لماذا تحتاج برامج UEFI الثابتة لجهاز الكمبيوتر الخاص بك إلى تحديثات أمان

أعلنت Microsoft للتو عن Project Mu ، الذي يعد "البرامج الثابتة كخدمة" على الأجهزة المدعومة. يجب على كل شركة مصنعة لأجهزة الكمبيوتر أن تأخذ علماً بها. تحتاج أجهزة الكمبيوتر الشخصية إلى تحديثات أمنية لبرامجها الثابتة UEFI ، وقد قام مصنعو أجهزة الكمبيوتر الشخصي بعمل ضعيف في تسليمها.

ما هي البرامج الثابتة UEFI?

تستخدم أجهزة الكمبيوتر الحديثة برامج UEFI الثابتة بدلاً من BIOS التقليدي. تعد البرامج الثابتة UEFI هي البرامج ذات المستوى المنخفض التي تبدأ عند تشغيل جهاز الكمبيوتر الخاص بك. يقوم باختبار وتهيئة الأجهزة الخاصة بك ، ويقوم بتكوين النظام على مستوى منخفض ، ثم يقوم بتمهيد نظام تشغيل من محرك الأقراص الداخلي بجهاز الكمبيوتر أو من جهاز إقلاع آخر.

ومع ذلك ، فإن UEFI أكثر تعقيدًا من برنامج BIOS الأقدم. على سبيل المثال ، أجهزة الكمبيوتر التي تحتوي على معالجات Intel لديها شيء يسمى Intel Management Engine ، وهو نظام تشغيل صغير للغاية. يتم تشغيله بالتوازي مع نظام التشغيل Windows أو Linux أو أي نظام تشغيل تشغله على جهاز الكمبيوتر. على شبكات الشركات ، يمكن لمسؤولي النظام استخدام ميزات في Intel ME لإدارة أجهزة الكمبيوتر الخاصة بهم عن بعد.

يحتوي UEFI أيضًا على "microcode" للمعالج ، وهو نوع يشبه البرامج الثابتة للمعالج الخاص بك. عندما يقوم جهاز الكمبيوتر الخاص بك بالتمهيد ، فإنه يقوم بتحميل الرمز الصغير من البرنامج الثابت UEFI. فكر فيه كمترجم يترجم تعليمات البرامج إلى تعليمات الأجهزة التي يتم إجراؤها على وحدة المعالجة المركزية.

لماذا UEFI البرامج الثابتة يحتاج تحديثات الأمان

وقد أظهرت السنوات القليلة الماضية مرارا وتكرارا لماذا البرامج الثابتة UEFI يحتاج تحديثات أمنية في الوقت المناسب.

تعلمنا جميعًا عن سبكتر في عام 2018 ، مما يظهر المشاكل المعمارية الخطيرة مع وحدات المعالجة المركزية الحديثة. إن المشاكل المتعلقة بشيء يسمى "تنفيذ المضاربة" تعني أن البرامج يمكن أن تفلت من القيود الأمنية القياسية وقراءة المناطق الآمنة للذاكرة. إصلاحات إلى Spectro المطلوبة تحديثات microcode CPU لتعمل بشكل صحيح. ويعني هذا أن شركات تصنيع أجهزة الكمبيوتر اضطرت إلى تحديث جميع أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية ، وكان على الشركات المصنعة للوحة الأم تحديث جميع اللوحات الرئيسية الخاصة بها باستخدام برنامج UEFI الجديد الذي يحتوي على الرمز الصغير المحدث. جهاز الكمبيوتر الخاص بك غير محمي بشكل كاف ضد Specter ما لم تقم بتثبيت تحديث البرنامج الثابت الخاص بـ UEFI. أصدرت AMD أيضا تحديثات microcode لحماية أنظمة مع معالجات AMD من هجمات Spect Spect ، لذا فإن هذا ليس مجرد شيء إنتل.

لقد شهد "محرك الإدارة" الخاص بشركة Intel بعض الأخطاء الأمنية التي قد تسمح للمهاجمين الذين لديهم وصول محلي إلى جهاز الكمبيوتر بكسر برنامج إدارة المحرك ، أو السماح لمهاجم لديه وصول عن بعد يسبب مشاكل. لحسن الحظ ، لا يستغل جهاز التحكم عن بعد سوى الشركات المتأثرة التي مكنت تقنية الإدارة النشطة من إنتل (AMT) ، لذا لم يتأثر المستهلكون العاديون.

هذه فقط أمثلة قليلة. أظهر الباحثون أيضًا أنه من الممكن إساءة استخدام البرنامج الثابت الخاص بـ UEFI على بعض أجهزة الكمبيوتر الشخصية ، وذلك باستخدامه للحصول على وصول عميق إلى النظام. لقد أظهروا حتى الفدية المستمرة التي تمكنت من الوصول إلى البرامج الثابتة للكمبيوتر UEFI وركضت من هناك.

يجب أن تقوم الصناعة بتحديث البرامج الثابتة لكل جهاز كمبيوتر UEFI مثل أي برنامج آخر للمساعدة في الحماية من هذه المشاكل والعيوب المشابهة في المستقبل.

كيف تم كسر عملية التحديث لسنوات

كانت عملية تحديث BIOS فوضى إلى الأبد ، منذ فترة طويلة قبل UEFI. تقليديا ، يمكن أن تذهب أجهزة الكمبيوتر التي يتم شحنها مع هذا BIOS المدرسة القديمة ، وأقل خطأ. قد تقوم الشركات المصنعة لأجهزة الكمبيوتر بشحن عدد قليل من تحديثات BIOS لإصلاح مشكلات بسيطة ، ولكن النصيحة المعتادة هي تجنب تثبيتها إذا كان الكمبيوتر يعمل بشكل صحيح. غالبًا ما كان عليك التمهيد من محرك أقراص DOS قابل للتمهيد لتحديث تحديث BIOS ، وسمع الجميع قصصًا عن تحديثات BIOS فشلت وتحميل أجهزة الكمبيوتر الشخصية ، مما يجعلها غير قابلة للتمهيد.

الأمور تغيرت تقوم UEFI بإنتاج الكثير من البرامج الثابتة ، وقد قامت Intel بإصدار العديد من التحديثات الكبيرة لأشياء مثل microcode CPU و Intel ME في السنوات القليلة الماضية. عندما تطلق Intel هذا التحديث ، فإن كل ما يمكن أن تفعله شركة إنتل هو أن تقول "اسأل الشركة المصنّعة للكمبيوتر الخاص بك". إن الشركة المصنّعة للكمبيوتر أو الشركة المصنعة للوحة الأم ، إذا قمت بإنشاء الكمبيوتر الشخصي الخاص بك ، يجب أن تأخذ الرمز من إنتل وتدمجه في برنامج UEFI جديد الإصدار. لديهم ثم اختبار البرامج الثابتة. يجب على كل شركة مصنعة أن تكرر هذه العملية لكل جهاز كمبيوتر شخصي تبيعه ، حيث إن جميعها لديها برامج UEFI مختلفة. إنه نوع العمل اليدوي الذي جعل تحديث هواتف Android أمرًا صعبًا في الماضي.

من الناحية العملية ، يعني هذا أنه غالباً ما يستغرق وقتاً طويلاً من الوقت - للحصول على تحديثات الأمان الهامة التي يجب تسليمها عبر UEFI. هذا يعني أن الشركات المصنعة قد تتغاضى وترفض تحديث أجهزة الكمبيوتر التي عمرها بضع سنوات فقط. وحتى عند قيام الشركات المصنعة بإصدار تحديثات ، فغالباً ما يتم دفن هذه التحديثات على موقع الدعم الخاص بالشركة المصنعة. معظم مستخدمي الكمبيوتر لن يكتشفوا أبدا تحديثات UEFI الثابتة هذه وتثبيتها ، بحيث تنتهي هذه الخلل في العيش على أجهزة الكمبيوتر الموجودة منذ فترة طويلة. وبعض الشركات المصنعة لا تزال تجعلك تثبيت تحديثات البرامج الثابتة عن طريق تمهيد في DOS أولا فقط لجعلها معقدة للغاية.

ما يفعله الناس حول هذا الموضوع

هذا فوضى. نحن بحاجة إلى عملية انسيابية حيث يمكن للشركات المصنعة إنشاء تحديثات البرامج الثابتة UEFI الجديدة بسهولة أكبر. نحتاج أيضًا إلى عملية أفضل لإصدار هذه التحديثات ، بحيث يمكن للمستخدمين الحصول عليها مثبتة تلقائيًا على أجهزة الكمبيوتر الخاصة بهم. الآن العملية بطيئة ودليل ، يجب أن تكون سريعة وتلقائية.

هذا ما تحاول مايكروسوفت القيام به مع Project Mu. في ما يلي كيفية تفسير المستندات الرسمية لذلك:

بنيت Mu حول فكرة أن شحن وصيانة منتج UEFI هو تعاون مستمر بين العديد من الشركاء. منذ فترة طويلة ، قامت الصناعة ببناء منتجات باستخدام نموذج "forking" مقترنًا بنسخ / لصق / إعادة تسمية ، ومع كل منتج جديد ، فإن عبء الصيانة ينمو إلى هذا المستوى بحيث تكون التحديثات شبه مستحيلة بسبب التكلفة والمخاطرة..

يهدف Project Mu إلى مساعدة شركات تصنيع أجهزة الكمبيوتر على إنشاء تحديثات UEFI واختبارها بشكل أسرع من خلال تبسيط عملية تطوير UEFI ومساعدة الجميع على العمل معًا. نأمل أن تكون هذه هي القطعة المفقودة ، حيث أن Microsoft قد جعلت من السهل على شركات تصنيع أجهزة الكمبيوتر إرسال تحديثات البرامج الثابتة الخاصة بها إلى المستخدمين تلقائيًا.

على وجه التحديد ، تسمح شركة Microsoft لمصنعي أجهزة الكمبيوتر بإصدار تحديثات للبرامج الثابتة من خلال Windows Update وقد قدمت وثائق حول هذا الأمر منذ عام 2017 على الأقل. كما أعلنت Microsoft عن تحديث البرنامج الثابت للمكونات. نموذج مفتوح المصدر يمكن للشركات المصنعة استخدامه لتحديث UEFI والبرامج الثابتة الأخرى ، مرة أخرى في أكتوبر 2018. إذا كان مصنعو أجهزة الكمبيوتر يستفيدون من هذا ، يمكنهم تقديم تحديثات للبرامج الثابتة لجميع مستخدميهم بسرعة كبيرة.

هذا ليس مجرد شيء ويندوز ، إما. على نظام التشغيل Linux ، يحاول المطوّرون تسهيل الأمر على مصنعي أجهزة الكمبيوتر الشخصية لإصدار تحديثات UEFI باستخدام LVFS ، وهي خدمة البرامج الثابتة لموردي لينكس. يمكن لبائعي أجهزة الكمبيوتر تقديم تحديثاتهم ، وستظهر للتنزيل في تطبيق جنوم للبرمجيات ، الذي يستخدم على أوبونتو والعديد من توزيعات لينكس الأخرى. يعود هذا الجهد إلى عام 2015. وتشارك شركات تصنيع أجهزة الكمبيوتر مثل Dell و Lenovo.

تؤثر هذه الحلول لنظامي التشغيل Windows و Linux على ما هو أكثر من تحديثات UEFI فقط. يمكن للشركات المصنعة للأجهزة استخدامها لتحديث كل شيء من البرامج الثابتة الماوس USB إلى الثابتة محرك الأقراص الحالة الصلبة في المستقبل.

كما وضع SwiftOnSecurity عند الحديث عن المشاكل مع البرامج الثابتة محرك الأقراص الصلبة والتشفير ، يمكن أن تكون تحديثات البرامج الثابتة موثوقة. نحن بحاجة إلى توقع أفضل من الشركات المصنعة للأجهزة.

يمكن أن تكون تحديثات البرامج الثابتة موثوقة. لقد بدأت ما لا يقل عن 3000 تحديث ل BIOS من Dell مع فشل واحد فقط ، وكان هذا الكمبيوتر القديم بالفعل في الخدمة بسبب الفشل.

إعادة التفكير في ما تعتقد أنه مستحيل. خدمة البرامج الثابتة ليست مستحيلة أو محفوفة بالمخاطر. يتطلب من الناس الطلب بشكل أفضل.

- SwiftOnSecurity (SwiftOnSecurity) في 6 تشرين الثاني 2018

Image Credit: Intel، Natascha Eibl، kubais / Shutterstock.com.