Proč firmware UEFI vašeho počítače potřebuje aktualizace zabezpečení

Microsoft právě oznámil projekt Mu, který slibuje "firmware jako službu" na podporovaném hardwaru. Každý výrobce PC by si měl vzít na vědomí. Počítače potřebují aktualizace zabezpečení firmwaru UEFI a výrobci počítačů udělali špatnou práci při jejich poskytování.

Co je UEFI firmware??

Moderní počítače používají firmware UEFI místo tradičního systému BIOS. Firmware UEFI je software na nižší úrovni, který se spouští při spouštění počítače. Testuje a inicializuje hardware, provádí konfiguraci systému na nízké úrovni a poté spustí operační systém z interní jednotky počítače nebo jiného spouštěcího zařízení.

Ovšem UEFI je trochu komplikovanější než starší BIOS software. Například počítače s procesory Intel mají něco nazvaného Intel Management Engine, který je v podstatě malý operační systém. Spouští se souběžně s operačním systémem Windows, Linuxem nebo libovolným operačním systémem, který používáte v počítači. V podnikových sítích mohou administrátoři systému používat funkce Intel ME pro vzdálené ovládání svých počítačů.

UEFI také obsahuje procesor "microcode", což je něco jako firmware pro váš procesor. Po spuštění počítače načte mikrokód z firmwaru UEFI. Přemýšlejte o tom jako s tlumočníkem, který překládá softwarové pokyny k hardwarovým instrukcím prováděným na CPU.

Proč UEFI Firmware potřebuje aktualizace zabezpečení

V posledních několika letech se znovu a znovu ukázalo, proč firmware UEFI potřebuje včasné aktualizace zabezpečení.

V roce 2018 jsme se všichni dozvěděli o Spectru a ukázali vážné architektonické problémy moderních procesorů. Problémy s něčím nazývaným "spekulativní provedení" znamenaly, že programy by mohly uniknout standardním bezpečnostním omezením a číst bezpečné oblasti paměti. Opravy pro Spectre vyžadují správné fungování aktualizací mikrokódu CPU. To znamená, že výrobci PC museli aktualizovat všechny své notebooky a stolní počítače - a výrobci desek museli aktualizovat všechny své základní desky - s novým firmwarem UEFI obsahujícím aktualizovaný mikrokód. Váš počítač není dostatečně chráněn proti Spectre, pokud nenainstalujete aktualizaci firmwaru UEFI. AMD také vydala aktualizaci mikrokódů pro ochranu systémů s AMD procesory od útoků Spectra, takže to není jen věc společnosti Intel.

Systém řízení společnosti Intel zaznamenal některé bezpečnostní chyby, které by mohly buď útočníkům s lokálním přístupem k počítači povolit, aby spustili software Engine Management nebo nechali útočníka se vzdáleným přístupem způsobit potíže. Naštěstí vzdáleně využívá pouze postižené podniky, které umožnily technologii Intel Active Management Technology (AMT), takže průměrní zákazníci nebyli ovlivněni.

To jsou jen některé příklady. Výzkumní pracovníci také ukázali, že je možné zneužívat firmware UEFI na některých počítačích a používat je k získání hlubokého přístupu k systému. Dokázali dokonce i trvalý ransomware, který získal přístup k firmwaru UEFI počítače a běžel odtud.

Průmysl by měl aktualizovat firmware UEFI každého počítače stejně jako každý jiný software, který pomůže chránit před těmito problémy a podobnými nedostatky v budoucnosti.

Jak byl aktualizační proces narušen po mnoho let

Proces aktualizace BIOS byl nepořádek navždy - už dávno před UEFI. Tradičně počítače dodávané se starým systémem BIOS a méně by se mohly pokazit. Výrobci počítačů mohou dodat několik aktualizací systému BIOS k odstranění drobných problémů, ale obvyklá rada měla zabránit jejich instalaci, pokud vaše PC fungovalo správně. Často jste se museli zavádět ze zaváděcí jednotky DOS, aby flash aktualizaci systému BIOS a všichni slyšeli příběhy o aktualizacích systému BIOS, které selhaly a zděšovaly počítače, což je znemožnilo.

Věci se změnily. Firmware UEFI dělá mnohem víc a společnost Intel vydala v uplynulých letech několik velkých aktualizací věcí, jako je mikropočítač CPU a technologie Intel ME. Kdykoli společnost Intel vydává tuto aktualizaci, může to Intel udělat, když říká: "Požádejte výrobce počítače." Výrobce vašeho počítače nebo výrobce základní desky, pokud jste si vytvořili vlastní počítač, musí od společnosti Intel vzít kód a integrovat jej do nového firmwaru UEFI verze. Pak musí testovat firmware. A každý výrobce musí opakovat tento proces pro každé jednotlivé PC, které prodávají, protože všechny mají jiný firmware UEFI. Je to druh manuální práce, která způsobila, že telefony s Androidem byly v minulosti obtížné aktualizovat.

V praxi to znamená, že často trvá dlouhá doba - mnoho měsíců - k získání důležitých bezpečnostních aktualizací, které musí být poskytnuty prostřednictvím UEFI. Znamená to, že výrobci mohou pokrčit rameny a odmítnout aktualizaci počítačů, které jsou jen pár let staré. A dokonce i když výrobci uvolňují aktualizace, jsou tyto aktualizace často ukryty na webových stránkách podpory výrobce. Většina uživatelů PC nikdy nezjistí, že existují aktualizace firmwaru UEFI a instalují je, takže tyto chyby se již dlouhou dobu naživují v již existujících počítačích. A někteří výrobci vás přesto nechávají nainstalovat aktualizace firmwaru zaváděním do systému DOS jako první - jen proto, aby to zkomplikovalo.

Co lidé dělají o tom

To je nepořádek. Potřebujeme zjednodušený proces, kdy výrobci mohou snadněji vytvářet nové aktualizace firmwaru UEFI. Také potřebujeme lepší proces pro uvolnění těchto aktualizací, takže je uživatelé mohou automaticky nainstalovat na svých počítačích. Právě teď je proces pomalý a ruční - měl by být rychlý a automatický.

To je to, co se Microsoft snaží dělat s Project Mu. Zde je vysvětleno oficiální dokumentace:

Mu je postaven na myšlence, že doprava a údržba produktu UEFI je pokračující spolupráce mezi mnoha partnery. Příliš dlouho výrobní průmysl vyráběl produkty s použitím modelu "vystružování" kombinovaného s kopírováním / vkládáním / přejmenováním a s každým novým produktem narůstá údržba na takovou úroveň, že aktualizace jsou téměř nemožné kvůli nákladům a riziku.

Projekt Mu je o tom, že pomáhá výrobcům počítačů rychleji vytvářet a testovat aktualizace UEFI tím, že zefektivňuje proces vývoje UEFI a pomáhá všem spolupracovat. Doufejme, že toto je chybějící kus, neboť společnost Microsoft již ulehčila výrobcům počítačů automaticky zasílat aktualizace firmwaru UEFI uživatelům.

Konkrétně společnost Microsoft umožňuje výrobcům PC vydávat aktualizace firmwaru prostřednictvím služby Windows Update a od té doby poskytla dokumentaci alespoň od roku 2017. Společnost Microsoft také oznámila aktualizaci komponentních firmwaru; open-source model, který mohou výrobci použít k aktualizaci UEFI a dalšího firmwaru, až v říjnu 2018. Pokud se výrobci PC dostanou na palubu, mohli by velmi rychle aktualizovat firmware všem svým uživatelům.

To není jen věc Windows. V Linuxu se vývojáři snaží usnadnit výrobcům PC vydávat aktualizace UEFI pomocí LVFS, Linux Firmware Service. Dodavatelé PC mohou předložit své aktualizace a objeví se ke stažení v softwarové aplikaci GNOME, která se používá v Ubuntu a mnoha dalších distribucích Linuxu. Toto úsilí se datuje do roku 2015. Zúčastňují se výrobci počítačů, jako jsou Dell a Lenovo.

Tato řešení pro systémy Windows a Linux mají vliv nejen na aktualizace UEFI. Výrobci hardwaru by je mohli v budoucnu použít k aktualizaci všeho od firmwaru myši USB až po pevný disk firmware.

Jak to řekla společnost SwiftOnSecurity, když mluví o problémech s firmwarem a šifrováním pevného disku, aktualizace firmwaru mohou být spolehlivé. Musíme očekávat lepší od výrobců hardwaru.

Aktualizace firmwaru mohou být spolehlivé. Zahájil jsem alespoň 3 000 aktualizací systému Dell BIOS s jediným selháním a ten starý počítač už byl v provozu kvůli selhání.

Přemýšlejte, co si myslíte, že je nemožné. Servis firmwaru není nemožný nebo riskantní. To vyžaduje, aby lidé požadovali lépe.

- SwiftOnSecurity (@SwiftOnSecurity) 6. listopadu 2018

Obrazový kredit: Intel, Natascha Eibl, kubais / Shutterstock.com.