתוף פעולה מתמשך בין שותפים רבים. במשך זמן רב מדי התעשייה בנתה מוצרים באמצעות מודל "forking" בשילוב עם העתקה / הדבקה / שינוי שם ועם כל מוצר חדש נטל התחזוקה גדל לרמה כזו עד שהעדכונים כמעט בלתי אפשריים עקב עלות וסיכון.
פרויקט מו הוא על כל עזרה ליצרני PC ליצור ולבדוק עדכונים UEFI מהר יותר על ידי ייעול תהליך הפיתוח UEFI ולסייע לכולם לעבוד יחד. יש לקוות, זה חתיכת חסר, כמו מיקרוסופט כבר עשה את זה קל יותר עבור יצרני PC לשלוח עדכונים קושחה UEFI שלהם למשתמשים באופן אוטומטי.
באופן ספציפי, מיקרוסופט מאפשרת ליצרני מחשבים לפרסם עדכוני קושחה באמצעות Windows Update והיא סיפקה תיעוד על זה מאז לפחות 2017. מיקרוסופט גם הודיעה רכיב עדכון קושחה; מודל קוד פתוח שיצרנים יכולים להשתמש בו כדי לעדכן את UEFI וקושחה אחרת, באוקטובר 2018. אם יצרני המחשבים האישיים עולים על זה, הם יכולים לספק עדכוני קושחה לכל המשתמשים שלהם במהירות רבה.
זה לא רק דבר של Windows, או. במהלך לינוקס, מפתחים מנסים להקל על יצרני המחשבים האישיים לפרסם עדכוני UEFI עם LVFS, שירות הקושחה של לינוקס. ספקי PC יכולים לשלוח את העדכונים שלהם, והם יופיעו להורדה ביישום התוכנה של GNOME, המשמש את אובונטו והפצות לינוקס רבות אחרות. מאמץ זה יחזור עד 2015. יצרני המחשבים כמו Dell ו- Lenovo משתתפים.
פתרונות אלה עבור Windows ו- Linux משפיעים יותר מאשר רק עדכוני UEFI. יצרני חומרה יכולים להשתמש בהם כדי לעדכן הכל מקושחה של עכברי USB לקושחת כונן מצב מוצק בעתיד.
כמו SwiftOnSecurity לשים את זה כאשר מדברים על בעיות עם מצב מוצק כונן קושחה והצפנה, עדכוני קושחה יכול להיות אמין. אנחנו צריכים לצפות טוב יותר מיצרני חומרה.
עדכוני קושחה יכולים להיות מהימנים. יזמתי לפחות 3,000 עדכוני BIOS של Dell עם כשל אחד בלבד, ואותו מחשב ישן כבר נמצא בשירות עבור כשלון.
לחשוב מחדש מה אתה חושב שזה בלתי אפשרי. שירות הקושחה אינו בלתי אפשרי או מסוכן. זה דורש אנשים דורשים יותר.
- (@SwiftOnSecurity) 6 נובמבר 2018
אשראי תמונה: אינטל, Natascha Eibl, kubais / Shutterstock.com.