क्यों आपके पीसी के UEFI फर्मवेयर को सुरक्षा अपडेट की आवश्यकता है
Microsoft ने समर्थित हार्डवेयर पर "फर्मवेयर को एक सेवा के रूप में" वादा करते हुए प्रोजेक्ट म्यू की घोषणा की। हर पीसी निर्माता को ध्यान देना चाहिए। पीसी को अपने यूईएफआई फर्मवेयर को सुरक्षा अपडेट की आवश्यकता होती है, और पीसी निर्माताओं ने उन्हें वितरित करने का खराब काम किया है.
UEFI फर्मवेयर क्या है?
आधुनिक पीसी एक पारंपरिक BIOS के बजाय UEFI फर्मवेयर का उपयोग करते हैं। UEFI फर्मवेयर एक निम्न-स्तरीय सॉफ़्टवेयर है जो आपके पीसी को बूट करने पर शुरू होता है। यह आपके हार्डवेयर का परीक्षण और आरंभ करता है, कुछ निम्न-स्तरीय सिस्टम कॉन्फ़िगरेशन करता है, और फिर आपके कंप्यूटर की आंतरिक ड्राइव या किसी अन्य बूट डिवाइस से ऑपरेटिंग सिस्टम को बूट करता है.
हालाँकि, UEFI पुराने BIOS सॉफ़्टवेयर की तुलना में थोड़ा अधिक जटिल है। उदाहरण के लिए, इंटेल प्रोसेसर वाले कंप्यूटरों में इंटेल प्रबंधन इंजन नामक कुछ होता है, जो मूल रूप से एक छोटा ऑपरेटिंग सिस्टम है। यह विंडोज, लिनक्स, या आपके कंप्यूटर पर जो भी ऑपरेटिंग सिस्टम चल रहा है, उसके समानांतर चलता है। कॉर्पोरेट नेटवर्क पर, सिस्टम प्रशासक अपने कंप्यूटरों को दूरस्थ रूप से प्रबंधित करने के लिए Intel ME में सुविधाओं का उपयोग कर सकते हैं.
UEFI में प्रोसेसर "माइक्रोकोड" भी है, जो आपके प्रोसेसर के लिए फर्मवेयर की तरह है। जब आपका कंप्यूटर बूट होता है, तो यह यूईएफआई फर्मवेयर से माइक्रोकोड लोड करता है। इसे एक दुभाषिए की तरह समझें जो CPU पर किए गए हार्डवेयर निर्देशों को सॉफ़्टवेयर निर्देशों का अनुवाद करता है.
क्यों UEFI फर्मवेयर को सुरक्षा अपडेट की आवश्यकता है
पिछले कुछ वर्षों में दिखाया गया है कि यूईएफआई फर्मवेयर को समय पर सुरक्षा अपडेट की आवश्यकता क्यों है.
हम सभी ने 2018 में स्पेक्टर के बारे में सीखा, जो आधुनिक सीपीयू के साथ गंभीर वास्तु संबंधी समस्याओं को दर्शाता है। "सट्टा निष्पादन" नामक कुछ समस्याओं के साथ कार्यक्रम का मतलब मानक सुरक्षा प्रतिबंधों से बच सकता है और स्मृति के सुरक्षित क्षेत्रों को पढ़ सकता है। सही ढंग से काम करने के लिए सीपीयू माइक्रोकोड अपडेट को स्पेक्टर की आवश्यकता होती है। इसका मतलब है कि पीसी निर्माताओं को अपने सभी लैपटॉप और डेस्कटॉप को अपडेट करना होगा। पीसी और मदरबोर्ड निर्माताओं को अपने सभी मदरबोर्ड को अपडेट करना होगा-नए यूईएफआई फर्मवेयर के साथ जिसमें अपडेटेड माइक्रोकोड होगा। जब तक आपने UEFI फ़र्मवेयर अद्यतन स्थापित नहीं किया है, तब तक आपके PC को स्पेक्टर के विरुद्ध पर्याप्त सुरक्षा नहीं मिलती है। AMD ने स्पेक्ट्रम के हमलों से AMD प्रोसेसर के साथ सिस्टम को बचाने के लिए माइक्रोकोड अपडेट भी जारी किया है, इसलिए यह सिर्फ एक इंटेल की चीज नहीं है.
इंटेल के प्रबंधन इंजन ने कुछ सुरक्षा बग देखे हैं जो या तो हमलावरों को कंप्यूटर तक स्थानीय पहुंच के साथ प्रबंधन इंजन सॉफ्टवेयर को क्रैक करने दे सकते हैं, या रिमोट एक्सेस के साथ हमलावर को परेशानी का कारण बनने दे सकते हैं। सौभाग्य से, रिमोट केवल उन व्यवसायों को प्रभावित करता है जिन्होंने इंटेल एक्टिव मैनेजमेंट टेक्नोलॉजी (एएमटी) को सक्षम किया था, इसलिए औसत उपभोक्ता प्रभावित नहीं हुए थे.
ये तो कुछ उदाहरण भर हैं। शोधकर्ताओं ने यह भी दिखाया है कि कुछ पीसी पर यूईएफआई फर्मवेयर का दुरुपयोग करना संभव है, इसका उपयोग सिस्टम तक गहरी पहुंच प्राप्त करने के लिए किया जाता है। उन्होंने यहां तक कि लगातार रैंसमवेयर का प्रदर्शन किया है जो कंप्यूटर के यूईएफआई फर्मवेयर तक पहुंच प्राप्त करते हैं और वहां से भाग जाते हैं.
उद्योग को इन समस्याओं और भविष्य में इसी तरह की खामियों से बचाने के लिए किसी भी अन्य सॉफ़्टवेयर की तरह हर कंप्यूटर के यूईएफआई फर्मवेयर को अपडेट करना चाहिए.
अपडेट की प्रक्रिया वर्षों से टूटी हुई है
UEFI से बहुत पहले से BIOS अपडेट प्रक्रिया हमेशा के लिए गड़बड़ हो गई है। परंपरागत रूप से, कंप्यूटर उस पुराने-स्कूल BIOS के साथ भेज दिया गया, और कम गलत हो सकता है। पीसी निर्माता मामूली समस्याओं को ठीक करने के लिए कुछ BIOS अपडेट शिप कर सकते हैं, लेकिन सामान्य सलाह यह थी कि अगर आपका पीसी ठीक से काम कर रहा है तो उन्हें इंस्टॉल करने से बचें। BIOS अद्यतन को फ्लैश करने के लिए आपको अक्सर बूट करने योग्य डॉस ड्राइव से बूट करना पड़ता है, और सभी ने पीसी को विफल करने और उन्हें अपडेट करने के लिए BIOS अपडेट की कहानियों को सुना, उन्हें अप्राप्य बना दिया।.
चीजें बदल गई। यूईएफआई फर्मवेयर बहुत अधिक करता है, और इंटेल ने पिछले कुछ वर्षों में सीपीयू माइक्रोकोड और इंटेल एमई जैसी चीजों के लिए कई बड़े अपडेट जारी किए हैं। जब भी इंटेल इस तरह का अपडेट जारी करता है, तो सभी इंटेल कह सकते हैं कि "अपने कंप्यूटर निर्माता से पूछें।" आपका कंप्यूटर निर्माता या मदरबोर्ड निर्माता, यदि आपने अपना पीसी बनाया है, तो इंटेल से कोड लेना होगा और इसे एक नए यूईएफआई फर्मवेयर में एकीकृत करना होगा। संस्करण। फिर उन्हें फर्मवेयर का परीक्षण करना होगा। ओह, और प्रत्येक निर्माता को उनके द्वारा बेची जाने वाली प्रत्येक व्यक्तिगत पीसी के लिए इस प्रक्रिया को दोहराना होगा, क्योंकि वे सभी अलग-अलग यूईएफआई फर्मवेयर हैं। यह उस तरह का मैनुअल काम है जिसने एंड्रॉइड फोन को अतीत में अपडेट करना मुश्किल बना दिया था.
व्यवहार में, इसका अर्थ है कि अक्सर महत्वपूर्ण सुरक्षा अद्यतन प्राप्त करने में एक लंबा समय लगता है-जिन्हें UEFI के माध्यम से वितरित किया जाना है। इसका मतलब है कि निर्माता पीसी को अपडेट करने से इनकार कर सकते हैं और कुछ साल पहले ही अपडेट कर सकते हैं। और, तब भी जब निर्माता अपडेट जारी करते हैं, उन अपडेट को अक्सर उस निर्माता की सहायता वेबसाइट पर दफन किया जाता है। अधिकांश पीसी उपयोगकर्ता कभी भी उन यूईएफआई फर्मवेयर अपडेट की खोज नहीं करते हैं और उन्हें स्थापित करते हैं, इसलिए ये बग लंबे समय तक मौजूदा पीसी में रहते हैं। और कुछ निर्माता अभी भी DOS में बूटिंग करके फर्मवेयर अपडेट स्थापित करते हैं-बस इसे अतिरिक्त जटिल बनाने के लिए.
लोग इसके बारे में क्या कर रहे हैं
वह गड़बड़ है। हमें एक सुव्यवस्थित प्रक्रिया की आवश्यकता है जहां निर्माता अधिक आसानी से नए यूईएफआई फर्मवेयर अपडेट बना सकें। हमें उन अपडेट को जारी करने के लिए एक बेहतर प्रक्रिया की भी आवश्यकता है, ताकि उपयोगकर्ता उन्हें अपने पीसी पर स्वचालित रूप से इंस्टॉल कर सकें। अभी यह प्रक्रिया धीमी और मैनुअल है-यह तेज और स्वचालित होनी चाहिए.
यही Microsoft प्रोजेक्ट म्यू के साथ करने की कोशिश कर रहा है। यहां बताया गया है कि आधिकारिक दस्तावेज इसे कैसे समझाते हैं:
म्यू को इस विचार के आसपास बनाया गया है कि यूईएफआई उत्पाद का शिपिंग और रखरखाव कई भागीदारों के बीच चल रहा सहयोग है। बहुत लंबे समय तक उद्योग ने "फोर्किंग" मॉडल का उपयोग करके उत्पादों का निर्माण किया है, जो कॉपी / पेस्ट / नाम के साथ संयुक्त है और प्रत्येक नए उत्पाद के साथ रखरखाव का बोझ इस तरह बढ़ता है कि लागत और जोखिम के कारण अद्यतन असंभव हो जाता है।.
प्रोजेक्ट म्यू सभी पीसी निर्माताओं को यूईएफआई विकास प्रक्रिया को सुव्यवस्थित करने और सभी को एक साथ काम करने में मदद करके UEFI अपडेट को तेजी से बनाने और परीक्षण करने में मदद करने के बारे में है। उम्मीद है, यह एक लापता टुकड़ा है, क्योंकि Microsoft ने पहले से ही पीसी निर्माताओं के लिए उपयोगकर्ताओं के लिए अपने यूईएफआई फर्मवेयर अपडेट स्वचालित रूप से भेजना आसान बना दिया है.
विशेष रूप से, Microsoft पीसी निर्माताओं को विंडोज अपडेट के माध्यम से फर्मवेयर अपडेट जारी करने देता है और कम से कम 2017 से इस पर प्रलेखन प्रदान करता है। Microsoft ने कंपोनेंट फर्मवेयर अपडेट की भी घोषणा की; एक ओपन-सोर्स मॉडल जिसे निर्माता यूईएफआई और अन्य फर्मवेयर को अपडेट करने के लिए उपयोग कर सकते हैं, अक्टूबर 2018 में वापस। यदि पीसी निर्माता इस पर बोर्ड लगाते हैं, तो वे अपने सभी उपयोगकर्ताओं को फर्मवेयर अपडेट बहुत जल्दी से वितरित कर सकते हैं।.
यह सिर्फ एक विंडोज चीज नहीं है। लिनक्स पर, डेवलपर्स लिनक्स निर्माता, लिनक्स विक्रेता फर्मवेयर सेवा के साथ यूईएफआई अपडेट जारी करने के लिए पीसी निर्माताओं के लिए इसे आसान बनाने की कोशिश कर रहे हैं। पीसी विक्रेता अपने अपडेट प्रस्तुत कर सकते हैं, और वे गनोम सॉफ्टवेयर एप्लिकेशन में डाउनलोड के लिए दिखाई देंगे, जिसका उपयोग उबंटू और कई अन्य लिनक्स वितरणों पर किया जाता है। यह प्रयास 2015 तक जारी है। डेल और लेनोवो जैसे पीसी निर्माता भाग ले रहे हैं.
विंडोज और लिनक्स के लिए ये समाधान केवल यूईएफआई अपडेट से भी अधिक प्रभावित करते हैं। हार्डवेयर निर्माता उन्हें भविष्य में USB माउस फर्मवेयर से सॉलिड-स्टेट ड्राइव फर्मवेयर तक सब कुछ अपडेट करने के लिए उपयोग कर सकते हैं.
जैसा कि स्विफ्टऑन सिक्योरिटी ने ठोस राज्य ड्राइव फर्मवेयर और एन्क्रिप्शन के साथ समस्याओं के बारे में बात करते समय इसे रखा, फर्मवेयर अपडेट विश्वसनीय हो सकते हैं। हमें हार्डवेयर निर्माताओं से बेहतर उम्मीद करने की जरूरत है.
फर्मवेयर अपडेट विश्वसनीय हो सकते हैं। मैंने केवल एक विफलता के साथ कम से कम 3,000 डेल BIOS अपडेट शुरू किए हैं, और यह पुराना पीसी पहले से ही विफल होने के लिए सेवा में था.
आप जो सोचते हैं, उसे फिर से सोचना असंभव है। फर्मवेयर सर्विसिंग असंभव या जोखिम भरा नहीं है। इसके लिए लोगों की मांग बेहतर है.
- SwiftOnSecurity (@SwiftOnSecurity) 6 नवंबर, 2018
चित्र साभार: इंटेल, नताशा एली, कुबैस / शटरस्टॉक डॉट कॉम.