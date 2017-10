Jaren geleden legden we hier op Computerworld al uit wat de UEFI precies is, maar we vonden het tijd voor een modernere versie hiervan, daar er de afgelopen jaren nogal wat is gebeurd met de BIOS-opvolger. Intels Extensible Firmware Interface is een soort OS'je dat de hardware aanstuurt. Daarmee lijkt het op het oude BIOS, maar de UEFI is een heel andere vorm geworden.

BIOS verouderd

Aan BIOS kon niet veel meer worden toegevoegd, vanwege een ruimtebeperking en was niet echt futureproof. Intel ontwikkelde daarom opvolger EFI en een gezamenlijke overeenkomst van pc-makers werd in 2007 gepresenteerd als UEFI. Alle pc's van de toekomst zouden het nieuwe systeem gebruiken. BIOS vindt je terug binnen x86-architecturen en moderne systemen van 64 bit gebruiken allemaal het nieuwere UEFI.

Ook werden er meer grafische features toegevoegd aan opvolger EFI om gebruikers waar gebruikers meer opties konden selecteren. Daarnaast werden beveiligingsfeatures als Secure Boot toegevoegd aan het nieuwe systeem. Onder meer was het een probleem dat de aloude MBR niet kan omgaan met partities die groter zijn dan 2,2 terabyte. Daar is een nieuw systeem voor in de plaats gekomen, het GUID, dat om kan gaan met moderne harde schijven.

Ondoorzichtige codeblob

Een van de klachten die menig IT-specialist heeft, is dat UEFI een behoorlijk oninzichtelijk monster is, vergeleken met het oude BIOS. Het is de bedoeling zelfs dat systemen beter worden beschermd tegen malware - specifiek bootkits - door geverifieerde software te draaien via Secure Boot, maar door implementatiegaten is de UEFI de afgelopen jaren ook vaak een aanvalsvector gebleken.

De kern van het systeem is gebouwd op BSD, waar iedere fabrikant zijn eigen implementatie op kan bouwen. Pc-fabrikanten gaan slordig om met sleutels, maken fouten in de configuratie of blunderen met hun implementaties. In de regel wordt vaak de code van Intel gebruikt om een UEFI op te zetten en dat leverde vorig jaar problemen op toen die code fouten bevatte.

UEFI-gaten

Onderzoekers merkten een UEFI-bug op in machines van Lenovo, maar dat bedrijf bouwde zijn implementatie op de code van Intel en legde de schuld bij de chipfabrikant. Je hebt als gebruiker geen inzicht in welke calls worden gemaakt en of de UEFI geen malafide activiteiten uitvoert. Intel raadt aan om Intel/McAfee's CHIPSEC te draaien om te zien of de firmware afwijkt van de oorspronkelijke versie.

De UEFI kan op afstand worden geflasht met kwetsbaarheden zoals dit Intel-gat dat eerder dit jaar opdook en omdat UEFI behoorlijk wat taken uitvoert, krijgt een aanvaller dan bijzondere toegang tot de pc. Bovendien is dit nog voordat het OS wordt gestart, waardoor antimalwareproducten hier niet veel aan kunnen doen - áls ze het al detecteerden.

Kritiek en openheid

Er is daarom voldoende aan te merken op UEFI, niet in de minste plaats dat het veel vrijheden van gebruikers ontneemt en op ondoorzichtige wijze taken uitvoert waar geen zicht op is. De controverse doet daarmee een beetje denken aan de ophef om Linux-opstartsysteem Systemd, waar veel van dezelfde klachten over bestaan - niet in de minste plaats over de security van distributies die wordt aangetast met fouten in het init-systeem.

Als reactie zijn projecten als TianoCore gestart. Die brengt een open implementatie van UEFI uit, waardoor hardware de ondoorzichtige blob kan mijden en zelf op een transparante manuer veranderingen kan doorvoeren. Een aantal hardware-implementaties ondersteunen het project en ook Intel had voor zijn Galileo (toen die bordjes nog bestonden) ondersteuning voor de open firmware.