Μόλις ανακοίνωσε η Microsoft Project Mu, υποσχόμενος “υλικολογισμικό ως υπηρεσία” σε υποστηριζόμενο υλικό. Κάθε κατασκευαστής Η/Υ θα πρέπει να λάβει υπόψη. Οι υπολογιστές χρειάζονται ενημερώσεις ασφαλείας στο υλικολογισμικό UEFI τους και οι κατασκευαστές υπολογιστών έχουν κάνει κακή δουλειά στην παροχή τους.
Πίνακας περιεχομένων
Τι είναι το υλικολογισμικό UEFI;
Οι σύγχρονοι υπολογιστές χρησιμοποιούν υλικολογισμικό UEFI αντί για παραδοσιακό BIOS. Το υλικολογισμικό UEFI είναι το λογισμικό χαμηλού επιπέδου που ξεκινά όταν εκκινείτε τον υπολογιστή σας. Ελέγχει και προετοιμάζει το υλικό σας, κάνει κάποιες ρυθμίσεις παραμέτρων συστήματος χαμηλού επιπέδου και, στη συνέχεια, εκκινεί ένα λειτουργικό σύστημα από την εσωτερική μονάδα δίσκου του υπολογιστή σας ή από άλλη συσκευή εκκίνησης.
Ωστόσο, το UEFI είναι λίγο πιο περίπλοκο από το παλαιότερο λογισμικό BIOS. Για παράδειγμα, οι υπολογιστές με επεξεργαστές Intel έχουν κάτι που ονομάζεται Intel Management Engine, το οποίο είναι βασικά ένα μικροσκοπικό λειτουργικό σύστημα. Λειτουργεί παράλληλα με Windows, Linux ή οποιοδήποτε άλλο λειτουργικό σύστημα τρέχετε στον υπολογιστή σας. Σε εταιρικά δίκτυα, οι διαχειριστές συστήματος μπορούν να χρησιμοποιήσουν λειτουργίες του Intel ME για να διαχειρίζονται εξ αποστάσεως τους υπολογιστές τους.
Το UEFI περιέχει επίσης “μικροκώδικα” επεξεργαστή, που μοιάζει με το υλικολογισμικό για τον επεξεργαστή σας. Όταν ο υπολογιστής σας εκκινεί, φορτώνει τον μικροκώδικα από το υλικολογισμικό UEFI. Σκεφτείτε το σαν έναν διερμηνέα που μεταφράζει οδηγίες λογισμικού σε οδηγίες υλικού που εκτελούνται στη CPU.
Γιατί το υλικολογισμικό UEFI χρειάζεται ενημερώσεις ασφαλείας
Τα τελευταία χρόνια έχουν δείξει ξανά και ξανά γιατί το υλικολογισμικό UEFI χρειάζεται έγκαιρες ενημερώσεις ασφαλείας.
Όλοι μάθαμε για το Spectre το 2018, δείχνοντας τα σοβαρά αρχιτεκτονικά προβλήματα με τους σύγχρονους CPU. Τα προβλήματα με κάτι που ονομάζεται “κερδοσκοπική εκτέλεση” σήμαιναν ότι τα προγράμματα θα μπορούσαν να ξεφύγουν από τυπικούς περιορισμούς ασφαλείας και να διαβάσουν ασφαλείς περιοχές της μνήμης. Διορθώνει το Specter που απαιτούνται ενημερώσεις μικροκώδικα CPU για να λειτουργήσει σωστά. Αυτό σημαίνει ότι οι κατασκευαστές υπολογιστών έπρεπε να ενημερώσουν όλους τους φορητούς και επιτραπέζιους υπολογιστές τους—και οι κατασκευαστές μητρικών πλακών έπρεπε να ενημερώσουν όλες τις μητρικές τους κάρτες—με νέο υλικολογισμικό UEFI που περιέχει τον ενημερωμένο μικροκώδικα. Ο υπολογιστής σας δεν προστατεύεται επαρκώς από το Spectre, εκτός εάν έχετε εγκαταστήσει μια ενημέρωση υλικολογισμικού UEFI. AMD κυκλοφόρησε επίσης ενημερώσεις μικροκώδικα για την προστασία συστημάτων με επεξεργαστές AMD από επιθέσεις Specter, επομένως αυτό δεν είναι μόνο θέμα της Intel.
Η Μηχανή Διαχείρισης της Intel έχει δει μερικά σφάλματα ασφαλείας που θα μπορούσε είτε να αφήσει τους εισβολείς με τοπική πρόσβαση στον υπολογιστή να σπάσουν το λογισμικό του Management Engine είτε να αφήσουν έναν εισβολέα με απομακρυσμένη πρόσβαση να προκαλέσει προβλήματα. Ευτυχώς, οι απομακρυσμένες εκμεταλλεύσεις επηρέασαν μόνο τις επιχειρήσεις που είχαν ενεργοποιήσει την τεχνολογία Intel Active Management (AMT), επομένως οι μέσοι καταναλωτές δεν επηρεάστηκαν.
Αυτά είναι μόνο μερικά παραδείγματα. Οι ερευνητές έχουν επίσης δείξει ότι είναι δυνατή η κατάχρηση του υλικολογισμικού UEFI σε ορισμένους υπολογιστές, χρησιμοποιώντας το για να αποκτήσουν βαθιά πρόσβαση στο σύστημα. Έχουν δείξει μάλιστα επίμονο ransomware που απέκτησε πρόσβαση στο υλικολογισμικό UEFI ενός υπολογιστή και έτρεξε από εκεί.
Ο κλάδος θα πρέπει να ενημερώνει το υλικολογισμικό UEFI κάθε υπολογιστή όπως και κάθε άλλο λογισμικό για να βοηθήσει στην προστασία από αυτά τα προβλήματα και παρόμοια ελαττώματα στο μέλλον.
Πώς η διαδικασία ενημέρωσης έχει σπάσει εδώ και χρόνια
Η διαδικασία ενημέρωσης του BIOS ήταν ένα χάος για πάντα — πολύ πριν από το UEFI. Παραδοσιακά, οι υπολογιστές που αποστέλλονται με αυτό το παλιό BIOS και λιγότερα θα μπορούσαν να πάνε στραβά. Οι κατασκευαστές υπολογιστών ενδέχεται να στείλουν μερικές ενημερώσεις BIOS για να διορθώσουν μικρά προβλήματα, αλλά η συνήθης συμβουλή ήταν να αποφύγετε την εγκατάστασή τους εάν ο υπολογιστής σας λειτουργούσε σωστά. Συχνά έπρεπε να εκκινήσετε από μια μονάδα DOS με δυνατότητα εκκίνησης για να αναβοσβήσετε την ενημέρωση του BIOS και όλοι άκουγαν ιστορίες για αποτυχία ενημερώσεων του BIOS και παρκάρισμα των υπολογιστών, καθιστώντας τους μη εκκινήσιμους.
Τα πράγματα έχουν αλλάξει. Το υλικολογισμικό UEFI κάνει πολλά περισσότερα και η Intel έχει κυκλοφορήσει πολλές μεγάλες ενημερώσεις σε πράγματα όπως ο μικροκώδικας CPU και το Intel ME τα τελευταία χρόνια. Κάθε φορά που η Intel κυκλοφορεί μια τέτοια ενημέρωση, το μόνο που μπορεί να κάνει η Intel είναι να πει “ρωτήστε τον κατασκευαστή του υπολογιστή σας”. Ο κατασκευαστής του υπολογιστή σας —ή ο κατασκευαστής της μητρικής πλακέτας, εάν κατασκευάσατε τον δικό σας υπολογιστή— πρέπει να πάρει τον κώδικα από την Intel και να τον ενσωματώσει σε μια νέα έκδοση υλικολογισμικού UEFI. Στη συνέχεια, πρέπει να δοκιμάσουν το υλικολογισμικό. Α, και κάθε κατασκευαστής πρέπει να επαναλαμβάνει αυτή τη διαδικασία για κάθε μεμονωμένο υπολογιστή που πουλάει, καθώς όλοι έχουν διαφορετικό υλικολογισμικό UEFI. Είναι το είδος της χειρωνακτικής εργασίας που έκανε τόσο δύσκολη την ενημέρωση των τηλεφώνων Android στο παρελθόν.
Στην πράξη, αυτό σημαίνει ότι συχνά χρειάζεται πολύς χρόνος —πολλοί μήνες— για να ληφθούν κρίσιμες ενημερώσεις ασφαλείας που πρέπει να παραδοθούν μέσω του UEFI. Σημαίνει ότι οι κατασκευαστές μπορεί να σηκώσουν τους ώμους και να αρνηθούν να ενημερώσουν υπολογιστές που είναι μόλις λίγων ετών. Και, ακόμη και όταν οι κατασκευαστές κυκλοφορούν ενημερώσεις, αυτές οι ενημερώσεις συχνά θάβονται στον ιστότοπο υποστήριξης του συγκεκριμένου κατασκευαστή. Οι περισσότεροι χρήστες υπολογιστών δεν θα ανακαλύψουν ποτέ ότι υπάρχουν αυτές οι ενημερώσεις υλικολογισμικού UEFI και δεν θα τις εγκαταστήσουν, επομένως αυτά τα σφάλματα καταλήγουν να ζουν σε υπάρχοντες υπολογιστές για μεγάλο χρονικό διάστημα. Και ορισμένοι κατασκευαστές εξακολουθούν να σας αναγκάζουν να εγκαθιστάτε ενημερώσεις υλικολογισμικού εκκινώντας πρώτα στο DOS—απλώς για να το κάνουν πολύ περίπλοκο.
Τι κάνουν οι άνθρωποι για αυτό
Αυτό είναι ένα χάος. Χρειαζόμαστε μια απλοποιημένη διαδικασία όπου οι κατασκευαστές μπορούν να δημιουργούν πιο εύκολα νέες ενημερώσεις υλικολογισμικού UEFI. Χρειαζόμαστε επίσης μια καλύτερη διαδικασία για την κυκλοφορία αυτών των ενημερώσεων, ώστε οι χρήστες να μπορούν να τις εγκαταστήσουν αυτόματα στους υπολογιστές τους. Αυτήν τη στιγμή η διαδικασία είναι αργή και χειροκίνητη—θα πρέπει να είναι γρήγορη και αυτόματη.
Αυτό προσπαθεί να κάνει η Microsoft με το Project Mu. Να πώς το επίσημη τεκμηρίωση το εξηγεί:
Το Mu βασίζεται στην ιδέα ότι η αποστολή και η συντήρηση ενός προϊόντος UEFI είναι μια συνεχής συνεργασία μεταξύ πολλών συνεργατών. Για πάρα πολύ καιρό ο κλάδος κατασκεύαζε προϊόντα χρησιμοποιώντας ένα μοντέλο «διχάλας» σε συνδυασμό με αντιγραφή/επικόλληση/μετονομασία και με κάθε νέο προϊόν ο φόρτος συντήρησης αυξάνεται σε τέτοιο επίπεδο που οι ενημερώσεις είναι σχεδόν αδύνατες λόγω κόστους και κινδύνου.
Το Project Mu έχει να κάνει με το να βοηθάει τους κατασκευαστές υπολογιστών να δημιουργούν και να δοκιμάζουν ταχύτερα ενημερώσεις UEFI, απλοποιώντας τη διαδικασία ανάπτυξης του UEFI και βοηθώντας όλους να συνεργαστούν. Ας ελπίσουμε ότι αυτό είναι το κομμάτι που λείπει, καθώς η Microsoft έχει ήδη διευκολύνει τους κατασκευαστές υπολογιστών να στέλνουν αυτόματα τις ενημερώσεις υλικολογισμικού UEFI στους χρήστες.
Συγκεκριμένα, η Microsoft επιτρέπει σε κατασκευαστές υπολογιστών έκδοση ενημερώσεων υλικολογισμικού μέσω του Windows Update και έχει παράσχει τεκμηρίωση σχετικά με αυτό τουλάχιστον από το 2017. Η Microsoft ανακοίνωσε επίσης Ενημέρωση υλικολογισμικού στοιχείου; ένα μοντέλο ανοιχτού κώδικα που μπορούν να χρησιμοποιήσουν οι κατασκευαστές για την ενημέρωση του UEFI και άλλου υλικολογισμικού, τον Οκτώβριο του 2018. Εάν οι κατασκευαστές υπολογιστών το συμμετάσχουν, θα μπορούσαν να παρέχουν ενημερώσεις υλικολογισμικού σε όλους τους χρήστες τους πολύ γρήγορα.
Αυτό δεν είναι μόνο θέμα Windows. Στο Linux, οι προγραμματιστές προσπαθούν να διευκολύνουν τους κατασκευαστές υπολογιστών να εκδίδουν ενημερώσεις UEFI LVFS, την υπηρεσία υλικολογισμικού προμηθευτή Linux. Οι προμηθευτές υπολογιστών μπορούν να υποβάλουν τις ενημερώσεις τους και θα εμφανίζονται για λήψη στην εφαρμογή λογισμικού GNOME, η οποία χρησιμοποιείται στο Ubuntu και σε πολλές άλλες διανομές Linux. Αυτή η προσπάθεια χρονολογείται από το 2015. Οι κατασκευαστές υπολογιστών όπως Dell και Lenovo συμμετέχουν.
Αυτές οι λύσεις για Windows και Linux επηρεάζουν και κάτι περισσότερο από τις ενημερώσεις UEFI. Οι κατασκευαστές υλικού θα μπορούσαν να τα χρησιμοποιήσουν για να ενημερώσουν τα πάντα, από το υλικολογισμικό του ποντικιού USB έως το υλικολογισμικό μονάδας στερεάς κατάστασης στο μέλλον.
Οπως και SwiftOnSecurity Το θέστε το όταν μιλάμε για προβλήματα με το υλικολογισμικό και την κρυπτογράφηση μονάδας στερεάς κατάστασης, οι ενημερώσεις υλικολογισμικού μπορεί να είναι αξιόπιστες. Πρέπει να περιμένουμε καλύτερα από τους κατασκευαστές υλικού.
Οι ενημερώσεις υλικολογισμικού μπορεί να είναι αξιόπιστες. Έχω ξεκινήσει τουλάχιστον 3.000 ενημερώσεις BIOS της Dell με μία μόνο αποτυχία και αυτός ο παλιός υπολογιστής ήταν ήδη σε υπηρεσία λόγω βλάβης.
Ξανασκέψου αυτό που πιστεύεις ότι είναι αδύνατο. Η εξυπηρέτηση υλικολογισμικού δεν είναι αδύνατη ή επικίνδυνη. Απαιτεί οι άνθρωποι να απαιτούν καλύτερα.
— SwiftOnSecurity (@SwiftOnSecurity) 6 Νοεμβρίου 2018
Πίστωση εικόνας: Intel, Natascha Eibl, kubais/Shutterstock.com.