כיצד לעדכן את ה- BIOS, UEFI או Microcode מלינוקס

אתה יודע כיצד לעדכן את מהמחשב האישי שלך? עם נקודות תורפה כמו Spectre, Meltdown וכל גרסאותיו וחורי האבטחה האחרים שזוהו בחומרה, במיוחד במעבדים, בוודאי קראת פעמים רבות שרבים מהם נפתרים על ידי ידיעת כיצד לעדכן את ה- BIOS או ה- UEFI של המחשב שלך. . מכיוון שיש צורך בעדכון או תיקון עבור המיקרו-קוד שמשמש את המעבד ובכך משנים את אופן פעולת יחידת בקרת המעבד כך שהיא לא תהיה חשופה לאיומים האמורים.

בנוסף לפגיעות, ניתן לעדכן את הקושחה מסיבות רבות אחרות, כגון תקלה בהתקן חומרה, שגיאות קבועות בתוכנה באופן בלתי מוסבר, עדכונים להוספת פונקציות מסוימות וכו '. אבל כמו שאמרתי, בחודשים האחרונים שמענו את המונח הזה יותר מדי פעמים בגלל בעיות אבטחה שהן קריטיות למדי בחלק מהמקרים וקשורות לאופן שבו המעבדים המודרניים מטפלים בכמה קפיצות, מטמון, FPU וביצוע ספקולטיבי. אם כי במקרים אחרים הם התגלו בחלקים אחרים של המערכת כגון ערכות שבבים או מעבדי אבטחה מסוימים המשולבים בפלטפורמות אלה ...

מהי קושחה?

לכולנו די ברור לגבי מה הם חומרה (חלק פיזי ומוחשי במחשב, כלומר אלקטרוניקה) ותוכנה (החלק ההגיוני שלא ניתן לגעת בו: תוכניות). אבל בין החומרה לתוכנה, או ליתר דיוק, בין החומרה לליבה של מערכת ההפעלה יש משהו אחר: הקושחה. קושחה קיימת בכל המכשירים והחלקים של המחשב, מהעכבר, הכונן האופטי, ועד ה- GPU והמעבד הפועלים באמצעות מיקרו-קוד.

אבל מה זה? ובכן אתה יכול להגיד את זה הוא קודכלומר תוכנה ולכן רכיב הגיוני אך הפעם אי אפשר לשנות אותה. הוא פועל ברמה נמוכה ושולט ישירות על הפונקציות של מעגלים אלקטרוניים. קושחה זו, בעזרת הבקרים או מנהלי ההתקנים, מאפשרת שכאשר ליבת מערכת ההפעלה תורה על החומרה לבצע משימה, היא תבצע אותה. תוכנית זו או קוד זה הוקלטו על ידי יצרן ההתקן בזיכרון שבדרך כלל הוא פלאש, או באיזה סוג של ROM כגון EEPROM.

אך אחת הקושחות המעניינות אותנו ביותר במאמר זה היא BIOS או UEFI של מערכת, מכיוון שמדובר בקושחה חשובה מאוד שיש לה פונקציות שונות במהלך ההפעלה וההפעלה של הציוד. לדוגמא, קוד זה אחראי על הפעלת המכונה במהלך האתחול, איתור כוננים קשיחים או מדיה בהם קיימת מערכת הפעלה, ביצוע בדיקות מסוימות המפריעות לקושחה אחרת של הרכיבים והציוד היקפי, ומתן שליטה על הגרעין כאשר המערכת מתחיל להתחיל ...

מדוע עדכון זה משפיע על המעבד?

... ומה זה קשור למעבד, מספיק טוב. מסתבר שיש למעבדים יחידת בקרה, יחידת בקרה זו היא מעגל שאחראי על השליטה בשאר חלקי המעבד או המעבד, כגון פענוח ההוראות והפיכת הנתונים עם האופרנדים לעבור לרשומות המתאימות ואז הפעלת יחידה פונקציונלית כלשהי כגון ALU או FPU ושהוא מבצע פעולה כלשהי בנתונים בהתאם לסוג ההוראה שמבוצע. הוראות אלה בתורן מגיעות מהתוכנית או מקוד התוכנה שעובדים באותו הרגע, מכיוון שכפי שאתה צריך לדעת, התוכניות מורכבות מסדרת הוראות רציפות.

כפי שאתה יכול לדמיין, יחידת בקרה זו פועלת באופן שהיצרן או המעצב יצר אותה. בחלק מהמקרים הספציפיים יחידת הבקרה עשויה להיות קווית, כלומר, הם בדרך כלל די מהירים אך לא גמישים במיוחד, מכיוון שהם מיושמים ישירות במעגלים ספציפיים מאוד. במקום זאת יש גם מתכנתים, כלומר מעגלים קצת יותר "פתוחים" שיכולים לפעול בצורה כזו או אחרת על פי מיקרו-קוד או קושחה. מכאן נובע שאם נשנה את הקושחה או המיקרו-קוד אנו יכולים ליצור את יחידת הבקרה ולכן המעבד יכול לפעול אחרת או לתקן כמה באגים או נקודות תורפה.

אני לא רוצה להיות טכני מדי, אני רוצה שמאמר זה יגיע לכמה שיותר אנשים ושכל מה שאני רוצה לומר יובן בקלות ... ובמכונות רבות מתברר שהקוד הזה בדרך כלל משולב בתוך BIOS או UEFI , למרות שלעתים ניתן לעדכן את המיקרו-קוד על ידי הליבה במהלך כל אתחול, ולשמור את העדכון או התיקון בזיכרון נדיף, כלומר ב- RAM, תוך הימנעות מהצורך לשנות את ה- BIOS / UEFI.

כיצד לעדכן את ה- BIOS / UEFI מלינוקס?

לעדכון ה- BIOS / UEFI מלינוקס או ממיקרו-קוד, בואו נשבר שני ההליכים.

לפני ביצוע עדכון מיקרו-קוד חשוב מאוד שיהיה לך קושחת BIOS / UEFI מעודכנתאחרת זה אולי לא יעבוד. אז בדוק באתר האינטרנט של ספקית ה- firmwre שלך ​​כמו Phoenix, Award וכו ', או באתר התמיכה הטכנית של דגם לוח האם שלך, שלרוב יש חבילות לעדכון מערכות אלה.

עדכון ה- BIOS / UEFI הוא משהו עדין כפי שאתה יכול לראות בפרק האחרון בנושא סיכונים. לכן אני ממליץ לך לא לעשות זאת אם אינך בטוח מה אתה עושה ו אם אתה רוצה לעדכן או שאתה צריך את זה, אבל אין לך מספיק ידע, תמיד התייעץ עם איש מקצוע. בנוסף, הייתי ממליץ לכם לבחון פרויקטים כמו fwupd, BIOSDisck, Flashrom וכו ', שהם כלים מאוד פרקטיים שיעזרו לנו בתהליך.

אחד מאלה שאני הכי אוהב הוא פלאשרום, הוא בערך חבילה שנותנת לנו כלי המאפשר לזהות, לקרוא, לכתוב, לאמת ולמחוק שבבי פלאש. זה לא רק משמש להבהוב של BIOS / UEFI / CoreBoot, אלא גם כדי לשנות זיכרונות פלאש אחרים של כרטיסי רשת, GPUs וכו 'בהתקנים אחרים עם קושחה הניתנת לשינוי. הוא תומך גם במערכות הפעלה שונות ובהמון הילוכים ודגמים של מכשירים ולוחות.

• התקן את חבילת ה- flashrom בהפצה שלך באמצעות מנהל החבילות שאתה משתמש בו בדרך כלל, מכיוון שזה כלי שנמצא במאגרי ההפצות החשובות ביותר.
• להשתמש שורש או סודומכיוון שכדי להשתמש בו אתה צריך הרשאות כדי להיות משהו עדין.
• זהה את הקושחה בה אנו משתמשים פשוט על ידי ביצוע הפקודה:

flashrom

• אני ממליץ לך לעשות א גבה את ה- ROM הנוכחי שלך, למקרה שתגלה שהעדכון החדש לא עובד ואתה רוצה לחזור. בשביל זה:

flashrom -r copia_seguridad.bin

• כן אני יודע יש לנו את ה- ROM החדש שהורדנו ממקור אמין, אנו יכולים להשתמש בפקודה הבאה כדי להבהב, למשל אם העדכון החדש שלנו נקרא uefi-sm.bin:

flashrom -wv uefi-sm.bin

למידע נוסף עיין במדריך עם איש פלאשרום.

עדכן מיקרו-קוד:

כדי לעדכן את המיקרו-קוד של המעבד שלנו, מבלי לגעת ב- BIOS / UEFI, כלומר עם שינוי פשוט בליבת הלינוקס, תוכלו לבחור להתקין את החבילות הדרושות עבור המעבד שלכם. לדוגמה, אם יש לך מעבד AMD מודרני, הדבר הרגיל הוא זה להתקין את החבילה קרא amd64-מיקרו קוד, ובשביל אינטל החבילה אינטל-מיקרו-קוד (אם אתה משתמש ב- openSUSE, SUSE, RHEL, CentOS וכו ', החבילה נקראת microcode_ctl, ול- Arch intel-ucode או amd-ucode ...) שתוכלו למצוא באתרים מהימנים ... (שאם מדובר במכונת x86, אם היא ARM או שונה, היכנסו לאתר היצרן). Insisto a pesar de parecer un pesado, no descargues este tipo de paquetes desde fuentes desconocidas, es muy importante. Bien, ahora que ya lo tenemos descargado e instalado, puede que el procedimiento sea diferente en cada distribución y que implique activar algunos paquetes o actualizaciones restringidos como los propietarios…

עם חבילות אלה מותקנות והגדרות המערכת מתייחסות לעדכונים מוגדרים היטב, lעדכוני אבטחה משלו שמתקין את מערכת ההפעלה כבר יכלול סוג זה של תיקונים עבור המיקרו-קוד אם זוהתה פגיעות חמורה, כגון Spectre, Meltdown וכו '.

אם תרצה, תוכל לקבל מידע על מיקרו-קוד מההפצה שלך באמצעות:

dmesg | grep microcode

ועם זה נקבל פרטי מיקרו-קודלמעשה, אם ביצענו פקודה זו לפני התקנת החבילות שהזכרתי קודם (לאחר ההתקנה יש צורך להפעיל מחדש) ואחר כך, נראה שהיא מראה לנו שינויים אם היה עדכון זמין שהותקן.

לפעמים AMD, אינטל ויצרני מעבדים אחרים או מעצבים מספקים כדורי טאראר עם כתמים בינאריים לעדכון מיקרו-קוד או קושחה. אם הורדת אחת מחבילות אלה ממקום אמין, עקוב אחר ההוראות שסיפק המפיץ או עיין בקבצי README.

סכנות וטיפים לפני עדכון ה- BIOS

עדכון קושחה או מיקרו-קוד של המעבד מניח ברוב המקרים לעדכן קודים סגורים המספקים את ספקי המעבד שברשותנו, מנהלי התקני ליבה סגורים (כתמים בינאריים) וכו '. אני רוצה להבהיר זאת, מכיוון שתוכנו ודרך פעולתו אינם ידועים ונראה הגיוני שתדע. באופן עקרוני, אם אינך משתמש בחומרה בחינם, אין לך ברירה אלא לסמוך על היצרן או המעצב של המעבד או לוח האם שלך, אך כן, לעולם אל תוריד לעולם מיקרו-קוד או קושחה מאתרים לא רשמיים, מכיוון שזה משהו מאוד עדין.

למעשה לא רק זה עדין מטעמי אבטחה, מכיוון שאתה יכול גם להפוך את הציוד לבלתי שמיש לחלוטין. גם אם הורדת את הקושחה מאתר מכובד, משהו עלול להשתבש במהלך התהליך, כגון הפסקת חשמל וזה מותיר את התקנת העדכון ואת הקושחה פגומה לחלוטין, מה שאומר שאתה אולי כבר חושב לבזבז כסף כדי לקנות לוח אם חדש.

זה מה שידוע במונח לבנה בסלנג חומרהכלומר, השאר את החומרה שלך כמו לבנה, ללא כל סוג של כלי עזר. עם זאת אני רוצה לומר לך להיות זהיר ושאנחנו לא אחראים למה שעלול לקרות אם תחליט לעדכן קושחה כלשהי או להבהב את ה- BIOS / EFI. אבל היזהר, זה לא תמיד מרמז על סיכונים, כפי שאמרתי לך בעבר, לא תמיד יש צורך "לגעת" ב- BIOS / EFI, ישנם גם עדכונים שרק ברמת מערכת ההפעלה ואינם מרמזים על הסיכונים הללו .. .

אני מקווה שהדרכה זו הייתה שימושית, כל שאלה או הצעה, אל תשכח לעזוב את הערות...