Čo potrebujete vedieť o bezpečných zavádzacích kľúčoch systému Windows 10

Reklama

V tom, čo sa dá absolútne považovať za trblietavý príklad presneprečo zlaté kľúče ponúkajúce zadné dvere do bezpečných služieb by nemali existovať, spoločnosť Microsoft omylom prepustila hlavný kľúč do svojho systému Secure Boot.

Únik potenciálne odblokuje všetky zariadenia s nainštalovanou technológiou Microsoft Secure Boot a odstraňuje ich uzamknutý operačný systém stav, ktorý umožňuje používateľom inštalovať svoje vlastné operačné systémy a aplikácie namiesto tých, ktoré sú určené technológiou Redmond monštrum.

Únik by nemal ohroziť bezpečnosť vášho zariadenia - teoreticky. Otvorí však linky pre alternatívne operačné systémy a ďalšie aplikácie, ktoré by predtým na systéme Secure Boot nefungovali.

Ako na to spoločnosť Microsoft odpovie? Jednoduchá aktualizácia na zmenu každého základného kľúča Secure Boot? Alebo je to jednoducho príliš neskoro, došlo k poškodeniu?

Pozrime sa, čo pre vás a vaše zariadenia znamená únik úniku Secure Boot.

Čo je Secure Boot?

„Secure Boot pomáha zaistiť, aby sa vaše PC spúšťalo iba pomocou firmvéru, ktorému výrobca dôveruje“

Microsoft Secure Boot dorazil so systémom Windows 8 a je sú navrhnuté tak, aby zabránili škodlivým operátorom inštalovať aplikácie Čo je to UEFI a ako to zaisťuje vyššiu bezpečnosť?Ak ste nedávno zaviedli počítač, možno ste si všimli skratku „UEFI“ namiesto systému BIOS. Čo je to UEFI? Čítaj viac alebo akékoľvek neoprávnené operačné systémy, ktoré sa počas procesu spúšťania systému načítavajú alebo nevykonávajú zmeny. Keď prišlo, existovali obavy, že jeho zavedenie by vážne obmedzilo schopnosť systémov Microsoft s duálnym alebo viacnásobným zavedením. Nakoniec to bolo do značnej miery nepodložené - alebo boli nájdené riešenia.

Ako sa Secure Boot spolieha špecifikácie UEFI (Unified Extensible Firmware Interface) Čo je to UEFI a ako to zaisťuje vyššiu bezpečnosť?Ak ste nedávno zaviedli počítač, možno ste si všimli skratku „UEFI“ namiesto systému BIOS. Čo je to UEFI? Čítaj viac poskytovať základné šifrovacie zariadenia, sieťovú autentifikáciu a podpisovanie ovládačov, poskytovať moderným systémom ďalšiu vrstvu ochrany pred rootkitmi a malwarom nízkej úrovne.

Windows 10 UEFI

Spoločnosť Microsoft chcela vylepšiť „ochranu“, ktorú ponúka UEFI v systéme Windows 10.

Spoločnosť Microsoft informovala výrobcov pred vydaním systému Windows 10, aby sa rozhodli túto možnosť odstrániť vo svojich rukách bola možnosť zakázať Secure Boot Bude Linux už fungovať na budúcom hardvéri Windows 10?Secure Boot môže zabrániť zavedeniu niektorých Linuxových distribúcií. Na nadchádzajúcich zariadeniach so systémom Windows 10 môžu výrobcovia odstrániť možnosť vypnúť Secure Boot. To ovplyvní Linux Mint a niekoľko ďalších populárnych distribúcií. Čítaj viac , efektívne uzamknutie operačného systému na ten, s ktorým prichádza počítač. Je potrebné poznamenať, že Microsoft túto iniciatívu priamo nepodporoval (aspoň nie úplne verejne), ale ako Vysvetľuje Peter Bright od spoločnosti Ars Technica, umožnili to zmeny existujúcich pravidiel UEFI pred dátumom vydania systému Windows 10:

„Ak by to tak bolo, mohli by sme si predstaviť stavebné stroje OEM, ktoré neponúkajú ľahký spôsob naštartovania vlastné operačné systémy alebo akýkoľvek operačný systém, ktorý nemá vhodné digitálne systémy podpisy. "

Aj keď sú nepochybne početné stolové počítače a notebooky na predaj s odomknutým nastavením UEFI, mohlo by sa to stať preukázať, že je ďalším kameňom úrazu pre tých, ktorí chcú vyskúšať alternatívu k svojim operačným systémom Windows Systém.

Ešte jeden blok blokovania záležitostí Linuxu obhajovať... povzdych.

A teraz je zabezpečené bootovanie trvalo odomknuté?

Stále si nie som istý. Medzitým však môžete Secure Boot odomknúť. Tu je to, čo sa stalo.

Secure Boot je na smrteľnom lôžku.

Zápis sa uskutoční zajtra alebo v stredu.

- slipstream / RoL (@ TheWack0lian) 8. augusta 2016

Viem, že som spomínal superduperový kľúč typu skeletu, ktorý odomkne každý zámok v celku Microsoft UEFI Secure Boot vesmír... ale v skutočnosti ide o to, ku ktorým politikám ste sa prihlásili Systém.

Zabezpečené bootovanie zakazujúce binárne úniky. Čo je pre spoločnosť Microsoft nepríjemnejšie? https://t.co/n0fGr7pwdo

- Mýtické zvieratá (@Mythic_Beasts) 10. augusta 2016

Secure Boot pracuje spolu s určitými politikami, čítajte a plne podriadený správcovi zavádzania systému Windows Ako vyriešiť väčšinu problémov so zavádzaním systému WindowsNeukladá sa váš počítač so systémom Windows? Dôvodom môže byť chyba hardvéru, softvéru alebo firmvéru. Tu je návod, ako diagnostikovať a opraviť tieto problémy. Čítaj viac . Tieto politiky odporúčajú správcovi zavádzania, aby zabezpečil bezpečné zavádzanie. Spoločnosť Microsoft však vytvorila jedno pravidlo, ktoré vývojárom umožňuje testovať zostavenie operačného systému bez nutnosti digitálneho podpisovania každej verzie. Toto efektívne potlačí Secure Boot a zakáže včasné kontroly systému počas procesu spustenia. Výskumní pracovníci v oblasti bezpečnosti, MY123 a Slipstream, zdokumentovali svoje zistenia (na skutočne príjemnej webovej stránke):

„Počas vývoja systému Windows 10 v1607„ Redstone “pridala MS nový typ politiky zabezpečeného spúšťania. Konkrétne „doplnkové“ politiky, ktoré sú umiestnené v oddiele EFIESP (radšej ako v premennej UEFI) a majú svoje nastavenia sa zlúčili v závislosti od podmienok (konkrétne, že určitá „aktivačná“ politika existuje a existuje) načítané).

Redstone v bootmgr.efi najskôr načíta „staršie“ politiky (konkrétne politiku z premenných UEFI). V určitom čase v redstone dev nevykonávala žiadne ďalšie kontroly nad rámec kontrol podpisov / identifikátorov zariadení. (Toto sa teraz zmenilo, ale pozrite sa, ako je zmena hlúpa.) Po načítaní politiky „staršie“ alebo základnej politiky z oddielu EFIESP sa potom načíta, skontroluje a zlúči do doplnkových politík.

Vidíte tu problém? Ak nie, dovolte mi to objasniť jasne a zreteľne. „Doplnková“ politika obsahuje nové prvky podmienok zlúčenia. Bootmgr pri načítaní staršej politiky tieto podmienky (naraz) nekontroluje. A bootmgr z win10 v1511 a starších určite o nich nevie. Pre tých bootmgrov sa práve načítala úplne platná podpísaná politika. “

Pre Microsoft to nie je dobré čítanie. Efektívne to znamená, že politika debug režimu navrhnutá tak, aby umožnila vývojárom - a iba vývojárom - negovať procesy podpisovania, je otvorená pre kohokoľvek, kto má maloobchodnú verziu systému Windows 10. A že táto politika prenikla na internet.

Pamätáte si na San Bernardino iPhone?

„Vidíš iróniu. Aj irónia v tom, že samotné členské štáty nám poskytli niekoľko pekných „zlatých kľúčov“ (ako by povedala FBI;), ktoré sme na tento účel mohli použiť :)

O FBI: čítate to? Ak ste, potom je to dokonalý príklad zo skutočného sveta o tom, prečo je vaša myšlienka kryptografických systémov so zadným krytom „bezpečným zlatým kľúčom“ veľmi zlá! Chytrejší ľudia ako ja vám to hovoria tak dlho, zdá sa, že máte prsty v ušiach. Vážne tomu nerozumieš? Microsoft implementoval systém „bezpečný zlatý kľúč“. A zlaté kľúče boli prepustené z vlastnej hlúposti MS. Čo sa stane, keď poviete všetkým, aby vytvorili systém „bezpečného zlatého kľúča“? Dúfajme, že môžete pridať 2 + 2… “

Pre tých, ktorí sa zasadzujú o šifrovanie, to bol všadeprítomný moment, ktorý, ako dúfam, poskytne orgánom presadzovania práva a vládnym úradníkom určitú potrebnú jasnosť. Zlaté zadné dvere budú nikdy zostaň skrytý. Vždy sa objavia, či už v dôsledku nepredvídateľnej vnútornej zraniteľnosti (Odhalenie snehu Hrdina alebo darebák? NSA zmierňuje svoj postoj k SnowdenWhistleblower Edward Snowden a John DeLong z NSA sa objavili v pláne sympózia. Aj keď sa neuskutočnila žiadna debata, zdá sa, že NSA už Snowdena maľuje ako zradcu. Čo sa zmenilo? Čítaj viac ) alebo tí, ktorí majú záujem oddeľovať technológiu a jej kódovanie.

Zvážte iPhone San Bernardino…

„Máme veľkú úctu k odborníkom na FBI a veríme, že ich zámery sú dobré. Až do tohto momentu sme urobili všetko, čo je v našich silách aj v rámci zákona, aby sme im pomohli. Teraz nás však vláda USA požiadala o niečo, čo jednoducho nemáme, a niečo, čo považujeme za príliš nebezpečné na vytvorenie. Požiadali nás vybudovať backdoor pre iPhone Aký je najbezpečnejší mobilný operačný systém?Bojujúc o titul Najbezpečnejšieho mobilného operačného systému máme: Android, BlackBerry, Ubuntu, Windows Phone a iOS. Ktorý operačný systém je najlepší v boji proti online útokom? Čítaj viac .”

Ples spočíva na spoločnosti Microsoft

Ako som už spomenul, toto by v skutočnosti nemalo predstavovať veľké bezpečnostné riziko pre vaše osobné zariadenia a spoločnosť Microsoft vydala vyhlásenie, v ktorom zdôvodňuje relevantnosť úniku Secure Boot:

„Technika útek z väzenia opísaná v správe vedcov z 10. augusta sa nevzťahuje na stolné počítače alebo systémy podnikových počítačov. Vyžaduje fyzický prístup a práva správcu k zariadeniam ARM a RT a neohrozuje ochranu šifrovania. “

Rovnako ako to majú rýchlo vydali bulletin zabezpečenia spoločnosti Microsoft označené ako „dôležité“. Po nainštalovaní to vyrieši túto chybu zabezpečenia. Inštalácia verzie systému Windows 10 bez implementovania opravy však nebude trvať veľa.

Golden Keys

Bohužiaľ, je nepravdepodobné, že by to viedlo k novému množstvu zariadení spoločnosti Microsoft so systémom Linux. Chcem tým povedať, že bude niekoľko podnikavých jednotlivcov, ktorí to absolvujú v časovom teste, ale pre väčšinu jednotlivcov to bude jednoducho ďalšie bezpečnostné upozornenie, ktoré ich prejde.

Nemalo by to.

Jedna vec je určite nehovoriť o distribúciách Linuxu v tabletoch spoločnosti Microsoft. Ďalším dôsledkom je však širší vplyv úniku zlatého kľúča do verejnej sféry na odomknutie potenciálne miliónov zariadení.

Pred pár rokmi The Washington Post uskutočnila výzvu na zhromaždenie „kompromis“O šifrovaní, pričom navrhuje, aby naše údaje mali byť samozrejme pre hackerov, napríklad spoločnosti Google a Apple, mimo limitov a kol mal by mať zabezpečený zlatý kľúč. Vo vynikajúcej kritike, prečo je toto „zavádzajúci, nebezpečný návrh,” Keybase spolutvorca Christ Coyne celkom jasne vysvetľuje, že „čestní, dobrí ľudia sú ohrození akýkoľvek backdoor, ktoré obchádza ich vlastné heslá. “

Mali by sme sa všetci usilovať maximálna možná úroveň osobnej bezpečnosti Správne spustite rok s osobným bezpečnostným auditomJe načase, aby ste naplánovali nový rok, napríklad aby ste zabezpečili, že vaša osobná bezpečnosť bude úplne nulová. Tu je 10 krokov, ktoré by ste mali podniknúť na aktualizáciu všetkého pomocou počítača, telefónu alebo tabletu. Čítaj viac , nenechajte sa oslabiť pri prvej dostupnej príležitosti. Pretože, ako sme už viackrát videli, tieto kľúče super-duper kostry vôľa skončí v nesprávnych rukách.

A keď tak urobia, všetci hráme nebezpečnú hru reaktívnej obrany, či už sme to chceli alebo nie.

Mali by veľké technologické spoločnosti vo svojich službách vytvárať zadné vrátka? Alebo by sa mali vládne agentúry a iné služby zameriavať na svoje vlastné podnikanie a zamerať sa na udržanie bezpečnosti?

Obrazový kredit: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock