Microsoft เพิ่งประกาศ โครงการ Muสัญญาว่า “เฟิร์มแวร์เป็นบริการ” บนฮาร์ดแวร์ที่รองรับ ผู้ผลิตพีซีทุกรายควรรับทราบ พีซีต้องการการอัปเดตด้านความปลอดภัยสำหรับเฟิร์มแวร์ UEFI และผู้ผลิตพีซีได้ดำเนินการส่งมอบได้ไม่ดี
เฟิร์มแวร์ UEFI คืออะไร?
พีซีสมัยใหม่ใช้เฟิร์มแวร์ UEFI แทน BIOS แบบเดิม เฟิร์มแวร์ UEFI เป็นซอฟต์แวร์ระดับต่ำที่เริ่มทำงานเมื่อคุณบูตเครื่องพีซี โดยจะทดสอบและเริ่มต้นฮาร์ดแวร์ของคุณ กำหนดค่าระบบระดับต่ำบางอย่าง จากนั้นจึงบู๊ตระบบปฏิบัติการจากไดรฟ์ภายในของคอมพิวเตอร์หรืออุปกรณ์สำหรับบู๊ตเครื่องอื่น
อย่างไรก็ตาม UEFI นั้นซับซ้อนกว่าซอฟต์แวร์ BIOS รุ่นเก่าเล็กน้อย ตัวอย่างเช่น คอมพิวเตอร์ที่มีโปรเซสเซอร์ Intel มีสิ่งที่เรียกว่า Intel Management Engine ซึ่งโดยพื้นฐานแล้วเป็นระบบปฏิบัติการขนาดเล็ก มันทำงานควบคู่ไปกับ Windows, Linux หรือระบบปฏิบัติการใดก็ตามที่คุณใช้งานบนคอมพิวเตอร์ของคุณ บนเครือข่ายองค์กร ผู้ดูแลระบบสามารถใช้คุณสมบัติใน Intel ME เพื่อจัดการคอมพิวเตอร์จากระยะไกล
UEFI ยังมีโปรเซสเซอร์ “ไมโครโค้ด” ซึ่งคล้ายกับเฟิร์มแวร์สำหรับโปรเซสเซอร์ของคุณ เมื่อคอมพิวเตอร์บูท เครื่องจะโหลดไมโครโค้ดจากเฟิร์มแวร์ UEFI คิดว่ามันเหมือนกับล่ามที่แปลคำสั่งซอฟต์แวร์เป็นคำสั่งฮาร์ดแวร์ที่ทำงานบน CPU
เหตุใดเฟิร์มแวร์ UEFI จึงต้องการการอัปเดตความปลอดภัย
ไม่กี่ปีที่ผ่านมาได้แสดงให้เห็นซ้ำแล้วซ้ำเล่าว่าทำไมเฟิร์มแวร์ UEFI จึงต้องการการอัปเดตความปลอดภัยในเวลาที่เหมาะสม
เราทุกคนได้เรียนรู้เกี่ยวกับ Spectre ในปี 2018 ซึ่งแสดงให้เห็นถึงปัญหาด้านสถาปัตยกรรมที่ร้ายแรงกับซีพียูสมัยใหม่ ปัญหาเกี่ยวกับสิ่งที่เรียกว่า “การดำเนินการเก็งกำไร” หมายถึงโปรแกรมสามารถหลีกเลี่ยงข้อจำกัดด้านความปลอดภัยมาตรฐานและอ่านพื้นที่ปลอดภัยของหน่วยความจำได้ แก้ไข Spectre จำเป็นต้องมีการอัพเดตไมโครโค้ดของ CPU เพื่อให้ทำงานได้อย่างถูกต้อง นั่นหมายความว่าผู้ผลิตพีซีต้องอัปเดตแล็ปท็อปและเดสก์ท็อปพีซีทั้งหมด และผู้ผลิตมาเธอร์บอร์ดต้องอัปเดตมาเธอร์บอร์ดทั้งหมดด้วยเฟิร์มแวร์ UEFI ใหม่ที่มีไมโครโค้ดที่อัปเดต พีซีของคุณไม่ได้รับการปกป้องอย่างเพียงพอจาก Spectre เว้นแต่คุณจะติดตั้งการอัปเดตเฟิร์มแวร์ UEFI AMD ยังได้ออกการปรับปรุงไมโครโค้ดเพื่อปกป้องระบบที่มีโปรเซสเซอร์ AMD จากการโจมตีของ Spectre ดังนั้นนี่จึงไม่ใช่แค่เรื่องของ Intel
Management Engine ของ Intel ได้เห็นมาแล้วบ้าง ข้อบกพร่องด้านความปลอดภัย ที่อาจทำให้ผู้โจมตีที่เข้าถึงคอมพิวเตอร์ในพื้นที่สามารถถอดรหัสซอฟต์แวร์ Management Engine หรือปล่อยให้ผู้โจมตีที่มีการเข้าถึงระยะไกลทำให้เกิดปัญหา โชคดีที่การใช้ประโยชน์จากระยะไกลส่งผลกระทบต่อธุรกิจที่เปิดใช้งาน Intel Active Management Technology (AMT) เท่านั้น ดังนั้นผู้บริโภคทั่วไปจึงไม่ได้รับผลกระทบ
นี่เป็นเพียงตัวอย่างบางส่วน นักวิจัยยังแสดงให้เห็นด้วยว่ามีความเป็นไปได้ที่จะใช้เฟิร์มแวร์ UEFI ในพีซีบางเครื่องในทางที่ผิด โดยใช้เฟิร์มแวร์นี้เพื่อเข้าถึงระบบอย่างลึกล้ำ พวกเขายังแสดงให้เห็น แรนซัมแวร์ถาวร ที่เข้าถึงเฟิร์มแวร์ UEFI ของคอมพิวเตอร์และเรียกใช้จากที่นั่น
อุตสาหกรรมควรอัปเดตเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ทุกเครื่องเช่นเดียวกับซอฟต์แวร์อื่นๆ เพื่อช่วยป้องกันปัญหาเหล่านี้และข้อบกพร่องที่คล้ายคลึงกันในอนาคต
กระบวนการอัปเดตใช้งานไม่ได้มาหลายปีแล้ว
กระบวนการอัพเดต BIOS นั้นยุ่งเหยิงไปตลอดกาล—ตั้งแต่ก่อน UEFI มายาวนาน ตามเนื้อผ้า คอมพิวเตอร์ที่มาพร้อมกับ BIOS รุ่นเก่านั้น และอาจมีข้อผิดพลาดน้อยกว่านี้ ผู้ผลิตพีซีอาจจัดส่งการอัปเดต BIOS สองสามรายการเพื่อแก้ไขปัญหาเล็กน้อย แต่คำแนะนำทั่วไปคือหลีกเลี่ยงการติดตั้งหากพีซีของคุณทำงานอย่างถูกต้อง คุณมักจะต้องบู๊ตจากไดรฟ์ DOS ที่สามารถบู๊ตได้เพื่อแฟลชอัพเดตไบออส และทุกคนก็ได้ยินเรื่องราวของการอัพเดตไบออสที่ล้มเหลวและทำให้พีซีหยุดทำงาน ทำให้ไม่สามารถบู๊ตได้
สิ่งต่าง ๆ เปลี่ยนไป เฟิร์มแวร์ UEFI ทำได้มากกว่านั้น และ Intel ได้เปิดตัวการอัปเดตครั้งใหญ่หลายอย่าง เช่น ไมโครโค้ดของ CPU และ Intel ME ในช่วงไม่กี่ปีที่ผ่านมา เมื่อใดก็ตามที่ Intel เผยแพร่การอัปเดตดังกล่าว Intel ทำได้เพียงแค่พูดว่า “ถามผู้ผลิตคอมพิวเตอร์ของคุณ” ผู้ผลิตคอมพิวเตอร์ของคุณ—หรือผู้ผลิตมาเธอร์บอร์ด หากคุณสร้างพีซีของคุณเอง—จะต้องนำรหัสจาก Intel และรวมเข้ากับเฟิร์มแวร์ UEFI เวอร์ชันใหม่ จากนั้นพวกเขาจะต้องทดสอบเฟิร์มแวร์ และผู้ผลิตแต่ละรายต้องทำซ้ำขั้นตอนนี้สำหรับพีซีทุกเครื่องที่พวกเขาขาย เนื่องจากพวกเขาทั้งหมดมีเฟิร์มแวร์ UEFI ที่แตกต่างกัน เป็นการทำงานด้วยตนเองที่ทำให้โทรศัพท์ Android อัปเดตได้ยากในอดีต
ในทางปฏิบัติ มักใช้เวลานาน หลายเดือนในการรับการอัปเดตความปลอดภัยที่สำคัญซึ่งต้องส่งผ่าน UEFI หมายความว่าผู้ผลิตอาจยักไหล่และปฏิเสธที่จะอัปเดตพีซีที่มีอายุเพียงไม่กี่ปี และแม้ว่าผู้ผลิตจะเผยแพร่การอัปเดต การอัปเดตเหล่านั้นมักถูกฝังอยู่ในเว็บไซต์สนับสนุนของผู้ผลิตรายนั้น ผู้ใช้พีซีส่วนใหญ่จะไม่พบการอัปเดตเฟิร์มแวร์ UEFI เหล่านั้นและติดตั้ง ดังนั้นข้อบกพร่องเหล่านี้จึงอยู่ในพีซีที่มีอยู่เป็นเวลานาน และผู้ผลิตบางรายยังคงให้คุณติดตั้งการอัปเดตเฟิร์มแวร์ด้วยการบูทใน DOS ก่อน—เพื่อให้ซับซ้อนยิ่งขึ้น
ผู้คนกำลังทำอะไรเกี่ยวกับมัน
ที่เป็นระเบียบ เราต้องการกระบวนการที่คล่องตัวซึ่งผู้ผลิตสามารถสร้างการอัปเดตเฟิร์มแวร์ UEFI ใหม่ได้ง่ายขึ้น เรายังต้องการกระบวนการที่ดีกว่าในการเผยแพร่การอัปเดตเหล่านั้น เพื่อให้ผู้ใช้สามารถติดตั้งบนพีซีได้โดยอัตโนมัติ ขณะนี้กระบวนการทำงานช้าและดำเนินการด้วยตนเอง ซึ่งควรจะรวดเร็วและเป็นไปโดยอัตโนมัติ
นั่นคือสิ่งที่ Microsoft พยายามทำกับ Project Mu นี่คือวิธีที่ เอกสารราชการ อธิบายว่า:
Mu สร้างขึ้นจากแนวคิดที่ว่าการจัดส่งและบำรุงรักษาผลิตภัณฑ์ UEFI เป็นความร่วมมืออย่างต่อเนื่องระหว่างพันธมิตรจำนวนมาก เป็นเวลานานเกินไป ที่อุตสาหกรรมได้สร้างผลิตภัณฑ์โดยใช้โมเดล “forking” ร่วมกับการคัดลอก/วาง/เปลี่ยนชื่อ และกับผลิตภัณฑ์ใหม่แต่ละรายการ ภาระในการบำรุงรักษาเพิ่มขึ้นถึงระดับที่การอัปเดตแทบจะเป็นไปไม่ได้เนื่องจากต้นทุนและความเสี่ยง
Project Mu คือทั้งหมดที่เกี่ยวกับการช่วยให้ผู้ผลิตพีซีสร้างและทดสอบการอัปเดต UEFI ได้เร็วยิ่งขึ้นโดยการปรับปรุงกระบวนการพัฒนา UEFI และช่วยให้ทุกคนทำงานร่วมกัน หวังว่านี่จะเป็นส่วนที่ขาดหายไป เนื่องจาก Microsoft ได้ทำให้ผู้ผลิตพีซีส่งการอัปเดตเฟิร์มแวร์ UEFI ไปยังผู้ใช้ได้ง่ายขึ้นแล้วโดยอัตโนมัติ
โดยเฉพาะ Microsoft ช่วยให้ผู้ผลิตพีซี ออกเฟิร์มแวร์อัพเดต ผ่าน Windows Update และได้จัดเตรียมเอกสารเกี่ยวกับเรื่องนี้มาตั้งแต่ปี 2017 เป็นอย่างน้อย นอกจากนี้ Microsoft ยังประกาศ อัพเดตเฟิร์มแวร์ส่วนประกอบ; ซึ่งเป็นรุ่นโอเพนซอร์สที่ผู้ผลิตสามารถใช้เพื่ออัปเดต UEFI และเฟิร์มแวร์อื่นๆ ได้ในเดือนตุลาคม 2018 หากผู้ผลิตพีซีเข้าร่วมในเรื่องนี้ พวกเขาสามารถส่งมอบการอัปเดตเฟิร์มแวร์ให้กับผู้ใช้ทั้งหมดได้อย่างรวดเร็ว
นี่ไม่ใช่แค่เรื่องของ Windows เท่านั้น บน Linux นักพัฒนาพยายามทำให้ผู้ผลิตพีซีออกการอัปเดต UEFI ได้ง่ายขึ้นด้วย LVFS, บริการเฟิร์มแวร์ผู้จำหน่าย Linux ผู้จำหน่ายพีซีสามารถส่งการอัปเดตได้ และจะปรากฏขึ้นเพื่อดาวน์โหลดในแอปพลิเคชันซอฟต์แวร์ GNOME ซึ่งใช้ใน Ubuntu และ Linux รุ่นอื่นๆ ความพยายามนี้มีขึ้นตั้งแต่ปี 2015 ผู้ผลิตพีซีเช่น Dell และ Lenovo กำลังมีส่วนร่วม
โซลูชันเหล่านี้สำหรับ Windows และ Linux มีผลมากกว่าการอัปเดต UEFI ด้วย ผู้ผลิตฮาร์ดแวร์สามารถใช้พวกเขาเพื่ออัปเดตทุกอย่างตั้งแต่เฟิร์มแวร์เมาส์ USB ไปจนถึงเฟิร์มแวร์ไดรฟ์โซลิดสเทตในอนาคต
เนื่องจาก SwiftOnSecurity เมื่อพูดถึงปัญหาเกี่ยวกับเฟิร์มแวร์และการเข้ารหัสของไดรฟ์โซลิดสเทตการอัปเดตเฟิร์มแวร์นั้นเชื่อถือได้ เราต้องคาดหวังให้ดีขึ้นจากผู้ผลิตฮาร์ดแวร์
การอัปเดตเฟิร์มแวร์สามารถเชื่อถือได้ ฉันได้เริ่มต้นการอัปเดต BIOS ของ Dell อย่างน้อย 3,000 รายการโดยมีความล้มเหลวเพียงครั้งเดียว และพีซีเครื่องเก่านั้นพร้อมให้บริการเนื่องจากความล้มเหลว
คิดใหม่สิ่งที่คุณคิดว่าเป็นไปไม่ได้ การให้บริการเฟิร์มแวร์นั้นไม่ใช่เรื่องที่เป็นไปไม่ได้หรือมีความเสี่ยง มันต้องการคนต้องการดีกว่า
— SwiftOnSecurity (@SwiftOnSecurity) 6 พฤศจิกายน 2018
เครดิตรูปภาพ: อินเทล, Natascha Eibl, kubais/Shutterstock.com
