Материалы по тегу: прошивка

28.04.2022 [16:05], Андрей Галадей

Проект LVFS предложил OEM/ODM-производителям перейти на поддерживаемые сервисом обновления прошивок Fwupd чипы

Проект Linux Vendor Firmware Service (LVFS) анонсировал инициативу Fwupd Friendly Firmware для OEM/ODM-производителей. LVFS предлагает вендорам использовать чипы, которые уже поддерживаются сервисом обновления прошивок Fwupd. Кроме того, LVFS надеется, что инициатива сподвигнет заниматься сопровождением плагинов для Fwupd именно производителей чипов, а не конечных устройств.

 Изображение: fwupd.org

Первоначальный список рекомендуемых чипов включает в себя несколько контролеров VIA для USB и DisplayPort, решения Realtek для DisplayPort MST, а также контроллер USB 3.2 Gen 1. В будущем список будет дополняться. Это, в частности, позволит повысить безопасность систем, поскольку централизованная система доставки обновлений микропрограмм значительно упрощает процесс получения критически важных апдейтов.

Ранее ведущий разработчик Fwupd/LVFS Ричард Хьюз (Richard Hughes) из компании Red Hat поведал о совместном с Lenovo проекте, в рамках которого он занимается поддержкой системы обновления прошивок для NVMe SSD. Такая возможность ранее была доступна для накопителей Samsung, Western Digital, SK Hynix, SSSTC, Kioxia и Union Memory, но сотрудничество с производителем конечных устройств позволит перейти на новый уровень работы с обновлениями.

Постоянный URL: http://servernews.ru/1064846
30.12.2021 [13:11], Владимир Агапов

Intel PFRUT позволит обновлять компоненты UEFI без перезагрузки

Как сообщает ресурс Phoronix, инженеры Intel подготовили новую версию инструмента Seamless Update, позволяющего обновлять компоненты прошивок материнских плат на лету. Набор модулей pfr_update, как ожидается, попадёт в ядро Linux 5.17, что позволит упростить своевременное устранение критических ошибок и дыр безопасности в UEFI/BIOS без лишних простоев.

Ключевой особенностью нового варианта Platform Firmware Runtime Update (PFRU) стала поддержка технологии «капсульного обновления» UEFI, предоставляющая ОС возможность загрузки апдейтов прошивок с последующей передачей управления процессом их обработки низкоуровневому ПО материнской платы. Кроме того, был добавлен драйвер, дающий стандартизованный способ чтения данных телеметрии от прошивки. В связи с этим название механизма поменялось на PFRUT (T — telemetry).

 Изображение:  LinaroOrg

Изображение: LinaroOrg

Кроме того, был добавлен и инструмент PFRUT Tool для работы с обновлениями UEFI и считывания параметров телеметрии. Механизмы, заложенные в PFRUT, поддерживают спецификацию ACPI, позволяя обновлять отдельные компоненты микропрограмм в режиме реального времени прямо из ОС (DSM) без необходимости перезагрузки, что является особенно важным для серверов, которые должны быть доступны 100% времени.

Постоянный URL: http://servernews.ru/1057044
26.11.2021 [00:03], Андрей Галадей

Intel разрабатывает универсальную платформу для открытых прошивок нового поколения

Intel сообщила о разработке универсальной, открытой и масштабируемой платформы для микропрограммного обеспечения, которая позволит значительно упростить создание прошивок для различного оборудования. Разработчики опубликовали черновой вариант спецификации Universal Scalable Firmware (USF), которая, как они надеются, будет хорошо адаптирована для новых технологий.

USF основана на существующих отраслевых стандартах UEFI и ACPI, но вводит новые абстракции и границы доменов между SoC, платформой и ОС. USF, как ожидается, будет использоваться для всех аппаратных компонентов, поскольку даст больший уровень безопасности, чем нынешние прошивки. Да и в целом USF, как ожидается, станет решением, которое сократит затраты на разработку, улучшит качество и безопасность микропрограмм и привнесёт инновации в эту сферу.

USF предполагает создание универсальной «полезной нагрузки» (payload), которая не привязана к конкретной ОС и её загрузчику, платформозависимую прослойку для упрощённого управления параметрами всей системы и её начальной загрузки, а также слой низокуровневых микропрограмм, которые отвечают за инициализацию «железа» и непосредственную работу с ним. Этот, самый нижний, слой вряд ли будет совсем уж открытым, хотя сама Intel движется в этом направлении, и даже есть кое-какие успехи.

Постоянный URL: http://servernews.ru/1054231
12.11.2021 [15:37], Андрей Галадей

Wiwynn представила первый OCP-сервер с сертификацией OSF

Компания Wiwynn в рамках OCP Global Summit сообщила, что в её решении на базе Yosemite V3 впервые реализована полная поддержка Open System Firmware (OSF), а само решение полностью соответствует стандартам OCP, что открывает путь для дальнейшего внедрения гиперскейлерами. В проекте OSF также участвуют Facebook*, Intel и 9elements

OSF предполагает замену проприетарных решений от производителей аппаратных платформ на открытые (open source) реализации, которые отвечают за инициализацию и первичную загрузку системы, что важно для заказчиков, желающих иметь как можно более полный контроль над «железом». Два года назад Intel пообещала, что станет более открытой в отношении этих разработок, и слово своё сдержала.

В системе Delta Lake от Wiwynn, а это односокетное решение на базе процессора Intel Xeon Cooper Lake, используется Coreboot с необходимыми компонентами FSP (Intel Firmware Support Package), который после инициализации CPU, RAM и PCH передаёт управление LinuxBoot. Платформы следующего поколения на базе Sapphire Rapids будут совместимы с открытыми решениями по умолчанию.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Постоянный URL: http://servernews.ru/1053235
02.11.2021 [21:26], Андрей Галадей

В DMCA внесли новое исключение — теперь прошивки роутеров можно законно изучать и модифицировать

Правозащитникам из Software Freedom Conservancy (SFC) и Electronic Frontier Foundation (EFF) удалось внести поправки в «Закон об авторском праве в цифровую эпоху» (DMCA, Digital Millennium Copyright Act). Теперь прошивки маршрутизаторов добавлены в список исключений, так что ограничения DMCA на них не распространяются.

Эти исключения подразумевают право пользователей устанавливать сторонние прошивки на сетевые устройства. Также теперь разрешено изучение и изменение прошивок. Благодаря этому, можно увеличить жизненный цикл того или иного девайса. Кроме того, исследование прошивок поможет в поиске нарушений копилефт-лицензий.

 wikipedia.org

wikipedia.org

Отметим, что подобные исключения уже действуют для смартфонов, планшетов и других мобильных устройств. Также теперь в список попали и смарт-телевизоры. Помимо этого, появились и другие поправки. Так, например, расширился список категорий устройств, которые можно ремонтировать самостоятельно. Это, к примеру, электронные читалки, проигрыватели дисков и умные динамики.

Наконец, из-под действия DMCA вывели те видеоигры и игровые приставки, которые уже не поддерживаются разработчиками. Это позволяет легально обходить привязки к сервисам авторизации и менять прошивки. Впрочем, на актуальные игровые консоли это не распространяется.

Постоянный URL: http://servernews.ru/1052679
09.08.2021 [18:53], Андрей Галадей

Новая уязвимость ставит под угрозу миллионы роутеров минимум 17 брендов

Juniper Threat Labs обнаружила активное использование новых уязвимостей в прошивках миллионов домашних роутеров, а также в ряде IoT-устройств на той же кодовой базе. Объединяет их то что, они используют прошивку от Arcadyan, крупного OEM-производителя роутеров, терминалов, ТВ-приставок и других устройств, услугами которого пользуются множество брендов.

Уязвимости CVE-2021-20090 и CVE-2021-20091, обнаруженные Tenable, затрагивают маршрутизаторы минимум 17 брендов, в том числе те, что предоставляются конечным пользователям интернет-провайдерами. Они позволяют обойти аутентификацию и изменить конфигурацию устройства, открыв, к примеру, доступ к telnet с правами администратора.

Хуже всего то, что первая уязвимость присутствует более 10 лет, с мая 2008 года. По данным Tenable, минимум 13 интернет-провайдеров в 11 странах использует проблемные устройства. Вторая уязвимость есть не во всех устройствах, но даже первой достаточно для подмены DNS или, к примеру, доступа к другим устройствам в локальной сети. Кроме того, отмечают исследователи, даже если нет второй уязвимости, в прошивках всё равно есть другие.

Специалисты Juniper Threat Labs выявили несколько шаблонов атак, которые пытаются использовать бреши. Источником стал IP-адрес в Ухане, провинция Хубэй, Китай. Предполагается, что злоумышленники пытаются развернуть подобие ботнета Mirai. Несколько дней назад стало понятно, что атаки начались ещё в середине февраля этого года. А с июня те же злоумышленники начали дополнительно использовать и другие уязвимости в устройствах DLink, Cisco HyperFlex, Tenda и так далее.

Постоянный URL: http://servernews.ru/1046267
03.06.2021 [19:25], Владимир Агапов

Microsoft приобрела компанию ReFirm Labs для усиления защиты IoT-решений

Microsoft объявила о покупке компании ReFirm Labs в рамках усилий по созданию комплексного набора решений для безопасности Интернета вещей (IoT). Корпорация планирует дополнить Azure Defender for IoT и другие свои продукты функцией выявления уязвимостей сетевых устройств. В этом ей поможет опыт команды ReFirm по созданию Binwalk, инструмента анализа, реверс-инжиниринга и извлечения образов прошивок.

Binwalk — open source проект команды Refirm, запущенный в 2010 г. С тех пор проект развился в линейку продуктов, с помощью которых можно детально изучать прошивки устройств и выявлять его различные недостатки: потенциальные уязвимости нулевого дня, бэкдоры, криптографические ключи и т.д. В 2017 г. была основана компания ReFirm Labs, выпустившая расширенный набор корпоративных инструментов для управления уязвимостями.

 Refirm Labs: New Binwalk Platform

Refirm Labs: New Binwalk Platform

Недавнее исследование, проведенное по заказу Microsoft, показало, что 83% опрошенных предприятий сталкивались с инцидентами безопасности, источник которых находился на уровне микрокода. Появление интеллектуальной облачной периферии, содержащей собственные микропроцессоры и прошивки (а нередко и собственную операционную систему) ускорило их рост. Команда Microsoft Azure Defender for IoT (ранее CyberX) совместно с Министерством национальной безопасности США уже выявили более чем 25 критических уязвимостей устройств IoT.

Ключевой проблемой безопасности такого рода является цепочка поставок. Производители устройств обычно используют стороннее ПО и компоненты в своих продуктах, но не имеют инструментов или ресурсов для их анализа. В результате конечные устройства могут поставляться с брешями в безопасности. Спрос на решения, упрощающие оценку и поддержание безопасности компонентов IoT, может быть удовлетворён за счёт технологий ReFirm Labs, которые не требуют от специалистов безопасности опыта в реверс-инжиниринге.

По словам директора по безопасности Microsoft, Дэвида Уэстона (David Weston), решения ReFirm Labs дают продуктам Microsoft «анализ безопасности методом перетаскивания». Всё, что требуется от пользователя — взять прошивку и перетащить её в окно продукта. Далее программа сама её распакует и проверит каждый файл в пакете на наличие известных уязвимостей, предсказуемых паролей и оставленных секретов, таких как закрытые ключи. В результате будет создан отчёт и запись в базе данных о возможности безопасного подключения устройства к Интернету или корпоративной сети.

 microsoft.com: How Microsoft's new acquistion, Refirm Labs, will help customers

microsoft.com: How Microsoft's new acquistion, Refirm Labs, will help customers

Дополнив этим инструментом другие средства безопасности IoT Azure Defender, Microsoft предоставит производителям возможность обнаруживать, защищать и оценивать риски устройств как на уровне прошивки, так и на уровне сети, а затем исправлять ПО устройств с помощью простого в использовании облачного решения.

В долгосрочной перспективе интеграция возможностей ReFirm выйдет за рамки IoT и будет расширена и на другие продукты, такие как Microsoft Defender ATP, чтобы пользователи имели контроль встроенного ПО всех компонентов современного компьютера.

Постоянный URL: http://servernews.ru/1041162
14.05.2021 [23:38], Андрей Галадей

AMI участвует в разработке UEFI-прошивок с открытым исходным кодом

Перевод различных прошивок на open source решения продолжается. В дело вступает AMI (American Megatrends) — известный поставщик BIOS/UEFI. Проприетарные решения American Megatrends активно применяются в материнских платах разных производителей. Потому интерес последних к открытым решениям вполне понятен. Как сообщается, компания участвует в работе с OpenBMC и связанными проектами. Разработка идёт в рамках Open Compute Project.

При этом AMI разрабатывает версию прошивки сразу под несколько видов процессоров — AMD, Intel и Arm. Похоже, что таким образом компания хочет охватить все актуальные платформы. AMI уже некоторое время работает с OpenBMC, EDK II и связанными с ними компонентами, однако сопровождает собственные форки этих решений. В дальнейшем компания намерена оказывать дополнительные услуги по поддержке, обновлению и кастомизации прошивок.

Согласно блогу консалтинговой фирмы 9elements Security, разработка открытых решений идёт весьма активно. Intel уже заявила о своей поддержке Coreboot на платформах Ice Lake-SP, а также Elkhart Lake и Tiger Lake. Sapphire Rapids также будет поддерживаться. Правда, доступ к компонентам и инструментам Firmware Support Package (FSP), без которых не обойтись, открыт не полностью. На текущий момент реализована загрузка систем Delta Lake на базе Cooper Lake-SP.

Открытые прошивки активно развивает и Ampere Computing, которая работает с EDK II, LinuxBoot и OpenBMC. А вот c AMD ситуация выглядит несколько странно. Компания пару лет назад говорила о поддержке coreboot и даже нанимала инженеров, однако на текущий момент ситуация с серверными платформами на базе AMD EPYC остаётся неясной.

Постоянный URL: http://servernews.ru/1039593
25.11.2020 [15:17], Сергей Карасёв

Платформа Phison FX SSD позволит адаптировать накопители под нужды заказчиков

Компания Phison объявила о доступности платформы FX SSD, предназначенной для построения высокопроизводительных твердотельных накопителей для крупных дата-центров, систем искусственного интеллекта, серверов приложений и платформ высокопроизводительных вычислений.

В рамках концепции Phison FX SSD предлагается возможность изменения прошивки, а также кастомизации печатной платы и контроллера. В результате, заказчики могут получить SSD, оптимизированные под конкретные задачи. Платформой предусмотрено использование интерфейса PCIe 3.0 x4 и формата U.2. В основу накопителей положены 96-слойные микрочипы флеш-памяти TLC NAND.

Заявленная скорость последовательного чтения информации может достигать 3400 Мбайт/с, скорость последовательной записи — 2800 Мбайт/с. Показатель IOPS (операций ввода/вывода в секунду) — до 250 000 при произвольном чтении и до 640 000 при произвольной записи.

Предусмотрены две разновидности накопителей с разным уровнем надёжности: 1 DWPD (полных перезаписей в сутки) и 3 DWPD. В первом случае вместимость может составлять 960 Гбайт, а также 1,92 и 3,84 Тбайт, во втором — 1,6 и 3,2 Тбайт.

Постоянный URL: http://servernews.ru/1026280
04.06.2020 [01:05], Игорь Осколков

Вместо Intel ME можно будет «зашить» загрузчик Linux 5.8

Если точнее, речь идёт об initrd, который используется в процессе загрузке Linux. Новые патчи, предложенные для следующего релиза ядра Linux 5.8, позволят использовать образ, размещённый непосредственно во флеш-памяти BIOS/UEFI материнской платы. Свободное место для initrd можно получить, удалив из прошивки, например, Intel ME.

Новые патчи добавляют возможность передать в параметре initrdmem физический адрес и размер initrd, записанного во флеш-память. Такой подход необходим из-за ограничений, связанных со строением UEFI: добавление нового раздела невозможно без пересборки образа прошивки из исходников или написания отдельного драйвера. Так что единственная возможность — прямое указание адреса в памяти.

Новую функцию предлагается сделать опциональной для x86-платформ, а свободное место для initrd можно получить, удалив Intel ME. Автор патча отмечает, что для Intel ME обычно отводится половина объёма набортной флеш-памяти, да и вторая половина может использоваться не полностью, так что из типовых 16 Мбайт может быть доступно более десяти, чего вполне достаточно для initrd. Автор также занимается разработкой coreboot, открытой замены BIOS/UEFI.

Напомним, что в 2017 году в Intel ME (Management Engine) нашли серьёзные уязвимости, которые впоследствии были подтверждены Intel. В качестве одной из основных мер защиты предлагалось отключение части функций или полное удаление компонентов ME из прошивки плат. Соответствующие утилиты были созданы и сторонними разработчиками, и производителями оборудования.

Впрочем, новые патчи пригодятся не только для серверов или, реже, десктопных ПК, но и для одноплатных и промышленных компьютеров — в комментариях к патчу, например, указывается возможность работы на Atomic Pi на базе Intel Atom.

Постоянный URL: http://servernews.ru/1012583
Система Orphus