Perché il firmware UEFI del tuo PC ha bisogno di aggiornamenti di sicurezza
Microsoft ha appena annunciato Project Mu, promettendo "firmware come servizio" su hardware supportato. Ogni produttore di PC dovrebbe prendere nota. I PC hanno bisogno di aggiornamenti di sicurezza per il loro firmware UEFI, e i produttori di PC hanno fatto un pessimo lavoro di consegna.
Cos'è il firmware UEFI?
I PC moderni utilizzano il firmware UEFI invece di un BIOS tradizionale. Il firmware UEFI è il software di basso livello che viene avviato all'avvio del PC. Verifica e inizializza l'hardware, esegue una configurazione di sistema di basso livello, quindi avvia un sistema operativo dall'unità interna del computer o da un altro dispositivo di avvio.
Tuttavia, UEFI è un po 'più complicato del vecchio BIOS software. Ad esempio, i computer con processori Intel hanno qualcosa chiamato Intel Management Engine, che è fondamentalmente un piccolo sistema operativo. Funziona in parallelo a Windows, Linux o qualsiasi altro sistema operativo sul tuo computer. Nelle reti aziendali, gli amministratori di sistema possono utilizzare le funzionalità di Intel ME per gestire da remoto i propri computer.
UEFI contiene anche un "microcodice" del processore, che è un po 'come il firmware per il tuo processore. All'avvio del computer, carica il microcodice dal firmware UEFI. Pensalo come un interprete che traduce le istruzioni del software in istruzioni hardware eseguite sulla CPU.
Perché il firmware UEFI ha bisogno di aggiornamenti di sicurezza
Gli ultimi anni hanno mostrato più volte perché il firmware UEFI ha bisogno di aggiornamenti di sicurezza tempestivi.
Tutti abbiamo appreso di Spectre nel 2018, mostrando i seri problemi di architettura con le moderne CPU. Problemi con qualcosa chiamato "esecuzione speculativa" significava che i programmi potevano sfuggire alle restrizioni di sicurezza standard e leggere aree protette di memoria. Correzioni per Specter richiedevano gli aggiornamenti del microcodice CPU per funzionare correttamente. Ciò significa che i produttori di PC hanno dovuto aggiornare tutti i loro PC laptop e desktop e che i produttori di schede madri dovevano aggiornare tutte le loro schede madri, con il nuovo firmware UEFI contenente il microcodice aggiornato. Il tuo PC non è adeguatamente protetto contro Spectre a meno che tu non abbia installato un aggiornamento del firmware UEFI. AMD ha anche rilasciato aggiornamenti di microcodice per proteggere i sistemi con processori AMD dagli attacchi Spectre, quindi non è solo una questione Intel.
Il Management Engine di Intel ha rilevato alcuni bug di sicurezza che potrebbero consentire agli aggressori con accesso locale al computer di bloccare il software Management Engine o consentire a un utente malintenzionato con accesso remoto di causare problemi. Fortunatamente, il remoto sfrutta solo le aziende interessate che hanno attivato Intel Active Management Technology (AMT), quindi i consumatori medi non sono stati interessati.
Questi sono solo alcuni esempi. I ricercatori hanno anche dimostrato che è possibile abusare del firmware UEFI su alcuni PC, utilizzandolo per ottenere un accesso approfondito al sistema. Hanno persino dimostrato un ransomware persistente che ha ottenuto l'accesso al firmware UEFI di un computer e che è scappato da lì.
L'industria dovrebbe aggiornare il firmware UEFI di ogni computer come qualsiasi altro software per proteggere questi problemi e simili difetti in futuro.
Come il processo di aggiornamento è stato rotto per anni
Il processo di aggiornamento del BIOS è stato un disastro per sempre, da molto tempo prima UEFI. Tradizionalmente, i computer spediti con quel BIOS vecchio stampo e meno potevano andare male. I produttori di PC potrebbero spedire alcuni aggiornamenti del BIOS per risolvere problemi minori, ma il solito consiglio era di evitare di installarli se il PC funzionava correttamente. Spesso dovevi eseguire l'avvio da un'unità DOS avviabile per aggiornare l'aggiornamento del BIOS e tutti hanno sentito storie di aggiornamenti del BIOS che non funzionavano e bloccavano i PC, rendendoli non avviabili.
Le cose sono cambiate. Il firmware UEFI fa molto di più e Intel negli ultimi anni ha rilasciato diversi grandi aggiornamenti su cose come il microcodice CPU e Intel ME. Ogni volta che Intel rilascia un tale aggiornamento, tutto ciò che Intel può fare è dire "chiedi al produttore del computer". Il produttore del computer o il produttore della scheda madre, se hai costruito il tuo PC, devono prendere il codice da Intel e integrarlo in un nuovo firmware UEFI versione. Devono quindi testare il firmware. Oh, e ogni produttore deve ripetere questo processo per ogni singolo PC che vendono, in quanto tutti hanno un diverso firmware UEFI. È il tipo di lavoro manuale che ha reso i telefoni Android così difficili da aggiornare in passato.
In pratica, questo significa che spesso richiede molto tempo, molti mesi, per ottenere aggiornamenti di sicurezza fondamentali che devono essere consegnati tramite UEFI. Significa che i produttori potrebbero scrollarsi di spalle e rifiutarsi di aggiornare PC che hanno solo pochi anni. E, anche quando i produttori rilasciano aggiornamenti, questi aggiornamenti sono spesso nascosti sul sito Web di supporto di quel produttore. La maggior parte degli utenti PC non scoprirà mai quegli aggiornamenti del firmware UEFI esistenti e li installerà, quindi questi bug finiscono per sopravvivere nei PC esistenti per molto tempo. E alcuni produttori ti fanno ancora installare gli aggiornamenti del firmware avviando prima il DOS, solo per renderlo più complicato.
Cosa le persone stanno facendo al riguardo
Questo è un casino. Abbiamo bisogno di un processo semplificato in cui i produttori possano creare più facilmente nuovi aggiornamenti del firmware UEFI. Abbiamo anche bisogno di un processo migliore per rilasciare quegli aggiornamenti, in modo che gli utenti possano installarli automaticamente sui loro PC. In questo momento il processo è lento e manuale, dovrebbe essere veloce e automatico.
Questo è ciò che Microsoft sta cercando di fare con Project Mu. Ecco come la documentazione ufficiale lo spiega:
Mu è costruito attorno all'idea che la spedizione e il mantenimento di un prodotto UEFI sia una collaborazione continua tra numerosi partner. Per troppo tempo l'industria ha costruito prodotti utilizzando un modello di "forking" combinato con copia / incolla / rinomina e con ogni nuovo prodotto il carico di manutenzione aumenta a tal punto che gli aggiornamenti sono quasi impossibili a causa di costi e rischi.
Project Mu aiuta i produttori di PC a creare e testare più rapidamente gli aggiornamenti UEFI semplificando il processo di sviluppo UEFI e aiutando tutti a collaborare. Si spera che questo sia il pezzo mancante, poiché Microsoft ha già reso più semplice per i produttori di PC inviare automaticamente gli aggiornamenti del firmware UEFI agli utenti.
In particolare, Microsoft consente ai produttori di PC di rilasciare aggiornamenti del firmware tramite Windows Update e ha fornito documentazione su questo almeno dal 2017. Microsoft ha anche annunciato l'aggiornamento del firmware dei componenti; un modello open source che i produttori possono utilizzare per aggiornare UEFI e altri firmware, a partire da ottobre 2018. Se i produttori di PC si sono messi d'accordo con questo, potrebbero consegnare gli aggiornamenti del firmware a tutti i loro utenti molto rapidamente.
Anche questa non è solo una cosa di Windows. Su Linux, gli sviluppatori stanno cercando di rendere più semplice per i produttori di PC emettere aggiornamenti UEFI con LVFS, il servizio di firmware dei fornitori Linux. I produttori di PC possono inviare i loro aggiornamenti e appariranno per il download nell'applicazione software GNOME, che è usata su Ubuntu e molte altre distribuzioni Linux. Questo impegno risale al 2015. Partecipano produttori di PC come Dell e Lenovo.
Queste soluzioni per Windows e Linux influenzano anche più degli aggiornamenti UEFI. I produttori di hardware potrebbero usarli per aggiornare tutto, dal firmware del mouse USB al firmware delle unità a stato solido in futuro.
Come SwiftOnSecurity dice quando si parla dei problemi con il firmware e la crittografia dei dischi a stato solido, gli aggiornamenti del firmware possono essere affidabili. Dobbiamo aspettarci di più dai produttori di hardware.
Gli aggiornamenti del firmware possono essere affidabili. Ho avviato almeno 3.000 aggiornamenti del BIOS di Dell con un solo errore e quel vecchio PC era già in servizio in caso di malfunzionamento.
Ripensa a ciò che pensi sia impossibile. La manutenzione del firmware non è impossibile o rischiosa. Richiede che le persone chiedono meglio.
- SwiftOnSecurity (@SwiftOnSecurity) 6 novembre 2018
Immagine di credito: Intel, Natascha Eibl, kubais / Shutterstock.com.