Почему прошивка UEFI важна для безопасности

Почему прошивка “UEFI” вашего компьютера нуждается в обновлениях безопасности? Узнайте все подробности в этой увлекательной статье! Мы расскажем вам, почему обновление прошивки “UEFI” является неотъемлемым шагом для вашей защиты в цифровой среде. Не пропустите!

Почему прошивка UEFI важна для безопасности

Что представляет собой прошивка «UEFI»?

Современные персональные компьютеры используют свежую более продвинутую прошивку «UEFI», пришедшую на смену массовой и традиционной «BIOS». Прошивка «UEFI» представляет собой новое низкоуровневое программное решение, представленное в графическом интерфейсе, которое запускается при загрузке компьютера. Прошивка служит связующим звеном между микропрограммами, управляющими низкоуровневыми функциями аппаратного оборудования, и операционной системой. «UEFI» предварительно осуществляет проверку работоспособности доступного оборудования, испытывает и инициализирует его, производит низкоуровневую настройку, а затем загружает операционную систему с внутреннего диска вашего компьютера или другого загрузочного устройства, заданного в соответствующих настройках.

Тем не менее, интерфейс «UEFI» несколько сложнее, чем привычное программное обеспечение «BIOS», и включает дополнительные службы и сервисы, значительно расширяющие диапазон возможностей и вариантов взаимодействия прошивки. Например, некоторые компьютеры с процессорами «Intel» имеют встроенный микроконтроллер Intel Management Engine («Intel ME»), функционирующий под управлением упрощенной операционной системы микроядра, выполняющей различные функции и службы для компьютерных систем, такие как канал не зависимой от операционной системы связи, функция защиты от краж и т.д. Он работает параллельно с «Windows», «Linux» или любой другой операционной системой, установленной на вашем компьютере. Благодаря таким особенностям, в корпоративных сетях системные администраторы могут использовать функции «Intel ME» для удаленного управления своими компьютерами.

«UEFI» также содержит программный код процессора, который является для него соответствующей прошивкой. И когда ваш компьютер загружается, он загружает микрокод из прошивки «UEFI», позволяя ускорить проверку и общую загрузку.

В дополнение, интерфейс «UEFI» более безопасен стандартной прошивки «BIOS», загружается значительно быстрее и поддерживает использование внешнего периферийного устройства управления (компьютерная мышь).

Особенность BIOS UEFI
Полное название Basic Input/Output System Unified Extensible Firmware Interface
Тип Микропрограмма Фирменный интерфейс
Графический интерфейс Нет (текстовый) Есть (поддерживает графику и мышь)
Совместимость с ОС Поддержка только 32-битных операционных систем Поддержка 32-битных и 64-битных операционных систем
Размер диска Ограничен 2 ТБ (если использовать MBR) Неограниченная поддержка объема диска (GPT)
Процесс загрузки Загрузка в 16-битном режиме Загрузка в 32- или 64-битном режиме
Поддержка безопасности Ограниченная (отсутствие защиты от загрузки вредоносных программ) Поддержка Secure Boot и других современных функций безопасности
Загрузочный процесс Медленный, линейный процесс загрузки Быстрая загрузка, возможность параллельной загрузки
Настройки Основные настройки в текстовом режиме Расширенные настройки и поддержка более сложных конфигураций
Скорость загрузки Медленная, ограничена старым кодом Быстрая загрузка благодаря улучшенному коду и оптимизациям
Поддержка новых технологий Ограничена, устарела Поддержка современных технологий, таких как большие объемы памяти и новых устройств

Почему для прошивки «UEFI» требуются обновления безопасности

Почему для прошивки UEFI требуются обновления безопасности

Создание и применение новых методов вредоносного проникновения зловредных приложений постоянно расширяется и дополняется. В середине 2017 года были обнаружены уязвимости Meltdown и Spectre, которые выявили серьезные архитектурные проблемы с современными процессорами. Использование уязвимостей микрокода помогает вредоносным программам обходить существующие запреты и стандартные ограничения безопасности, осуществлять несанкционированное обращение к защищенным областям памяти и производить чтение данных через дополнительный канал, тем самым получая непосредственный доступ к конфиденциальной информации пользователей. И если ошибка «Meltdown» может быть устранена обычным обновлением операционной системы, то уязвимость «Spectre», для корректного функционирования микрокода центрального процессора, обязательно требует обновления прошивки.

Это означает, что производители компьютеров должны были обновить все свои ноутбуки и стационарные персональные компьютеры, а производители материнских плат – обновить все свои материнские платы, с помощью новой прошивки «UEFI», содержащей обновленный микрокод. Пользователи не могут быть уверены в полной защите своего компьютера от уязвимости «Spectre», пока установка обновления прошивки «UEFI» не произведена.

«Intel Management Engine» обнаружил некоторые ошибки безопасности, которые могли как позволить злоумышленникам с локальным доступом к компьютеру взломать программное обеспечение «Management Engine», так и разрешить мошеннику с удаленным доступом вызвать на устройстве определенные проблемы. К счастью, обнаруженные уязвимости затронули только те компании, которые включили технологию «Intel Active Management Technology» («AMT»), поэтому обычные потребители не пострадали.

Intel Active Management Technology

Проблема не затрагивает только продукцию компании «Intel», но и относится к другим производителям, таким как компания «AMD», которая также выпустила обновления микрокодов для защиты систем с процессорами «AMD» от уязвимости спекулятивного выполнения команд «Spectre».

AMD

Подробнее ознакомиться со списком производителей и доступным перечнем обновлений «BIOS», устраняющих уязвимость центрального процессора «Spectre» и повышающих безопасность пользовательских персональных компьютеров, можно в нашей ранней статье «Как установить обновление BIOS для вашего персонального компьютера».

Это всего лишь один из возможных примеров. Исследователи безопасности доверенных компаний обнаружили, что на отдельных видах персональных компьютеров (например, на некоторых моделях ультракомпактных персональных компьютеров от тайваньского производителя «Gigabyte Technology»), использующих устаревшую версию прошивки, можно обходить отдельные запреты и использовать прошивку «UEFI» для получения более глубокого доступа к системе. Была даже продемонстрирована скрытая установка очень стойкой низкоуровневой программы-вымогателя, которая работала в унифицированном расширяемом интерфейсе прошивки («UEFI») материнской платы на постоянной основе, а затем была удалена.

Gigabyte Technology

Поэтому важно в целях повышения общего уровня безопасности обновлять прошивку «UEFI» на каждом компьютере, как и любое другое программное обеспечение, чтобы избежать ошибок и возможных неприятностей в будущем.

Возникающие сложности процесса обновления прошивки

Процесс обновления низкоуровневой базовой системы ввода-вывода никогда не был приоритетным для производителей и ему совсем не уделялось должного внимания. Такой порядок сложился задолго до появления интерфейса «UEFI», еще при использовании «BIOS». Традиционно, компьютеры поставлялись с действующим универсальным устаревшим «BIOS», работоспособность которого была проверена и не вызывала особых нареканий. В дальнейшем, производители персональных компьютеров при обнаружении отдельных неполадок могли поставлять несколько обновлений «BIOS» для устранения конкретных незначительных недостатков. Но обычно, если система функционировала без сбоев и ошибок, производители советовали избегать установки готовых обновлений. Часто пользователям приходилось использовать специальный загрузочный «DOS-диск», чтобы установить обновление прошивки «BIOS», и не редко сбои при выполнении обновления «BIOS» или неполадки в работе компьютеров могли привести к серьезным поломкам, даже сделать компьютер полностью не загружаемым.

Но с момента внедрения в новых версиях компьютеров современной прошивки «UEFI» ситуация, связанная с возможным риском неудачного обновления, изменилась. Возможности интерфейса «UEFI» намного больше, благодаря чему компания «Intel» за последние несколько лет выпустила ряд крупных обновлений для таких элементов, как микрокод процессора и микроконтроллер «Intel Management Engine». Всякий раз, когда «Intel» выпускает готовое обновление, компания перенаправляет любые обращения пользователей к конкретному производителю компьютера. Потому как любое обновление кода от компании «Intel» должно быть интегрировано в новую версию прошивки «UEFI» непосредственным производителем пользовательского персонального компьютера, при покупке готового устройства, или материнских плат, если потребитель собирал свой компьютер самостоятельно из отдельных комплектующих. Затем прошивка должна быть проверена, а также подтверждены ее работоспособность и отсутствие ошибок. К тому же, каждый производитель готового персонального компьютера должен повторить весь процесс добавления и отладки кода для каждой отдельной модели устройства, который они продают, так как в них присутствуют разные версии прошивки «UEFI». Именно такая ручная работа делала мобильные смартфоны на базе операционной системы «Android» такими сложными для обновления в прошлом.

На практике это означает, что получение важных критических обновлений безопасности, которые должны доставляться через корректировку прошивки «UEFI», часто занимает довольно много времени, исчисляемое месяцами. При таком трудоемком алгоритме производители часто отказываются от обновления прошивок моделей персональных компьютеров, особенно тех, с момента выпуска которых прошло всего несколько лет. И даже когда производители выпускают обновления, они нередко размещают готовые пакеты на своем веб-сайте, перекладывая весь процесс обновления непосредственно на конечных потребителей. Большинство пользователей персональных компьютеров не занимаются дополнительными поисками возможных обновлений прошивки «UEFI» и не знают, что такие обновления существуют. Они не ведут поиск и соответственно не занимаются их установкой. Поэтому ошибки прошивки «UEFI» в течение длительного времени остаются на пользовательских компьютерах и подвергают их повышенной опасности. К тому же некоторые производители все еще организовывают процесс установки обновлений прошивки в дисковой операционной системе «DOS», существенно усложняя всю процедуру.

Возможное решение проблемы своевременного обновления прошивки

Ситуация с созданием обновлений и их своевременной доставкой конечному потребителю находится в беспорядочном положении. Пользователи остро нуждаются в эффективном процессе разработки и выпуска доступных обновлений прошивки «UEFI» и простом автоматическом способе их непосредственной установки на свои персональные компьютеры. Медленный и ручной процесс, существующий сегодня, существенно усложняет процедуру обновления прошивки «UEFI» для устранения разнообразных неполадок и скрытых уязвимостей, и должен быть ускорен и представлен в простой автоматической форме.

И корпорация «Microsoft» стремится в своем проекте «Project Mu» воплотить идею упрощенной процедуры применения новых обновлений. Вот каким образом корпорация представляет объяснение своих целей:

«Muр основан на идее, что доставка и обслуживание продукта «UEFI» – это постоянное сотрудничество между многочисленными партнерами. Слишком долго отрасль создавала продукты, используя модель «разветвления» в сочетании с копированием / вставкой / переименованием, и с каждым новым продуктом нагрузка на обслуживание возрастает до такого уровня, что обновления практически невозможны из-за стоимости и риска.»

Созданный и обширно распространяемый «Project Mu» помогает производителям персональных компьютеров быстрее создавать и тестировать новые обновления прошивки, полностью оптимизируя весь процесс разработки «UEFI», и предлагает общую единую платформу для их распространения. «Project Mu» является объединяющим связующим элементом между производителями персональных компьютеров и конечными потребителями, позволяя последним, в автоматическом режиме, получать обновления встроенного программного обеспечения «UEFI».

Например, корпорация «Microsoft» позволяет производителям персональных компьютеров распространять обновления прошивки «UEFI» через «Центр обновления Windows» и предоставляет соответствующую документацию как минимум с 2017 года. Также с октября 2018 года «Microsoft» объявила о выпуске модели с открытым исходным кодом для обновления прошивки компонентов («CFU»), которую производители могут использовать для обновления «UEFI» и других прошивок. Такое решение позволяет производителям персональных компьютеров значительно быстрее доставлять обновления прошивки всем своим пользователям, используя драйверы «CFU».

Решения для получения обновлений прошивки не ограничивается лишь операционной системой «Windows». В «Linux» разработчики пытаются упростить для производителей персональных компьютеров выпуск обновлений «UEFI» с помощью специальной службы LVFS. Поставщики компьютеров могут предлагать пользователям свои обновления через приложение загрузки GNOME Software, которое используется в «Ubuntu» и многих других дистрибутивах «Linux». Программа ведется с 2015 года, и ее участниками являются такие гиганты цифровой индустрии, как «Dell» и «Lenovo».

Ноутбук

Готовые решения для устройств на базе операционных систем «Windows» и «Linux» влияют не только на обновления «UEFI». Производители оборудования могут использовать их для обновления любых низкоуровневых программ, от прошивки микропрограмм компьютерной мыши «USB» до прошивки шифрования твердотельного накопителя, с высоким уровнем надежности, соответствуя всем критериям безопасности.

Заключение

Несмотря на применение новых видов интерфейса системы ввода-вывода, всегда присутствует риск обнаружения определенных неполадок или скрытых уязвимостей, способных приводить к негативным результатам. Процедура последующего создания и распространения обновлений существующей прошивки находится в ручном режиме и весь процесс, от создания до доставки конечному потребителю, может занимать длительное время.

Но понимая важность своевременной установки обновлений прошивки «UEFI», способных обезопасить компьютерные устройства и исключить несанкционированное проникновение, корпорация «Microsoft» внедряет систему «Project Mu», служащую связующим элементом между разработчиками аппаратного обновления прошивки и непосредственно пользователями. И следуя заданным критериям, в будущем процесс доставки готовых решений будет довольно прост и сведен к автоматическому режиму, обеспечив мгновенную доставку необходимых обновлений безопасности сразу после их создания.

Andrey Mareev

Автор: , Технический писатель

В далеком 2005 году, я получил диплом по специальности «Прикладная математика» в Восточноукраинском национальном университете. А уже в 2006 году, я создал свой первый проект по восстановлению данных. С 2012 года, начал работать в компании «Hetman Software», отвечая за раскрутку сайта, продвижение программного обеспечения компании, и как специалист по работе с клиентами.

Michael Miroshnichenko

Редактор: , Технический писатель

Мирошниченко Михаил – одни из ведущих программистов в Hetman Software. Опираясь на пятнадцатилетний опыт разработки программного обеспечения он делится своими знаниями с читателями нашего блога. По мимо программирования Михаил является экспертом в области восстановления данных, файловых систем, устройств хранения данных, RAID массивов.

  • Оценок:
  • 9
  • /
  • :

Поделиcь

Вопросы и ответы

  • В чем преимущества UEFI?

    Основные преимущества UEFI:

    • Понятная и удобная графическая оболочка с поддержкой мыши;
    • Поддержка винчестеров с таблицей разделов GPT и адресацией LBA;
    • Полноценная работа с жесткими дисками, объем которых превышает 2 Тбайта;
    • Увеличенная скорость загрузки системы;
    • Наличие менеджера загрузки, который предоставляет выбор операционной системы.
  • Как узнать версию прошивки UEFI?

    Чтобы проверить версию UEFI:

    • Откройте окно выполнить (WIN+R) и введите команду msinfo32.
    • В окне «Информация о системе» располагается необходимая информация.
  • Как проверить, защищён ли ваш компьютер на Windows от уязвимостей Meltdown и Spectre?

    Meltdown и Spectre используют критические уязвимости в современных процессорах. Эти аппаратные уязвимости позволяют программам красть данные, которые в данный момент обрабатываются на компьютере. Используйте утилиту "SpecuCheck" чтобы проверить статус защиты от уязвимостей. В частности, утилита показывает состояние программных и аппаратных защитных мер против атак с использованием уязвимостей CVE-2017-5754 (Meltdown), CVE-2017-5715 (Spectre v2), CVE-2018-3260 (Foreshadow) и CVE-2018-3639 (Spectre v4).

  • Что будет с устройством, если во время обновления UEFI (BIOS) отключить питание?

    В отличие от любого ПО, которое в случае сбоя в процессе инсталляции можно будет инсталлировать повторно, если в ходе обновления UEFI (BIOS) что-то пойдет не так, то ваш компьютер может превратиться в "кирпич".

  • Нужно ли мне обновлять UEFI (BIOS)?

    Зачастую, обновление UEFI (BIOS) требуется для того, чтобы материнская плата поддерживала новый процессор или другие аппаратные компоненты. Вторая причина — исправление ошибок, улучшение стабильности и производительности.

Комментарии (13)

  • Велимир
    Велимир 28.07.2023 20:06 #
    Добрый день. Если я правильно понял, то Вы пытались донести следующие тезисы: 1. Старый железобетонно прошитый БИОС менее надёжен и более подвержен воздействию вирусов, чем БИОС, обновляемый по Интернету. 2. UEFI имеет возможность обновлять себя и прочие микропрограммы на компьютере, но злые производители "забивают" на обновления и перестают их поддерживать через короткий период времени после продажи и перехода к новому продукту. Но всё равно UEFI лучше. 3. UEFI могёт фсё, но почему-то мне пришлось вручную "вбивать" все обновления драйверов и 2 прошивки БИОСа, долбаться и так и не решить проблему со скрытыми настройками Insydeh20, в то время как в старом БИОСе настройки все были на поверхности без всяких там недокументированных Fn+Tab и Ctrl+s. Но фсё рафно УЕФИ луччий? 4. Почему я аппаратно могу присобачить 30-летний жёсткий диск в новый комп, но УЕФИ не может, бедненький, нормально программно сработать с гибридом SSD SATA и HDD SATA, диктуя при этом порядок подключения шлейфов к эти железякам? Но фсё рафно УЕФИ луччий! Спасибо за внимание!
    Ответить
    • Hetman Software
      Hetman Software 31.07.2023 11:40 #

      Не совсем. Прошивка BIOS (Basic Input/Output System) и UEFI (Unified Extensible Firmware Interface) представляют разные поколения системной микропрограммы, которые обеспечивают функции загрузки и инициализации аппаратного обеспечения компьютера. Обе эти системы могут быть подвержены вирусам или кибератакам, но UEFI, в целом, считается более безопасной и современной.

      UEFI действительно обладает преимуществами перед старым BIOS, такими как поддержка больших жестких дисков, более быстрая загрузка, поддержка современных технологий и возможность обновления прошивки через Интернет. Однако, как и в любой области, есть производители, которые могут не поддерживать свои продукты в течение длительного времени. Недостаток поддержки обновлений может быть проблемой для некоторых пользователей.

      UEFI предоставляет более продвинутый интерфейс и возможности для настройки системы, но это не обязательно означает, что он всегда будет более удобен или интуитивен для всех пользователей. Некоторые производители материнских плат могут предоставлять более простой и понятный интерфейс BIOS. Это зависит от реализации и дизайна UEFI и BIOS каждого производителя.

      Возможности UEFI могут различаться в зависимости от производителя и версии. Некоторые реализации UEFI могут поддерживать различные типы жестких дисков и конфигурации, в то время как другие могут иметь ограничения. Возможно, ваша конкретная реализация UEFI не поддерживает определенную комбинацию SSD и HDD или требует определенного порядка подключения.

      Общий вывод: UEFI представляет более современный и расширенный интерфейс для управления системой и обеспечивает некоторые преимущества перед старым BIOS. Однако выбор между ними может зависеть от конкретных потребностей и предпочтений пользователя. Не все реализации UEFI одинаково удобны, и в ряде случаев BIOS может быть предпочтительнее. Каждый из этих типов прошивок имеет свои сильные и слабые стороны, и лучший выбор зависит от индивидуальных обстоятельств и потребностей пользователя.

      Ответить
  • Тарас Блинов
    Тарас Блинов 15.08.2019 22:44 #
    Какие последствия могут возникнуть, если не обновлять UEFI?
    Ответить
    • Hetman Software
      Hetman Software 15.08.2019 23:01 #
      Необновлённый UEFI может привести к потере поддержки новых технологий, устаревшим драйверам, небезопасности и нестабильной работе системы. Также могут возникнуть проблемы с производительностью, совместимостью и стабильностью.
      Ответить
  • Роман Воронов
    Роман Воронов 15.08.2019 18:44 #
    Что будет если запустить BIOS или прошить неправильную версию?
    Ответить
    • Hetman Software
      Hetman Software 15.08.2019 19:12 #
      Запуск BIOS или прошивка неправильной версии может привести к сбоям в работе компьютера, а также к потере данных. В худшем случае, они могут полностью отключить компьютер.
      Ответить
  • Дмитрий Прохоров
    Дмитрий Прохоров 15.08.2019 16:49 #
    Как безопасно обновить БИОС?
    Ответить
    • Hetman Software
      Hetman Software 15.08.2019 17:06 #
      Обновление БИОСа должно производиться только при наличии актуальной версии и при отсутствии проблем с текущей версией. Перед обновлением БИОСа рекомендуется сделать резервную копию данных, так как процесс обновления может привести к потере данных. Также рекомендуется убедиться, что новая версия БИОСа совместима с другими компонентами системы.
      Ответить
  • Григорий Романов
    Григорий Романов 15.08.2019 13:51 #
    В чем разница между BIOS и UEFI?
    Ответить
    • Hetman Software
      Hetman Software 15.08.2019 14:23 #
      BIOS (Basic Input/Output System) - это старый тип программного обеспечения, используемый для загрузки и управления компьютером. Он используется для настройки начальных настроек компьютера, таких как диски, шины, устройства ввода-вывода и т.д. UEFI (Unified Extensible Firmware Interface) - это более современный тип программного обеспечения, используемый для загрузки и управления компьютером. Он является более функциональным, чем BIOS, и имеет расширенные возможности, такие как поддержка 64-битных процессоров, улучшенный автоматический запуск, поддержка GPT-дисков, улучшенное управление безопасностью и т.д.
      Ответить
  • Лев Фёдоров
    Лев Фёдоров 15.08.2019 11:00 #
    Нужно ли отключать Secure Boot?
    Ответить
    • Hetman Software
      Hetman Software 15.08.2019 11:27 #
      Нет, нет необходимости отключать Secure Boot. Это безопасная технология, которая помогает защитить ваш компьютер от угроз безопасности. Она предотвращает загрузку нежелательного или вредоносного ПО, а также помогает обеспечить, что ваши системные файлы не будут подвергнуты смене.
      Ответить
  • Hetman Software: Data Recovery
    Hetman Software: Data Recovery 15.08.2019 10:30 #
    Если у вас остались вопросы, почему прошивка «UEFI» вашего компьютера нуждается в обновлениях безопасности, задавайте их в комментариях.
    Ответить
Оставьте комментарий
User
Оставьте ответ
Ваш электронный адрес не будет опубликован. Необходимые поля отмечены *

Рекомендуем для вас
Этот сайт использует куки для улучшения вашего опыта. Описание
Вас приветствует ассистент Hetman Software, созданный на основе искусственного интеллекта.
Начать Чат