Безопасность BIOS и UEFI: защита на уровне прошивки

Говорят о кибербезопасности — сразу думают про антивирусы, пароли, файрволы. Всё это правда важно. Но есть уровень, который прячется в тени — микропрограмма. С неё начинается вся история, когда вы жмёте кнопку включения. И тут можно как заложить крепкую основу защиты, так и пробить дыру, через которую обойдут остальные барьеры.

Представьте компьютер как многоэтажку. Операционка — где-то на третьем этаже. Защитные механизмы от антивируса до шифрования работают этажами выше. А BIOS или UEFI — это подвал и фундамент одновременно. Если там заложена мина, никакая бронедверь наверху уже не спасёт. Поэтому firmware — один из самых уязвимых и недооценённых уровней защиты.

BIOS и UEFI: с чего стартует машина

Перед разговором о защите стоит вспомнить, что такое BIOS и UEFI. Это не просто «штука внутри компа» — это микропрограмма, которая просыпается первой при старте. Без неё система вообще не поймёт, что делать дальше.

BIOS (Basic Input/Output System) — классика жанра, появившаяся в восьмидесятых. Просыпается после подачи питания, проверяет комплектующие — память, процессор, накопители. Потом передаёт эстафету операционке. Можно сравнить с дирижёром, дающим знак каждому инструменту начать играть.

Со временем BIOS превратился в узкое место: слишком примитивен, ограничен в возможностях. Так родилась замена — UEFI (Unified Extensible Firmware Interface). В отличие от предшественника, это полноценная программная среда с интерфейсом, сетевым доступом, поддержкой больших дисков и встроенной безопасностью.

Если сравнивать напрямую:

• BIOS крутится в 16-битном режиме с кучей ограничений. UEFI использует 32- или 64-битную архитектуру, открывая доступ к современным возможностям процессора.
• BIOS — монолитный блок кода. UEFI — модульная конструкция, которую можно адаптировать под конкретное железо.
• UEFI создавался с прицелом на безопасность: поддерживает цифровые подписи, проверку целостности, защищённую загрузку.

Микропрограмма живёт в энергонезависимой памяти на материнке — чаще всего это отдельный SPI-чип. Даже при отключении питания она остаётся на месте. Это постоянство делает её одновременно незаменимой... и уязвимой. Если туда проникнет вредоносный код, выковырять его будет та ещё задачка. Переустановка ОС тут не поможет.

Почему защита firmware — не опция

Микропрограмма запускается первой в системе. Работает на максимально высоком уровне привилегий — выше операционки. А теперь представьте: кто-то получил туда доступ. Он увидит всё, будет контролировать любые процессы, вмешиваться в загрузку, красть пароли и ключи шифрования. При этом останется полностью незаметным для большинства антивирусов.

Звучит страшно? Это ещё цветочки. Самое неприятное — постоянство таких атак. Вредонос в firmware не боится ни переустановки Windows, ни форматирования диска. Он там живёт, пока вы сами не перепрошьёте чип — а это не тривиальная операция. Иногда нужен отдельный программатор и специальные навыки.

Большинство стандартных средств защиты банально не умеют «заглядывать» в область микропрограммы. Антивирус может быть хоть трижды крутым, но если у него нет доступа к коду BIOS/UEFI — он ничего не увидит. Поэтому такие атаки остаются незамеченными годами.

И последний гвоздь — если злоумышленник контролирует загрузку, он обойдёт практически любую защиту. Даже Secure Boot — мощная штука, но если на этапе firmware уже сидит «крот», то вся эта защита будет обманута с самого начала.

Secure Boot: цифровой фейс-контроль

Один из самых надёжных механизмов в арсенале UEFI — Secure Boot. Работает как строгий вышибала на входе: никого не пропускает без проверки документов. Всё, что загружается на старте — загрузчик ОС, драйверы, ранние утилиты — должно предъявить подпись и пройти проверку.

Как устроено? В firmware хранятся корневые сертификаты (обычно от Microsoft), а дальше каждый элемент загрузки должен доказать свою «легитимность» через цифровую подпись. Нет подписи, она повреждена или выдана неизвестно кем — загрузка не состоится. Или получите предупреждение.

Это создаёт цепочку доверия: прошивка → загрузчик → драйверы → ядро ОС. Каждое звено проверяет следующее. Сходится — система стартует. Нет — стоп-машина. Так Secure Boot отсекает буткиты и прочие вредоносные компоненты, пытающиеся внедриться до загрузки операционки.

Но и тут есть подводные камни. Secure Boot защищает не от всего подряд. Если вредоносный код подписан легитимным сертификатом (допустим, у разработчика украли ключ), защита его пропустит. Кроме того, Secure Boot не вмешивается в работу системы после загрузки — он нужен именно для проверки на старте.

Технология мощная, но не всесильная. Это первый барьер, не последний.

Управление Secure Boot

За кулисами Secure Boot работает система из нескольких баз ключей и подписей. Понимание этих компонентов важно, особенно если хотите взять управление безопасностью в свои руки.

• Platform Key (PK): главный ключ всей системы. Кто владеет PK — управляет остальным. Обычно установлен производителем материнки, но можно заменить своим.
• Key Exchange Key (KEK): ключи для изменения списков разрешённых и запрещённых подписей. Обычно включают Microsoft и производителя оборудования.
• Signature Database (db): белый список — тут хранятся подписи компонентов, которым разрешено загружаться.
• Forbidden Signatures Database (dbx): чёрный список — подписи с запретом на запуск, например, скомпрометированные.

Хотите настроить всё под себя — придётся разобраться с ключами. Нужна просто надёжная защита «из коробки» — достаточно убедиться, что Secure Boot включён и работает в стандартном режиме.

Виды атак на firmware

Чтобы понять, от чего защищаться, посмотрим, как именно злоумышленники атакуют этот уровень. Методов хватает, и все по-своему опасны.

Буткиты — яркий пример такой угрозы. Вредоносные программы, внедряющиеся в процесс загрузки до запуска операционки. Могут сидеть в загрузчике, MBR или EFI-разделе. А в некоторых случаях — прямо в микропрограмме. Работают с максимальными правами, полностью контролируя систему. Отсюда опасность: антивирус уже не видит подвоха. Первый UEFI-буткит, способный обходить Secure Boot в Windows 11, обнаружили совсем недавно — показал, что даже современные защитные механизмы можно преодолеть.

Современные буткиты шагнули дальше: заражают не только прошивку материнки, но и других компонентов — видеокарты, сетевых адаптеров, периферии. Удалить их становится крайне сложно.

Атаки через уязвимости в прошивке — ещё один популярный сценарий. Производители регулярно публикуют обновления BIOS/UEFI с критическими патчами. Почему? В коде микропрограммы находят ошибки. А ошибки — потенциальные точки входа. Некоторые уязвимости позволяют выполнить произвольный код до загрузки системы. Что может быть хуже? Исследователи регулярно обнаруживают критические уязвимости в прошивках крупных производителей, затрагивающие миллионы устройств.

«Evil Maid» атаки — классика физического доступа. Название отсылает к сценарию, где злоумышленник (та же горничная в отеле) получает доступ к ноутбуку пользователя. Несколько минут — и на компьютере уже стоит модифицированная прошивка. Пользователь ничего не заподозрит, а система будет сливать данные куда угодно.

Supply chain атаки — особо опасный случай, когда вредонос внедряется на стадии производства или доставки устройства. Распаковываете новенькое «из коробки» — а в firmware уже сидит кто-то посторонний. Именно такие атаки пугают крупные корпорации, потому что защищаться от них очень сложно.

Как firmware защищается сам

Хорошие новости: микропрограмма — не просто уязвимость. В современных системах встроено немало защитных механизмов. Главное — знать, как они работают, и уметь пользоваться.

Measured Boot — механизм, создающий подробный журнал загрузки. Не блокирует запуск компонентов, как Secure Boot, а просто записывает их состояние в специальные TPM-регистры. Эти записи используются для проверки: действительно ли система загружалась «чистой». Полезно для корпоративного аудита или мониторинга.

Intel Boot Guard и AMD Hardware Verified Boot — аппаратные механизмы, встроенные в процессоры. Проверяют целостность прошивки до начала её выполнения. Что-то изменено — либо загрузка блокируется, либо в TPM фиксируется нарушение. Это защита не на уровне UEFI, а глубже — в самом железе.

System Management Mode (SMM) — специальный режим работы процессора для выполнения особо привилегированного кода. Отделён от обычной ОС, используется для управления питанием и безопасности. Уязвимости в SMM критичны, поэтому современные процессоры защищают этот режим от внешнего доступа и подмены кода. Именно уязвимости в SMM часто становятся причиной серьёзных проблем безопасности у множества производителей.

Capsule Update — механизм безопасного обновления firmware. Обновления передаются в зашифрованных «капсулах», проверяемых по цифровой подписи. Только при успешной проверке новая версия записывается в чип. При ошибке система может откатиться к предыдущей версии. Снижает риск «убить» устройство неудачной перепрошивкой.

Защищаемся прямо сейчас

Знать — хорошо. Делать — лучше. Вот конкретные шаги для усиления защиты прошивки прямо сейчас, без погружения в технические дебри.

• Включите Secure Boot. Зайдите в настройки UEFI (обычно Del, F2 или Esc при запуске), найдите раздел Security или Boot, убедитесь что опция Secure Boot активна. Лучше выбрать режим «Standard» или «Microsoft», если не планируете вручную управлять ключами.
• Поставьте пароль на вход в UEFI. Простая, но эффективная защита от физического доступа. Кто-то попытается изменить настройки загрузки или прошивки — придётся знать пароль. Только не забудьте сохранить его в надёжном месте.
• Отключите ненужное. Сетевые функции в UEFI, загрузка с внешних носителей, неиспользуемые порты — всё можно и нужно отключить, если не пользуетесь. Меньше «точек входа» — меньше рисков.
• Обновляйте прошивку, но осторожно. Проверяйте наличие новых версий на сайте производителя материнки. Загружайте только с официального источника. Никогда не обновляйте при нестабильном питании — рискуете превратить ПК в кирпич.
• Создавайте резервные копии, если поддерживается. Некоторые платы позволяют сохранить текущую версию прошивки. Может спасти, если что-то пойдёт не так после обновления.
• Не забывайте физическую защиту. Замки на ноутбуках, опечатывание корпусов, ограничение доступа к серверным — всё актуально. Иногда самый простой способ атаки — просто дотронуться до устройства.

Если всё пошло не так

Даже при всех мерах предосторожности случается неприятное. Подозреваете, что прошивка могла быть скомпрометирована? Вот признаки для внимания:

• Необычно долгая загрузка или странные сообщения при старте.
• Сброшенные или изменённые настройки UEFI без вашего участия.
• Нестабильная работа ОС, высокая загрузка процессора без причины, непонятные сетевые соединения.

Если что-то из этого присутствует, начинайте действовать:

1. Отключите компьютер от сети — не давайте угрозе передавать данные наружу.
2. Загрузитесь с доверенного внешнего носителя — например, проверенной USB-флешки с Live Linux.
3. Попробуйте создать дамп прошивки. Некоторые платы позволяют это через утилиты, но может понадобиться программатор.
4. Скачайте официальную прошивку с сайта производителя и перепрошейте систему. Строго по инструкции — ошибка может стоить дорого.
5. Переустановите операционку — лучше полностью, с безопасным стиранием диска. Восстанавливайте данные только из проверенных резервных копий.

Полезные инструменты

Хотите глубже копнуть тему защиты firmware — вот с чего начать:

• CHIPSEC — инструмент от Intel с открытым кодом. Проверяет настройки Secure Boot, целостность SMM и другие важные параметры. Подходит для Windows и Linux.
• RU.EFI — мощная утилита для тонкой настройки UEFI. Позволяет изменять скрытые параметры, но требует опыта. В неумелых руках опасна.
• UEFITool — помогает анализировать содержимое прошивки, извлекать и изучать отдельные модули. Полезно для реверса и изучения структуры.
• Flashrom — универсальный инструмент для работы с SPI-чипами. Позволяет читать, записывать и сохранять прошивку. Часто используется при восстановлении.
• Windows Defender System Guard — встроенный в Windows компонент, отслеживающий изменения на уровне прошивки и предупреждающий о подозрительной активности.

Что дальше?

Безопасность firmware давно перестала быть узкой темой для специалистов. Это одна из самых быстро развивающихся областей кибербезопасности. Производители активно вкладываются в защиту самого фундамента компьютеров, потому что именно туда устремлены многие атаки. Применение модулей доверенной загрузки становится важным элементом комплексной защиты.

Что нас ждёт — и уже частично работает:

• Аппаратные корни доверия всё чаще появляются в современных процессорах. Вшитые на заводе криптографические ключи, которые невозможно извлечь или подделать. С их помощью можно гарантировать, что прошивка действительно оригинальна и не изменялась.
• Цепочки доверия от включения до запуска приложений. Каждый компонент будет подтверждать подлинность, создавая детальную криптографическую «ленту событий». Поможет выявлять даже малейшие изменения — от прошивки до загруженного драйвера.
• Машинное обучение и поведенческий анализ. ИИ всё чаще используется для выявления аномалий в поведении прошивки. Может заметить то, что человек не увидит, и вовремя предупредить о подозрительной активности.
• Квантово-устойчивая криптография — уже не фантастика. С появлением квантовых компьютеров потребуется пересмотреть всё, что мы знаем о шифровании. Аппаратные модули безопасности могут стать основой для внедрения новых, более надёжных алгоритмов.
• Стандарты и сертификация выходят на первый план. Международные организации разрабатывают требования для прошивки любого устройства. Упростит аудит и повысит общий уровень доверия.

Итог: Прошивка загружается первой. Если она скомпрометирована, никакие антивирусы или файрволы не помогут. Поэтому защита на этом уровне — не опция, а основа.

Важно не просто знать, как работают BIOS и UEFI. Нужно понимать, какие угрозы существуют, какие инструменты использовать, как на практике настроить защиту. Это уже не только задача системных администраторов, но и любого, кто серьёзно относится к цифровой безопасности.

Хорошие новости: многое можно сделать своими руками. Включить Secure Boot, обновить прошивку, поставить пароль на UEFI, не забывать про физическую защиту. Не требует сверхзнаний, но даёт реальный эффект.

Главное — безопасность прошивки это не разовая настройка. Это процесс. Постоянный. Эволюционирующий. И чем раньше начнём его контролировать, тем меньше шансов, что кто-то сделает это за нас.