Laman » bagaimana untuk » Mengapa Firmware UEFI PC Anda Memerlukan Kemas Kini Keselamatan

    Mengapa Firmware UEFI PC Anda Memerlukan Kemas Kini Keselamatan

    Microsoft baru saja mengumumkan Project Mu, menjanjikan "firmware sebagai perkhidmatan" pada perkakasan yang disokong. Setiap pengeluar PC perlu ambil perhatian. PC memerlukan kemas kini keselamatan ke firmware UEFI mereka, dan pengeluar PC telah melakukan pekerjaan yang buruk untuk menyampaikannya.

    Apa itu Firmware UEFI?

    PC moden menggunakan firmware UEFI dan bukannya BIOS tradisional. Firmware UEFI adalah perisian tahap rendah yang bermula ketika anda boot PC anda. Ia menguji dan memulakan perkakasan anda, melakukan beberapa konfigurasi sistem peringkat rendah, dan kemudian but semula sistem operasi dari pemacu dalaman komputer anda atau peranti boot lain.

    Walau bagaimanapun, UEFI agak rumit daripada perisian BIOS yang lebih tua. Sebagai contoh, komputer dengan pemproses Intel mempunyai sesuatu yang dikenali sebagai Enjin Pengurusan Intel, yang pada dasarnya adalah sistem operasi kecil. Ia berjalan secara selari dengan Windows, Linux, atau sistem operasi apa pun yang anda jalankan pada komputer anda. Di rangkaian korporat, pentadbir sistem boleh menggunakan ciri-ciri di Intel ME untuk menguruskan komputer mereka dari jarak jauh.

    UEFI juga mengandungi pemproses "mikrokod," yang merupakan jenis firmware untuk pemproses anda. Apabila but komputer anda, ia memuatkan mikrokod dari firmware UEFI. Fikirkannya seperti penterjemah yang menerjemahkan arahan perisian kepada arahan perkakasan yang dilakukan pada CPU.

    Mengapa UEFI Firmware Memerlukan Kemas Kini Keselamatan

    Beberapa tahun kebelakangan ini telah menunjukkan betapa kenapa firmware UEFI memerlukan kemas kini keselamatan tepat pada masanya.

    Kita semua belajar tentang Spectre pada 2018, menunjukkan masalah senibina yang serius dengan CPU moden. Masalah dengan sesuatu yang dipanggil "pelaksanaan spekulasi" bermakna program boleh melarikan diri sekatan keselamatan standard dan membaca memori yang selamat. Pembetulan kepada Hantu memerlukan kemas kini mikrokod CPU untuk berfungsi dengan betul. Ini bermakna pengeluar PC terpaksa mengemaskini semua komputer riba dan komputer desktop mereka-dan pengeluar motherboard terpaksa mengemaskini semua papan induk mereka-dengan firmware UEFI baru yang mengandungi microcode yang dikemas kini. PC anda tidak cukup dilindungi terhadap Spektrum melainkan anda telah memasang kemas kini firmware UEFI. AMD juga mengeluarkan kemas kini mikrokod untuk melindungi sistem dengan pemproses AMD dari serangan Spektrum, jadi ini bukan hanya satu perkara Intel.

    Enjin Pengurusan Intel telah melihat beberapa bug keselamatan yang boleh membiarkan penyerang dengan akses tempatan ke komputer memecahkan perisian Pengurusan Engine, atau membiarkan penyerang dengan akses jarak jauh menyebabkan masalah. Nasib baik, eksploit jarak jauh hanya perniagaan terpengaruh yang telah membolehkan Teknologi Pengurusan Aktif Intel (AMT), jadi pengguna purata tidak terjejas.

    Ini hanya beberapa contoh. Penyelidik juga telah menunjukkan bahawa ia mungkin menyalahgunakan firmware UEFI pada sesetengah PC, menggunakannya untuk mendapatkan akses mendalam ke sistem. Mereka telah pun menunjukkan ransomware berterusan yang mendapat akses ke firmware UEFI komputer dan berlari dari sana.

    Industri ini harus mengemas kini firmware UEFI setiap komputer seperti mana-mana perisian lain untuk membantu melindungi daripada masalah ini dan kekurangan serupa di masa depan.

    Bagaimana proses kemas kini telah rosak selama bertahun-tahun

    Proses kemas kini BIOS telah menjadi huru-hara selama-lamanya-sejak lama sebelum UEFI. Secara tradisinya, komputer dihantar dengan BIOS sekolah lama, dan kurang dapat salah. Pengilang PC mungkin menghantar beberapa kemas kini BIOS untuk menyelesaikan masalah kecil, tetapi nasihat yang biasa adalah untuk mengelakkan memasangnya jika PC anda berfungsi dengan baik. Anda sering perlu boot dari pemacu DOS bootable untuk menghidupkan kemas kini BIOS, dan semua orang mendengar kisah-kisah kemas kini BIOS yang gagal dan menyebarkan PC, menjadikannya tidak dapat dipasang.

    Perkara telah berubah. UEFI firmware tidak banyak lagi, dan Intel telah melancarkan beberapa kemasukan besar kepada perkara seperti mikrokoden CPU dan Intel ME dalam beberapa tahun yang lalu. Setiap kali Intel melepaskan kemas kini sedemikian, semua yang boleh dilakukan oleh Intel adalah mengatakan "minta pengeluar komputer anda." Pengilang komputer anda atau pengilang motherboard, jika anda membina PC sendiri-harus mengambil kod dari Intel dan mengintegrasikannya menjadi firmware UEFI baru versi. Mereka kemudiannya perlu menguji firmware. Oh, dan setiap pengeluar perlu mengulangi proses ini untuk setiap PC individu yang mereka jual, kerana mereka semua mempunyai firmware UEFI yang berbeza. Ini jenis kerja manual yang membuat telefon Android jadi sukar untuk dikemas kini pada masa lalu.

    Dalam amalan, ini bermakna ia sering mengambil masa yang lama-banyak bulan-untuk mendapatkan kemas kini keselamatan kritikal yang perlu dihantar melalui UEFI. Ini bermakna pengeluar mungkin mengangkat bahang dan enggan mengemas kini PC yang hanya berumur beberapa tahun. Dan, walaupun pengeluar melepaskan kemas kini, kemas kini tersebut sering dikebumikan di laman web sokongan pengeluar itu. Kebanyakan pengguna PC tidak akan pernah menemui kemas kini firmware UEFI yang ada dan memasangnya, jadi pepijat ini akhirnya hidup di dalam PC sedia ada untuk masa yang lama. Dan sesetengah pengeluar masih membuat anda memasang kemas kini firmware dengan menggunakan boot DOS terlebih dahulu-hanya untuk menjadikannya lebih rumit.

    Apa Orang yang Melakukannya

    Itulah kacau ganggu. Kami memerlukan proses yang diperkemas dimana pengeluar lebih mudah membuat kemas kini perisian tegar UEFI baru. Kami juga memerlukan proses yang lebih baik untuk melepaskan kemas kini tersebut, jadi pengguna boleh memasangnya secara automatik pada PC mereka. Sekarang prosesnya perlahan dan manual-ia sepatutnya pantas dan automatik.

    Inilah yang cuba dilakukan oleh Microsoft dengan Project Mu. Begini cara dokumentasi rasmi menerangkannya:

    Mu dibina di sekitar idea bahawa penghantaran dan pemeliharaan produk UEFI adalah kerjasama yang berterusan antara banyak rakan kongsi. Selama bertahun-tahun industri telah membina produk menggunakan model "forking" yang digabungkan dengan salinan / tampal / menamakan semula dan dengan setiap produk baru beban penyelenggaraan tumbuh ke paras sedemikian sehingga kemas kini hampir mustahil kerana kos dan risiko.

    Projek Mu adalah semua tentang membantu pembuat PC mencipta dan menguji UEFI kemas kini dengan lebih cepat dengan memperkemas proses pembangunan UEFI dan membantu semua orang bekerja bersama-sama. Mudah-mudahan, ini adalah bahagian yang hilang, kerana Microsoft telah memudahkan para pembuat PC untuk menghantar kemas kini firmware UEFI mereka kepada pengguna secara automatik.

    Khususnya, Microsoft membolehkan pengilang PC mengeluarkan kemas kini perisian tegar menerusi Windows Update dan telah menyediakan dokumentasi mengenai ini sejak sekurang-kurangnya 2017. Microsoft juga mengumumkan Kemas kini Perisian Firmware; model sumber terbuka yang pengeluar boleh menggunakan untuk mengemaskini UEFI dan firmware lain, kembali pada Oktober 2018. Jika pengeluar PC masuk dengan ini, mereka dapat menyampaikan kemas kini firmware kepada semua pengguna mereka dengan sangat cepat.

    Ini bukan hanya perkara Windows, sama ada. Di Linux, pemaju cuba memudahkan pengeluar PC mengeluarkan terbitan UEFI dengan LVFS, Perkhidmatan Penjana Firmware Linux. Penjual PC boleh mengemukakan kemas kini mereka, dan mereka akan muncul untuk muat turun dalam aplikasi Perisian GNOME, yang digunakan pada Ubuntu dan banyak pengedaran Linux yang lain. Usaha ini bermula pada 2015. Pengeluar PC seperti Dell dan Lenovo turut serta.

    Penyelesaian ini untuk Windows dan Linux memberi kesan lebih daripada sekadar kemas kini UEFI juga. Pengilang perkakasan boleh menggunakannya untuk mengemas kini segala-galanya dari firmware tetikus USB ke firmware pemacu keadaan pepejal pada masa akan datang.

    Sebagai SwiftOnSecurity meletakkannya apabila bercakap tentang masalah dengan firmware pemacu keadaan pepejal dan penyulitan, kemas kini firmware boleh dipercayai. Kita perlu mengharapkan lebih baik daripada pengeluar perkakasan.

    Kemas kini firma boleh dipercayai. Saya telah memulakan sekurang-kurangnya 3,000 kemas kini Dell BIOS dengan hanya satu kegagalan, dan PC lama sudah berkhidmat kerana gagal.

    Re-think apa yang anda fikir adalah mustahil. Perkhidmatan firmware tidak mustahil atau berisiko. Ia memerlukan orang ramai yang lebih baik.

    - SwiftOnSecurity (@SwiftOnSecurity) 6 November 2018

    Kredit Imej: Intel, Natascha Eibl, kubais / Shutterstock.com.