Posodobitev ali povrnitev vdelane programske opreme naprave se zdi tako preprosta kot »posodobitev« ali »vrnitev v prejšnje stanje«, vendar je resničnost veliko bolj zapletena. Vsaka sprememba te notranje programske opreme lahko vpliva na stabilnost, varnost in uporabna doba z vašega mobilnega telefona, usmerjevalnika, strežnika ali celo video nadzornih kamer.
Številna podjetja in domači uporabniki še naprej uporabljajo starejšo vdelano programsko opremo, ker se bojijo, da bi posodobitev lahko povzročila težave: integracijo z drugimi sistemi, izgubo podatkov ali nepričakovane napake. Vendar pa ima tudi to, da pustimo vse »tako, kot je«, svojo ceno: tveganje zlonamerne programske opreme in naprave, ki se dobesedno spremenijo v opeko, če gre pri vzvratni vožnji kaj narobe.
Kaj je pravzaprav vdelana programska oprema in zakaj ni "le še ena posodobitev"?
Vdelana programska oprema je programska oprema nizke ravni, ki omogoča delovanje strojne opreme: brez nje se naprava sploh ne bo zagnala. Nahaja se v usmerjevalniki, strežniki, mobilni telefoni, tiskalniki, IP kamere, internet stvari in praktično vsako sodobno elektronsko napravo. Za razliko od preproste aplikacije, če jo poškodujete, nimate gumba »odstrani in pojdi«.
Proizvajalci izdajajo nove različice vdelane programske opreme za odpravljanje varnostnih pomanjkljivosti, odpravljanje hroščev in dodajanje funkcijTe različice lahko spremenijo način komunikacije naprave z drugimi sistemi, kako upravlja spomin, varen zagon ali celo katere operacijske sisteme lahko poganja (v primeru mobilnih telefonov in nekaterih strežnikov).
Zato vsaka posodobitev vdelane programske opreme – bodisi nadgradnja bodisi povrnitev prejšnje različice – vključuje dotik najpomembnejšega dela naprave. Vsaka napaka med postopkom posodabljanja ali poskusom povrnitve prejšnje različice lahko povzroči ... programsko opekanje. Naprava se preneha zagnati, postane neodzivna in jo je mogoče, če sploh, obnoviti le z naprednimi postopki ali tehnično podporo.
Kaj pomeni utripanje in ponastavitev vdelane programske opreme na mobilnem telefonu?
V kontekstu mobilnega telefona je "utripajoča" vdelana programska oprema sestavljena iz ročno namestite sistemsko sliko (ROM) iz računalnika z uporabo posebnih orodij proizvajalca ali tretjih oseb. Na primer, pri Samsung Galaxy se to pogosto naredi z Odin in uradni ROMDrugi proizvajalci uporabljajo hitri zagon, lastniška orodja ali načine obnovitve.
Uporabnik Samsung Galaxy S9, ki je obtičal na Androidu 9, se morda sprašuje: »Če ne prejemam več posodobitev OTA, ali naj namestim novejši ROM ali poskusim z drugo regijo vdelane programske opreme?« Tehnično je to mogoče, vendar je pomembno razumeti, da nastavitev sistema prisili k ponovni namestitvi, ki ... preskoči določene samodejne preglede Kaj sistem naredi, ko se posodablja prek uradnih kanalov?
V istem scenariju bi vrnitev na prejšnjo različico Androida ali osnovnega pasu pomenila poskus vrnitve na prejšnjo različico, ker je nova različica slabša, ima napake ali je odstranila funkcije. Tukaj ... zaščite pred znižanjem različice zagonskega nalagalnika in varnostnih mehanizmov, ki lahko popolnoma blokirajo vzvratno prestavo.
Tudi če uporabnik ustvari varnostne kopije s programom Smart Switch ali drugimi orodji, tveganje ostaja. Nepravilna vdelana programska oprema, izpad električne energije ali poškodovana datoteka lahko napravo spravijo v stanje, ko Tudi standardno okrevanje se ne odziva.Obnovitev, če je mogoča, običajno zahteva ponovno ponastavitev sistema iz nič in ni vedno dosegljiva povprečnemu uporabniku.
Preprečevanje znižanja različice: zakaj vam naprava ne dovoli vrnitve k staremu načinu razmišljanja
Tako imenovana »preprečitev znižanja različice« je niz mehanizmov, ki preprečujejo namestitev vdelane programske opreme na napravo z različico, ki je nižja od tiste, ki je že nameščena. Običajno je implementirana v bootloader zagonski nalagalnik in deluje še preden se operacijski sistem zažene.
Postopek je samodejen: ko poskušate naložiti programsko opremo v programsko opremo, zagonski nalagalnik primerja identifikator različice ali "indeks povrnitve" nove vdelane programske opreme s tisto, ki je shranjena v sistemu. Če zazna, da je starejša, blokira namestitev. V drugih primerih gre proizvajalec še dlje in ... odstrani ali razveljavi ključe digitalnega podpisa povezane s starejšimi različicami. Sistem torej teh prejšnjih vdelanih programskih oprem sploh ne prepozna več kot legitimnih.
To za uporabnika pomeni slepo ulico. Po napačni posodobitvi ali posodobitvi z nepriljubljenimi spremembami ni več uradne poti do ... vrnitev v prejšnje stabilno stanjeČe se zmogljivost zmanjša, se pojavijo resne napake ali se funkcije izgubijo, lahko uporabnik le počaka na nov popravek. Ali pa se vda in zamenja napravo.
Proizvajalci upravičujejo to preprečevanje znižanja različic z varnostjo in združljivostjo. Njihov cilj je preprečiti uporabnikom vrnitev na različice z znanimi ranljivostmi in se izogniti konfliktom z novo strojno opremo ali storitvami. Vendar pa z vidika pravice do popravila in nepremičnina nad napravoDojema se kot način omejevanja lastnikove svobode in pogosto pospeševanja načrtovanega zastaranja.
Posebna tveganja za vračanje vdelane programske opreme na starejše različice mobilnih telefonov
Ko nekdo razmišlja o posodobitvi ali povrnitvi vdelane programske opreme na starejšem mobilnem telefonu, da bi še naprej prejemal posodobitve, mora prevzeti več tehničnih in pravnih tveganj. Prvo je tveganje delna ali popolna opeka. Nepravilen, prekinjen ali poškodovan postopek utripanja lahko povzroči, da je naprava neuporabna.
Poleg tega, tudi če se zdi, da utripanje deluje brezhibno, vedno obstaja možnost, da se pojavijo druge težave. kritične napake v retrospektiviIzguba pokritosti, težave z osnovnim pasom, kamere, ki prenehajo delovati, ekstremna izpraznitev baterije ali naključne napake pri zagonu. Ti simptomi so lahko posledica manjših nezdružljivosti med vdelano programsko opremo operaterja, regijo ali strojno opremo.
K temu moramo dodati še vprašanje garancije. Čeprav mnogi telefoni, ki so bili programsko opremljeni, že niso več zajeti v garancijo, je pomembno vedeti, da večina proizvajalcev ne nudi podpore ali sprejema garancijskih zahtevkov za naprave, ki so bile spremenjene na ravni vdelane programske opreme. Preprosto dejstvo odklenite zagonski nalagalnik ali namestite neuradne ROM-e Običajno to razveljavi vsako trditev.
Druga občutljiva točka je izvor vdelane programske opreme. Niso vsa spletna mesta, ki ponujajo ROM-e, vredna zaupanja, prenos izvedljivih datotek ali sistemskih slik iz neznanih repozitorijev pa odpira vrata ... Trojanci ali zadnja vrataKadar koli je mogoče, je priporočljivo, da se posvetujete z uradnimi spletnimi stranmi proizvajalca ali uglednimi in preverjenimi projekti skupnosti.
Končno, tudi po uspešnem flashu ni zagotovljeno, da bo telefon znova prejemal posodobitve OTA. Odvisno je od tega, ali nameščena vdelana programska oprema ustreza podprta regija in različicaV mnogih primerih bo uporabnik prisiljen ročno ponoviti postopek vsakič, ko bo izdana nova različica.
Zakaj je neposodobitev (ali povrnitev) vdelane programske opreme varnostni problem
Skušnjava, da bi »ničesar ne dotikali, deluje«, je razumljiva, zlasti v poslovnih okoljih, kjer je prekinitev storitve zelo draga. Če pa več let ne posodabljate vdelane programske opreme, se naprave spremenijo v lahke tarče za kibernetske kriminalce.
Zastarela vdelana programska oprema pogosto vsebuje dokumentirane varnostne ranljivosti in, kar je še huje, javno dostopne izkoriščanja. To pomeni, da je mogoče usmerjevalnike, stikala, naprave NAS, kamere ali strežnike zlahka ogroziti in uporabiti kot varnostne naprave. vozlišča botneta, rudarji kriptovalut ali platforme za izvajanje napadov na tretje osebe.
Organizacije, kot je FBI, so celo izdale posebna opozorila o usmerjevalnikih, ki jim je iztekla življenjska doba (EOL), in ne prejemajo več popravkov. Eno od teh opozoril podrobno opisuje, kako različice zlonamerne programske opreme TheMoon izkoriščajo nepodprte usmerjevalnike, ne da bi zahtevale geslo; preprosto ... skeniranje odprtih vrat in klicanje ranljivih skriptov nepopravljeno.
Ko so ti usmerjevalniki ogroženi, se preprodajajo kot proxy storitve na platformah, kot sta Anyproxy ali 5Socks, kar služi prikrivanju identitete kriminalcev, ki izvajajo finančne goljufije, napadajo naprave interneta stvari ali celo kritično infrastrukturo. Če usmerjevalnik preneha prejemati posodobitve vdelane programske opreme, je edina resnično varna pot zamenjajte ga s podprtim modelom.
Nekaj podobnega se dogaja tudi z drugimi omrežnimi napravami in strežniki. Brez rednih posodobitev vdelane programske opreme vsaka nadaljnja varnostna plast (zaščita pred zlonamerno programsko opremo, segmentacija, EDR) temelji na temeljih, polnih razpok. Vdelana programska oprema je prva obrambna linija in če ta odpove, postane vse ostalo neučinkovito.
Posodobitev vdelane programske opreme za kamere in varnostne naprave
Nekaj zelo podobnega se dogaja na področju video nadzora. Številne organizacije se obotavljajo namestiti novo vdelano programsko opremo na IP kamere, ker se bojijo izgube dostopa. stabilnost ali združljivost z vašo programsko opremo za upravljanje (VMS)Raje se držijo starejše različice, ki jo "že poznajo", kot pa tvegajo posodobitev, ki bo prenehala komunicirati z njihovim sistemom.
Težava je v tem, da te kamere sčasoma nabirajo resne ranljivosti, ki napadalcu omogočajo ogled slik, preusmeritev na druge dele omrežja ali njihovo integracijo v botnet. Če se podjetje ne vzdržuje v programski opremi, da bi se izognili morebitnemu izpadu storitve, ga izpostavlja tveganju. veliko večja in trajnejša tveganja skozi čas.
Da bi rešili ta konflikt, so nekateri proizvajalci začeli ponujati modele vdelane programske opreme z dolgoročno podporo (LTS). V teh programih posodobitve LTS vključujejo samo Pomembni popravki napak in varnostni popravkiVendar pa ne uvajajo funkcionalnih sprememb kamere. Z drugimi besedami, ne dotikajo se funkcij ali API-jev, ki jih uporablja VMS.
Na ta način lahko organizacije ohranijo varnost svojih kamer, ne da bi morale nenehno prilagajati integracije. »Aktivni« način vdelane programske opreme z novimi funkcijami in večjimi spremembami je še vedno na voljo tistim, ki želijo najnovejšo različico, vendar vzporedno deluje tudi stabilna veja LTS, zasnovana tako, da daje prednost neprekinjenosti storitev.
Različice LTS se običajno izdajajo periodično, začenši z aktivno referenčno vdelano programsko opremo. Nadaljnje revizije te veje vključujejo le ... izboljšave stabilnosti in popravki ranljivostiStranka se lahko sama odloči, kdaj bo nadgradila na novo različico LTS, in to nadgradnjo uskladi z drugimi posodobitvami sistema ali spremembami strojne opreme.
Kako oblikovati varno politiko posodabljanja in povrnitve predhodnih nastavitev
V podjetju posodabljanje ali vračanje vdelane programske opreme na starejše različice ne sme biti impulzivno dejanje, temveč nadzorovan in dokumentiran proces. Prvi korak je imeti pregleden popis vse vdelane in programske opreme v uporabi: katere različice so nameščene, kateri modeli opreme, kateri proizvajalec in kakšen življenjski cikel ima vsak izdelek.
S tem popisom lahko tehnična ekipa natančno spremlja varnostne biltene, opombe ob izdaji in javna opozorila (npr. vire RSS, Google Alerts ali uradna obvestila proizvajalcev in agencij, kot je FBI). To omogoča hitro odkrivanje ranljivosti. kritične posodobitve ki jim je treba dati prednost.
Pred posodobitvijo mora tehnični oddelek izbrati pravi čas, da se izogne motnjam v poslovanju, in oceniti funkcionalni vpliv vsake spremembe. Kadar koli je mogoče, testno okolje ali laboratorij kam najprej namestiti novo vdelano programsko opremo in preveriti, ali vse deluje po pričakovanjih.
Prav tako je pomembno, da predhodno ugotovite, ali obstaja podprt način za razveljavitev posodobitve. Nekateri proizvajalci omogočajo vrnitev na prej podpisano različico. Drugi aktivirajo preprečevanje starejše različice in zaprejo ta vrata. Če ni možnosti za vrnitev na prejšnjo različico, je potrebna še večja previdnost. okrepiti varnostne kopije in načrte za nepredvidene dogodke.
Končno, vodenje evidence vseh izvedenih posodobitev (naprava, datum, prejšnja in nova različica, rezultat testiranja) vam omogoča, da ves čas veste, kaj je v produkciji, olajša preglede in zoži izvor incidentov, ko se po spremembi vdelane programske opreme pojavijo napake.
Temna plat ne-posodabljanja: konec podpore in zastarelost
Tudi z najboljšimi praksami ima vsa vdelana programska oprema omejen življenjski cikelPride trenutek, ko proizvajalec razglasi konec življenjske dobe izdelka (EOL) in preneha izdajati popravke, tudi za kritične ranljivosti. Od takrat naprej se z vsakim mesecem, ko naprava ostane v proizvodnji, poveča kumulativno tveganje.
Na tej točki vračanje na prejšnje različice z varnostnega vidika nima več smisla. Niti trenutna niti pretekle različice niso zakrpane. Vsak poskus "vrnitve na tisto, ki je delovala bolje", lahko le poslabša ranljivost, še posebej, če te starejše različice ne opravijo niti preverjanja zagonskega nalagalnika.
Ko naprava doseže konec svoje življenjske dobe (EOL), je smiselno načrtovati njeno zamenjavo z drugim modelom, katerega proizvajalec zagotavlja več let podpore za vdelano programsko opremoz rednimi posodobitvami in jasnim razlikovanjem med različicami funkcij in varnostnimi različicami.
Nekatera podjetja zaradi začetnih stroškov to odločitev odložijo za nedoločen čas, a na koncu plačajo veliko več, če zastarel usmerjevalnik, kamera ali strežnik služi kot vhodna točka za resen incident: krajo podatkov, šifriranje sistemov z izsiljevalsko programsko opremo ali obsežne zaustavitve proizvodnje.
Za posamezne uporabnike se nekaj podobnega zgodi s starejšimi telefoni, ki ostanejo brez popravkov: čeprav je nadaljnja uporaba naprave za zelo osnovna opravila morda sprejemljiva, je to nenehno povezovanje z odprtimi omrežji WiFi, z občutljivimi aplikacijami in brez vdelane programske opreme ali sistemskih popravkov ... igranje z ognjem.
Skratka, posodabljanje in po potrebi vračanje vdelane programske opreme na starejše različice ni tehnična muha, temveč strateška odločitev: slabo upravljanje lahko naprave pusti neuporabne ali celotna omrežja ranljiva za napade; dobro načrtovano, z varnostnimi kopijami, testiranjem, cikli LTS in pozornostjo do konca podpore, vam omogoča, da podaljšate življenjsko dobo strojne opreme, ne da bi pri tem žrtvovali varnost ali stabilnost sistema.
