Актуализирането или възстановяването на фърмуера на устройството изглежда толкова просто, колкото „актуализирането“ му или „връщането му към предишното му състояние“, но реалността е много по-сложна. Всяка промяна във вътрешния софтуер може да повлияе на стабилност, безопасност и полезен живот от мобилния ви телефон, рутера, сървъра или дори камерите за видеонаблюдение.
Много фирми и домашни потребители продължават да използват по-стар фърмуер от страх, че актуализацията ще повреди нещо: интеграция с други системи, загуба на данни или неочаквани повреди. Оставянето на всичко „както е“ обаче си има цена: риск от злонамерен софтуер и устройства, които буквално се превръщат в тухла, ако нещо се обърка при движение на заден ход.
Какво всъщност е фърмуер и защо не е „просто още една актуализация“?
Фърмуерът е софтуерът от ниско ниво, който осигурява работата на хардуера: без него устройството дори няма да се стартира. Той се намира в рутери, сървъри, мобилни телефони, принтери, IP камери, интернет на нещата и почти всяко съвременно електронно устройство. За разлика от обикновено приложение, ако го повредите, нямате бутон „деинсталирай и стартирай“.
Производителите пускат нови версии на фърмуера за поправяне на пропуски в сигурността, отстраняване на грешки и добавяне на функцииТези версии могат да променят начина, по който устройството комуникира с други системи, как управлява паметта, защитено зареждане или дори кои операционни системи може да работи (в случай на мобилни устройства и някои сървъри).
Следователно, всяка актуализация на фърмуера – независимо дали е надстройка или връщане към предишна версия – включва докосване на най-критичната част от устройството. Всяка грешка по време на процеса на актуализация или опита за връщане към предишна версия може да доведе до... софтуерно блокиране. Устройството спира да се стартира, престава да реагира и може да бъде възстановено, ако изобщо е възможно, само чрез разширени процедури или техническо обслужване.
Какво означава флашване и връщане на фърмуера на мобилен телефон?
В контекста на мобилен телефон, „флашинг“ фърмуерът се състои от ръчно инсталиране на системен образ (ROM) от компютър, използвайки специфични инструменти от производителя или трети страни. Например, на Samsung Galaxy това често се прави с Odin и официален ROMДруги производители използват fastboot, собствени инструменти или режими за възстановяване.
Потребител със Samsung Galaxy S9, заседнал на Android 9, може да се запита: „Ако вече не получавам OTA актуализации, трябва ли да флашна по-нов ROM или да опитам различен регион на фърмуера?“ Технически е възможно, но е важно да се разбере, че флашването налага преинсталация, която... пропуска определени автоматични проверки Какво прави системата, когато се актуализира чрез официални канали?
В същия този сценарий, връщането към предишна версия на Android или baseband би означавало опит за връщане към предишна версия, защото новата версия е по-лоша, има грешки или е премахнала функции. Ето къде... защити за понижаване на версията на буутлоудъра и механизмите за сигурност, които могат напълно да блокират тази задна предавка.
Дори ако потребителят създава резервни копия със Smart Switch или други инструменти, рискът остава. Неправилен фърмуер, прекъсване на захранването или повреден файл могат да доведат устройството до състояние, в което Дори стандартното възстановяване не реагира.Възстановяването, ако е възможно, обикновено изисква препрограмиране от нулата и не винаги е по силите на обикновения потребител.
Предотвратяване на понижаване на версията: защо устройството ви не ви позволява да се върнете към стария начин на мислене
Така наречената „превенция на понижаване на версията“ е набор от механизми, които предотвратяват инсталирането на фърмуер на устройството с номер на версия, по-нисък от вече инсталирания. Обикновено се реализира в bootloader зареждащото устройство и действа дори преди операционната система да се стартира.
Процесът е автоматичен: когато се опитате да флашнете, буутлоудърът сравнява идентификатора на версията или „индекса за връщане назад“ на новия фърмуер с този, съхранен вътрешно. Ако открие, че е по-стар, блокира инсталацията. В други случаи производителят отива по-далеч и премахва или обезсилва ключовете за цифров подпис свързани с по-стари версии. По този начин системата вече дори не разпознава тези предишни фърмуери като легитимни.
Това се превръща в задънена улица за потребителя. След неуспешна актуализация или такава с непопулярни промени, вече няма официален път към... връщане към предишното стабилно състояниеАко производителността спадне, появят се сериозни грешки или се загубят функции, потребителят може само да чака нов пач. Или да се примири и да смени устройството.
Производителите оправдават това предотвратяване на понижаване на версията с причини за сигурност и съвместимост. Те целят да предотвратят връщането на потребителите към версии с известни уязвимости и да избегнат конфликти с нов хардуер или услуги. Въпреки това, от гледна точка на правото на ремонт и недвижима собственост върху устройствотоТова се възприема като начин за ограничаване на свободата на собственика и често за ускоряване на планираното остаряване.
Специфични рискове от връщане на фърмуера към предишни версии на мобилни телефони
Когато някой обмисля да обнови или върне фърмуера на по-стар мобилен телефон, за да продължи да получава актуализации, той трябва да поеме няколко технически и правни риска. Първият е рискът от частична или пълна тухла. Неправилен, прекъснат или повреден процес на флашване може да направи устройството неизползваемо.
Освен това, дори ако мигането изглежда работи добре, винаги има вероятност да възникнат други проблеми. критични повреди в ретроспекцияЗагуба на покритие, проблеми с бейсбенд лентата, камери, които спират да работят, прекомерно изтощаване на батерията или случайни грешки при зареждане. Тези симптоми може да се дължат на незначителни несъвместимости между фърмуера, региона или хардуера на оператора.
Към това трябва да добавим и въпроса за гаранцията. Въпреки че много телефони, които са флашнати, вече не са обхванати от гаранцията, важно е да се знае, че повечето производители не предоставят поддръжка или не приемат гаранционни претенции за устройства, които са били модифицирани на ниво фърмуер. Простият факт е, че... отключете буутлоудъра или инсталирайте неофициални ROM-ове Това обикновено обезсилва всяко твърдение.
Друг чувствителен момент е произходът на фърмуера. Не всички сайтове, предлагащи ROM-ове, са надеждни, а изтеглянето на изпълними файлове или системни образи от неизвестни хранилища отваря вратата към... Троянски коне или задни вратиВинаги, когато е възможно, е препоръчително да се консултирате с официалните уебсайтове на производителя или с реномирани и проверени обществени проекти.
И накрая, дори след успешно флашване, не е гарантирано, че телефонът ще получава отново OTA актуализации. Зависи от това дали инсталираният фърмуер съответства на... поддържан регион и вариантВ много случаи потребителят ще бъде принуден ръчно да повтаря процеса всеки път, когато бъде пусната нова версия.
Защо неактуализирането (или възстановяването на) на фърмуера е проблем със сигурността
Изкушението „не пипай нищо, то работи“ е разбираемо, особено в бизнес среда, където прекъсването на услугата е много скъпо. Оставянето на фърмуера неактуализиран с години обаче превръща устройствата в лесни мишени за киберпрестъпниците.
Остарелият фърмуер често съдържа документирани уязвимости в сигурността и, още по-лошо, публично достъпни експлойти. Това означава, че рутери, комутатори, NAS устройства, камери или сървъри могат лесно да бъдат компрометирани и използвани като устройства за сигурност. ботнет възли, миньори на криптовалута или платформи за стартиране на атаки срещу трети страни.
Организации като ФБР дори са издали специфични предупреждения за рутери с край на жизнения цикъл (EOL), които вече не получават корекции. Едно от тези предупреждения описва подробно как варианти на зловредния софтуер TheMoon експлоатират неподдържани рутери, без да изискват парола; те просто... сканиране на отворени портове и извикване на уязвими скриптове некърпен.
След като бъдат компрометирани, тези рутери се препродават като прокси услуги на платформи като Anyproxy или 5Socks, служейки за прикриване на самоличността на престъпници, които извършват финансови измами, атакуват IoT устройства или дори критична инфраструктура. Ако рутерът спре да получава актуализации на фърмуера, единственият наистина сигурен път е заменете го с поддържан модел.
Нещо подобно се случва и с други мрежови устройства и сървъри. Без редовни актуализации на фърмуера, всеки следващ слой за сигурност (антивирусна защита, сегментация, EDR) се основава на основа, пълна с пукнатини. Фърмуерът е първата линия на защита и ако той се повреди, всичко останало става неефективно.
Актуализация на фърмуера за камери и охранителни устройства
Нещо много подобно се случва и в областта на видеонаблюдението. Много организации не са склонни да инсталират нов фърмуер на IP камери, защото се страхуват да не загубят достъп. стабилност или съвместимост с вашия софтуер за управление (VMS)Те предпочитат да се придържат към по-стара версия, която „вече познават“, отколкото да рискуват с актуализация, която ще спре да комуникира със системата им.
Проблемът е, че тези камери с течение на времето натрупват сериозни уязвимости, които могат да позволят на атакуващ да преглежда изображенията, да се пренасочва към други части на мрежата или да ги интегрира в ботнет. Отказът от поддръжка на фърмуера, за да се избегне потенциален прекъсване на услугата, излага компанията на... много по-големи и устойчиви рискове във времето.
За да разрешат този конфликт, някои производители започнаха да предлагат модели на фърмуер с дългосрочна поддръжка (LTS). В тези програми актуализациите на LTS включват само Важни корекции на грешки и корекции за сигурностТе обаче не въвеждат функционални промени в камерата. С други думи, те не докосват функциите или API-тата, използвани от VMS.
По този начин организациите могат да поддържат камерите си защитени, без да се налага постоянно да пренастройват интеграциите. „Активният“ режим на фърмуер, с нови функции и основни промени, все още е достъпен за тези, които искат най-новата версия, но наред с него работи стабилен LTS клон, предназначен да даде приоритет на непрекъснатостта на услугите.
LTS версиите обикновено се пускат периодично, започвайки от активния референтен фърмуер. Последващите редакции на този клон включват само... подобрения в стабилността и корекции на уязвимостиКлиентът може да реши кога да надстрои до нова LTS версия, като съобрази това надграждане с други системни актуализации или промени в хардуера.
Как да се проектира политика за сигурно актуализиране и връщане към предишни версии
В една компания, актуализирането или възстановяването на фърмуера не трябва да бъде импулсивен акт, а контролиран и документиран процес. Първата стъпка е да се създаде ясна инвентаризация на целия фърмуер и софтуер в употреба: кои версии са инсталирани, кои модели оборудване, кой производител и какъв жизнен цикъл има всеки продукт.
С този инвентар в ръцете си, техническият екип може да следи отблизо бюлетини за сигурност, бележки за издания и публични предупреждения (напр. RSS емисии, Google Alerts или официални известия от производители и агенции като ФБР). Това позволява бързото откриване на уязвимости. критични актуализации които трябва да бъдат приоритизирани.
Преди актуализиране, техническият отдел трябва да избере подходящото време, за да избегне нарушаване на бизнес операциите и да оцени функционалното въздействие на всяка промяна. Винаги, когато е възможно, тестова среда или лаборатория къде първо да инсталирате новия фърмуер и да проверите дали всичко работи както се очаква.
Също толкова важно е предварително да се определи дали има поддържан начин за отмяна на актуализацията. Някои производители позволяват връщане към предварително подписана версия. Други активират предотвратяване на понижаване на версията и затварят тази врата. Ако няма опция за връщане назад, е необходимо още по-голямо внимание. подсилване на резервните копия и планове за действие при извънредни ситуации.
И накрая, воденето на запис на всички извършени актуализации (устройство, дата, предишна и нова версия, резултат от теста) ви позволява да знаете по всяко време какво е в производство, улеснява одитите и стеснява кръга от инциденти, когато се появят повреди след промяна на фърмуера.
Тъмната страна на липсата на актуализации: край на поддръжката и остаряване
Дори и с най-добрите практики, всеки фърмуер има ограничен жизнен цикълИдва момент, в който производителят обявява даден продукт за излязъл от употреба (EOL) и спира да пуска корекции, дори за критични уязвимости. От този момент нататък всеки месец, през който устройството остава в производство, увеличава кумулативния риск.
В този момент връщането към предишни версии вече няма смисъл от гледна точка на сигурността. Нито текущата, нито предишните версии са обновени. Всеки опит за „връщане към тази, която е работила по-добре“ може само да влоши уязвимостта, особено ако тези по-стари версии дори не преминават проверките на bootloader-а.
Разумното нещо, което трябва да направите, когато дадено устройство достигне края на жизнения си цикъл (EOL), е да планирате подмяната му с друг модел, чиято производител гарантира... няколко години поддръжка на фърмуерас редовни актуализации и ясно разграничение между версиите с функции и версиите за сигурност.
Някои компании отлагат това решение за неопределено време поради първоначалните разходи, но в крайна сметка плащат много повече, ако остарял рутер, камера или сървър служи като вход към сериозен инцидент: кражба на данни, криптиране на системи от ransomware или широко разпространени прекъсвания на производството.
За отделните потребители нещо подобно се случва с по-стари телефони, които са оставени без актуализации: макар че продължаването на използването на устройството за много основни задачи може да е приемливо, постоянното свързване към отворени WiFi мрежи, с чувствителни приложения и без фърмуер или системни актуализации е... играя си с огъня.
Накратко, актуализирането и, където е необходимо, възстановяването на фърмуера не е техническа прищявка, а стратегическо решение: лошо управлявано, то може да остави устройствата неизползваеми или цели мрежи уязвими за атаки; добре планирано, с резервни копия, тестване, LTS цикли и внимание към края на поддръжката, то ви позволява да удължите полезния живот на хардуера, без да жертвате сигурността или стабилността на системата.
