Proč firmware UEFI vašeho počítače potřebuje aktualizace zabezpečení

Microsoft právě oznámil Projekt Mu, slibující „firmware jako službu“ na podporovaném hardwaru. Každý výrobce PC by to měl vzít na vědomí. Počítače potřebují bezpečnostní aktualizace firmwaru UEFI a výrobci počítačů odvedli špatnou práci při jejich poskytování.

Co je firmware UEFI?

Moderní počítače používají firmware UEFI namísto tradičního systému BIOS. Firmware UEFI je software nízké úrovně, který se spouští při spuštění počítače. Testuje a inicializuje váš hardware, provádí konfiguraci systému na nízké úrovni a poté zavede operační systém z interní jednotky počítače nebo jiného spouštěcího zařízení.

UEFI je však o něco složitější než starší software BIOS. Například počítače s procesory Intel mají něco, co se nazývá Intel Management Engine, což je v podstatě malý operační systém. Funguje paralelně s Windows, Linuxem nebo jakýmkoli operačním systémem, který máte na svém počítači. V podnikových sítích mohou správci systému používat funkce Intel ME ke vzdálené správě svých počítačů.

UEFI také obsahuje „mikrokód“ procesoru, což je něco jako firmware pro váš procesor. Když se váš počítač spustí, načte mikrokód z firmwaru UEFI. Představte si to jako tlumočník, který překládá softwarové instrukce na hardwarové instrukce prováděné na CPU.

Proč firmware UEFI potřebuje aktualizace zabezpečení

Posledních několik let znovu a znovu ukázalo, proč firmware UEFI potřebuje včasné aktualizace zabezpečení.

Všichni jsme se dozvěděli o Spectre v roce 2018, což ukazuje na vážné architektonické problémy s moderními CPU. Problémy s něčím, co se nazývá „spekulativní provádění“, znamenalo, že programy mohly uniknout standardním bezpečnostním omezením a číst zabezpečené oblasti paměti. Opravy Spectre vyžadovaly aktualizace mikrokódu CPU, aby správně fungovaly. To znamená, že výrobci počítačů museli aktualizovat všechny své notebooky a stolní počítače – a výrobci základních desek museli aktualizovat všechny své základní desky – pomocí nového firmwaru UEFI obsahujícího aktualizovaný mikrokód. Váš počítač není dostatečně chráněn proti Spectre, pokud jste nenainstalovali aktualizaci firmwaru UEFI. AMD také vydal aktualizace mikrokódu na ochranu systémů s procesory AMD před útoky Spectre, takže to není jen záležitost Intelu.

Intel Management Engine některé viděl bezpečnostní chyby to by mohlo útočníkům s místním přístupem k počítači umožnit prolomit software Management Engine nebo umožnit útočníkovi se vzdáleným přístupem způsobit potíže. Naštěstí se vzdálené exploity týkaly pouze podniků, které aktivovaly technologii Intel Active Management Technology (AMT), takže průměrní spotřebitelé nebyli ovlivněni.

Toto je jen několik příkladů. Výzkumníci také prokázali, že je možné zneužít firmware UEFI na některých počítačích a použít jej k získání hlubokého přístupu k systému. Dokonce předvedli perzistentní ransomware který získal přístup k firmwaru UEFI počítače a spustil se odtud.

Průmysl by měl aktualizovat firmware UEFI každého počítače stejně jako jakýkoli jiný software, aby pomohl v budoucnu chránit před těmito problémy a podobnými nedostatky.

Jak byl proces aktualizace po léta přerušen

Proces aktualizace systému BIOS byl věčný nepořádek – již dávno před UEFI. Tradičně byly počítače dodávány s tímto starým systémem BIOS a méně se mohlo pokazit. Výrobci počítačů mohou dodávat několik aktualizací systému BIOS k vyřešení menších problémů, ale obvyklou radou bylo vyhnout se jejich instalaci, pokud váš počítač fungoval správně. Často jste museli zavést systém ze zaváděcího disku DOS, abyste provedli aktualizaci systému BIOS, a všichni slyšeli příběhy o selhání aktualizací systému BIOS a blokování počítačů, takže je nebylo možné spustit.

Věci se změnily. Firmware UEFI umí mnohem víc a Intel v posledních několika letech vydal několik velkých aktualizací věcí, jako je mikrokód CPU a Intel ME. Kdykoli Intel vydá takovou aktualizaci, jediné, co může udělat, je říct „zeptejte se výrobce vašeho počítače“. Výrobce vašeho počítače – nebo výrobce základní desky, pokud jste si postavili vlastní PC – musí převzít kód od Intelu a integrovat jej do nové verze firmwaru UEFI. Poté musí otestovat firmware. Jo, a každý výrobce musí tento proces opakovat pro každý jednotlivý počítač, který prodávají, protože každý má jiný firmware UEFI. Je to druh ruční práce, kvůli které bylo v minulosti telefony s Androidem tak obtížné aktualizovat.

V praxi to znamená, že získání kritických aktualizací zabezpečení, které je třeba doručit prostřednictvím UEFI, často trvá dlouho – mnoho měsíců. Znamená to, že výrobci mohou pokrčit rameny a odmítnout aktualizovat počítače, které jsou jen několik let staré. A i když výrobci vydávají aktualizace, tyto aktualizace jsou často pohřbeny na webových stránkách podpory daného výrobce. Většina uživatelů PC nikdy nezjistí, že tyto aktualizace firmwaru UEFI existují, a nenainstaluje je, takže tyto chyby skončí ve stávajících počítačích po dlouhou dobu. A někteří výrobci vás stále nutí instalovat aktualizace firmwaru tak, že nejprve nabootujete do DOSu – jen aby to bylo extra komplikované.

Co s tím lidé dělají

To je průšvih. Potřebujeme zjednodušený proces, kde mohou výrobci snadněji vytvářet nové aktualizace firmwaru UEFI. Potřebujeme také lepší proces pro vydávání těchto aktualizací, aby si je uživatelé mohli automaticky nainstalovat do svých počítačů. Právě teď je proces pomalý a manuální – měl by být rychlý a automatický.

O to se Microsoft snaží s Project Mu. Zde je návod, jak oficiální dokumentace vysvětluje to:

Mu je postaveno na myšlence, že přeprava a údržba produktu UEFI je pokračující spolupráce mezi mnoha partnery. Příliš dlouho průmysl vyráběl produkty využívající „forking“ model kombinovaný s kopírováním/vkládáním/přejmenováním as každým novým produktem roste zátěž údržby na takovou úroveň, že aktualizace jsou téměř nemožné kvůli nákladům a riziku.

Projekt Mu je o pomoci výrobcům počítačů rychleji vytvářet a testovat aktualizace UEFI tím, že zjednodušuje proces vývoje UEFI a pomáhá všem spolupracovat. Doufejme, že toto je chybějící kousek, protože Microsoft již usnadnil výrobcům počítačů automatické zasílání aktualizací firmwaru UEFI uživatelům.

Konkrétně Microsoft umožňuje výrobcům PC vydávat aktualizace firmwaru prostřednictvím služby Windows Update a poskytuje k tomu dokumentaci minimálně od roku 2017. Společnost Microsoft také oznámila Aktualizace firmwaru součásti; model s otevřeným zdrojovým kódem, který mohou výrobci použít k aktualizaci UEFI a dalšího firmwaru, již v říjnu 2018. Pokud se do toho pustí výrobci počítačů, mohli by velmi rychle dodávat aktualizace firmwaru všem svým uživatelům.

To také není jen záležitost Windows. Na Linuxu se vývojáři snaží výrobcům PC usnadnit vydávání aktualizací UEFI LVFS, Linux Vendor Firmware Service. Prodejci PC mohou odeslat své aktualizace a zobrazí se ke stažení v aplikaci GNOME Software, která se používá v Ubuntu a mnoha dalších distribucích Linuxu. Toto úsilí se datuje do roku 2015. Výrobcům PC se líbí Dell a Lenovo se účastní.

Tato řešení pro Windows a Linux ovlivňují více než jen aktualizace UEFI. Výrobci hardwaru by je mohli v budoucnu použít k aktualizaci všeho od firmwaru USB myši po firmware SSD.

Tak jako SwiftOnSecurity Když mluvíme o problémech s firmwarem jednotky SSD a šifrováním, aktualizace firmwaru mohou být spolehlivé. Od výrobců hardwaru musíme očekávat lepší.

Aktualizace firmwaru mohou být spolehlivé. Spustil jsem nejméně 3 000 aktualizací BIOSu Dell s jediným selháním a tento starý počítač již byl v provozu pro selhání.

Přemýšlejte o tom, co si myslíte, že je nemožné. Servis firmwaru není nemožný ani riskantní. Vyžaduje to, aby lidé požadovali lepší.

— SwiftOnSecurity (@SwiftOnSecurity) 6. listopadu 2018

Kredit obrázku: Intel, Natascha Eibl, kubais/Shutterstock.com.