Az évtized végére leszámol a BIOS örökségével az Intel; a chipgyártó bejelentése szerint 2020-ban felhagy a firmware módszer támogatásával. Ez azt jelenti, hogy az új, Intel alapokon nyugvó eszközök esetében a régebbi szoftverek nem tudnak majd natív módon elindulni, valamilyen futtatókörnyezetre lesz szükségük a következő évtizedben.

Jön az átmeneti időszak

1975 óta van velünk kisebb-nagyobb változtatásokkal a rendszer; a BIOS elnevezés Gary Kildall nevéhez fűződik, és elsőként a CP/M operációs rendszer kapcsán bukkant fel az IT-ban. Az első IBM XT-kben még interaktív kezelőfelülettel sem rendelkezett, pusztán hibakódok kijelzésével (és/vagy hangjelzésekkel) kommunikált a felhasználókkal. Szerencsére ez már a 286-os PC-k idejére megváltozott, a karakteres vezérlőközpont pedig mind többet és többet tudott az általa kezelt hardverek folyamatos fejlődésének kényszere miatt.

A UEFI (Unified Extensible Firmware Interface) 2007-es megjelenésével azonban egyre inkább háttérbe szorult a BIOS jelentősége. Az Intel bábáskodásában még az 1990-es évek közepén felbukkanó EFI fejlesztését 2005-ben fejezte a chipgyártó; ekkor a Unified EFI Forum – melynek egyébként az Intel is tagja - kapta meg ezt a feladatot.

Jelenleg a Class 2 rendszerek vannak használatban, a Class 3 debütálásával viszont el fog tűnni a nem 64 bites operációs rendszerek és szoftverek támogatása. Ez egyben azt is jelenti, hogy az összes inkompatibilis hardver (például grafikus vezérlők, hálózati kártyák stb.) használhatatlan a UEFI-jal. Annak érdekében, hogy az átállás végül ne okozzon akkora fejfájást, mint amilyennek látszik, az Intel iparági partnereivel együtt dolgozik az átmeneti időszak megkönnyítésén.

Mi szükség van a Class 3-ra?

A UEFI a régebbi szoftverekkel való kompatibilitást az úgynevezett compatibility support module-on (CSM) keresztül tartja fenn. Brian Richardson, az Intel vezető műszaki menedzsere szerint a CSM potenciális biztonsági kockázatot jelent, amit meg kell szüntetni. Ez azonban együtt jár a UEFI támogatással nem rendelkező komponensek supportjának befejezésével is. Szerencsére még van idő addig felkészülni az átállásra, mert kliens- és szerveroldalon egyaránt csak 2020-ban jön el végső határidő.

Felmerülhet az ötlet, hogy az Intel támogatásának megszűnésével az AMD veheti át a BIOS-ökorendszer megőrzésének szerepét. Ez azonban hosszú távon biztosan nem kifizetődő ötlet, mivel az idő előrehaladtával egyre több és több problémát fog okozni. A régi rendszerek többsége már nem fejlődik tovább, ellenben a bennük fellelt biztonsági rések kezelése nem lesz megoldható BIOS alól.

Ilyen incidensekről már mi is beszámoltunk. Amint azt tavaly nyáron írtuk, elsősorban a Lenovo, de más PC-gyártók termékeit is érinti az a nemrég felfedezett BIOS sérülékenység, amely közvetve az Inteltől származó kódokra vezethető vissza. A firmware interfész hiba révén kiiktathatóvá válik a firmware írásvédettsége. A támadók ezáltal képesek lehetnek megfertőzni a platform firmware-t, és kikerülni Virtual Secure Mode komponenst (Credential Guard stb.) a Windows 10 Enterprise rendszert futtató gépeken.

A UEFI sem tökéletes

A BIOS leváltására készült eszköz sebezhetőségeire egy 2014-es eseményen hívták fel a figyelmet. Az American Megatrends megoldásaiban olyan – azóta befoltozott – biztonsági rést találtak, ami lehetőséget ad a Setup paraméterrel történő visszaélésekre. A biztonsági rés révén a szakemberek operációs rendszer szinten át tudták billenteni a Setup értékét 0-ra, aminek következtében az adott számítógép nem volt képes betölteni a Windowst.

Az ilyen támadás automatizálható, tehát egy jó célprogrammal akár teljes céges rendszerek is megbéníthatók. És, hogy ez milyen kockázattal jár, azt jól mutatja az a támadás, ami 2012 augusztusában a Saudi Aramco 30 ezer munkaállomását tette használhatatlanná, igaz, ott nem a Secure Boot sebezhetőségét használták ki a támadók (további részletek erre).

Nem túl lelkesítő megállapítás, hogy a UEFI a jövőben is kedvelt célpontja maradhat a kiberbűnözőknek, már csak azért is, mert jóval egyszerűbb vizsgálni, mint régen a BIOS-t.