Какво трябва да знаете за Windows 10 Secure Boot Keyys

реклама

В това, което би могло да се счита за блестящ пример за точнозащо златни ключове, предлагащи заден вход в сигурни услуги, не трябва да съществуват, Microsoft случайно изтече главния ключ към тяхната система за сигурно зареждане.

Течът потенциално отключва всички устройства с инсталирана технология Microsoft Secure Boot, като премахва заключената им операционна система състояние, което позволява на потребителите да инсталират свои собствени операционни системи и приложения вместо тези, определени от технологията Redmond бегемот.

Течът не трябва да компрометира сигурността на вашето устройство - на теория. Но тя ще отвори линиите за алтернативни операционни системи и други приложения, които по-рано не биха работили върху система за сигурно зареждане.

Как Microsoft ще отговори на това? Една проста актуализация за промяна на всеки основен ключ на Secure Boot? Или просто е твърде късно, щетите са направени?

Нека да разгледаме добре какво означава течът на Secure Boot за вас и вашите устройства.

Какво е сигурна обувка?

„Secure Boot помага да се уверите, че вашият компютър се зарежда само с помощта на фърмуер, доверен на производителя“

Microsoft Secure Boot пристигна с Windows 8 и е предназначен да предотврати злонамерените оператори да инсталират приложения Какво е UEFI и как ви държи по-сигурни?Ако сте зареждали компютъра си наскоро, може би сте забелязали съкращението "UEFI" вместо BIOS. Но какво е UEFI? Прочетете още или всякакви неоторизирани операционни системи от зареждане или извършване на промени по време на процеса на стартиране на системата. Когато пристигна, имаше опасения, че въвеждането му ще ограничи сериозно възможността за двойни или многозагрузни системи на Microsoft. В крайна сметка това до голяма степен беше неоснователно - или бяха намерени обходни решения.

Както разчита Secure Boot спецификацията UEFI (Unified Extensible Firmware Interface) спецификация Какво е UEFI и как ви държи по-сигурни?Ако сте зареждали компютъра си наскоро, може би сте забелязали съкращението "UEFI" вместо BIOS. Но какво е UEFI? Прочетете още за осигуряване на основни средства за криптиране, автентификация на мрежата и подписване на драйвери, осигуряване на съвременните системи с друг слой защита от руткити и зловреден софтуер с ниско ниво.

Windows 10 UEFI

Microsoft искаше да засили „защитата“, предлагана от UEFI в Windows 10.

За да прокара това, Microsoft информира производителите преди пускането на Windows 10, че изборът да премахне опция за деактивиране на Secure Boot беше в техните ръце Няма ли Linux да работи по-дълго върху бъдещия хардуер за Windows 10?Secure Boot може да предотврати зареждането на някои Linux distros. На предстоящите устройства с Windows 10 производителите могат да премахнат опцията за изключване на Secure Boot. Това ще се отрази на Linux Mint и няколко други популярни дистрибутива. Прочетете още , ефективно заключване на операционната система към тази, с която пристига компютърът. Струва си да се отбележи, че Microsoft не беше директно настояваща тази инициатива (поне не изцяло публично), но като Питър Брайт обяснява Питър Брайт от Ars Technica, промените в съществуващите правила на UEFI преди датата на издаване на Windows 10 направиха това възможно:

„Ако това застане, можем да предвидим строителни машини с оригинални производители, които няма да предлагат лесен начин за зареждане самостоятелно изградени операционни системи или наистина всяка операционна система, която няма подходяща цифрова подписи ".

Макар че безспорно има много настолни компютри и лаптопи за продажба с отключени настройки на UEFI, това би могло се оказват друг препъни камък за желаещите да изпробват алтернатива на операционната си система Windows система.

Още един пътен блок за защитниците на Linux да заобиколят... въздишка.

И сега сигурната обувка е постоянно отключена?

Постоянно не съм толкова сигурен. Но междувременно Secure Boot може да се отключи. Ето какво се случи.

Сигурната обувка е на смъртното си легло.

Регистриране идва утре или сряда.

- плъзгач / RoL (@ TheWack0lian) 8 август 2016 г.

Знам, че имам предвид супер ключ с ключ от скелет, който отключва всяка отделна ключалка в целия Microsoft UEFI Secure Boot universe... но всъщност се свежда до това кои политики сте подписали система.

Сигурното зареждане деактивира изтичането на двоичен код. Какво е по-досадно за Microsoft? https://t.co/n0fGr7pwdo

- Митични зверове (@Mythic_Beasts) 10 август 2016 г.

Secure Boot работи в тандем с определени правила, прочетени и напълно се подчинява от мениджъра за зареждане на Windows Как да разрешите повечето проблеми с зареждането на WindowsВашият компютър с Windows не се зарежда? Това може да се дължи на грешка в хардуер, софтуер или фърмуер. Ето как да диагностицирате и коригирате тези проблеми. Прочетете още . Политиките съветват мениджъра за зареждане да поддържа активирана защита. Microsoft обаче създаде една политика, предназначена да позволи на разработчиците да тестват изграждането на операционна система, без да се налага да подписват цифрово всяка версия. Това ефективно отменя Secure Boot, като деактивира ранните проверки на системата по време на процеса на стартиране. Изследователите по сигурността, MY123 и попътна струя, документира своите открития (на наистина възхитителен уебсайт):

„По време на разработването на Windows 10 v1607„ Redstone “MS добави нов тип политика за сигурно зареждане. А именно „допълнителни“ политики, които са разположени в дяла на EFIESP (а не в UEFI променлива) и имат своите настройки, слети в зависимост от условията (а именно, че определена политика за активиране също съществува и съществува) заредена в).

Redstone's bootmgr.efi зарежда първо „наследени“ политики (а именно политика от UEFI променливи). В определен момент в redstone dev, той не направи по-нататъшни проверки извън проверките за подпис / deviceID. (Това вече се е променило, но вижте как промяната е глупава) След зареждане на „наследената“ политика или базова политика от дял на EFIESP, след това се зарежда, проверява и обединява в допълнителните политики.

Вижте проблема тук? Ако не, нека да ви го изложа ясно и ясно. „Допълнителната“ политика съдържа нови елементи за условията на сливане. Тези условия са (добре, едно време) не се контролират от bootmgr при зареждане на наследена политика. И bootmgr на win10 v1511 и по-рано със сигурност не знае за тях. За тези bootmgrs току-що се зарежда в напълно валидна, подписана политика. “

Това не прави добро четене за Microsoft. Това на практика означава политиката на режима за отстраняване на грешки, създадена да позволи на разработчиците - и само на разработчиците - да отменят процесите на подписване, отворени за всеки, който има търговска версия на Windows 10. И тази политика изтече в интернет.

Помните iPhone от Сан Бернардино?

- Можеш да видиш иронията. Също така иронията в самите МС ни предостави няколко хубави „златни ключове“ (както би казал ФБР;), които да използваме за тази цел :)

Относно ФБР: четете ли това? Ако сте, тогава това е перфектен пример в реалния свят защо вашата идея за заден криптиране на криптосистеми със „сигурен златен ключ“ е много лоша! По-интелигентните хора от мен са ви казвали това толкова дълго, изглежда, че имате пръсти в ушите си. Ти сериозно не разбираш още? Microsoft внедри система „сигурен златен ключ“. И златните ключове се освободиха от глупостта на MS. Сега, какво се случва, ако кажете на всички да направят „сигурен златен ключ“? Дано да добавите 2 + 2… ”

За тези привърженици на криптирането това е бил все по-сладък момент, който, надяваме се, ще осигури някаква добре необходима яснота както за органите на реда, така и за държавните служители. Златният заден план ще никога останете скрити. Те винаги ще бъдат открити, било то чрез непредвидена вътрешна уязвимост (Откровения на Snowden Герой или злодей? NSA модерира позицията си към SnowdenСигналистът Едуард Сноудън и Джон Делонг от НСА се появиха в графика за симпозиум. Въпреки че нямаше дебати, изглежда, че НСА вече не рисува Сноудън като предател. Какво се промени? Прочетете още ) или от тези, които се интересуват от технологията за щракване и дърпане и нейния основен код.

Помислете за iPhone от Сан Бернардино ...

„Имаме голямо уважение към професионалистите от ФБР и вярваме, че техните намерения са добри. До този момент ние направихме всичко, което е както в нашите сили, така и в рамките на закона, за да им помогнем. Но сега правителството на САЩ ни поиска нещо, което просто нямаме, и нещо, което смятаме за твърде опасно за създаване. Те са ни помолили изграждане на заден прозорец към iPhone Коя е най-сигурната мобилна операционна система?Биейки се за титлата на Most Secure Mobile OS, ние имаме: Android, BlackBerry, Ubuntu, Windows Phone и iOS. Коя операционна система е най-добрата, за да се държи срещу онлайн атаки? Прочетете още .”

Топката почива с Microsoft

Както споменах, това не би трябвало да представлява сериозен риск за сигурността на вашите лични устройства и Microsoft пусна изявление, опровергаващо уместността на сигурният теч на обувката:

„Техниката на джейлбрейка, описана в доклада на изследователите от 10 август, не се прилага за настолни или корпоративни компютърни системи. Той изисква физически достъп и права на администратор на ARM и RT устройства и не компрометира защитите от криптиране. “

Както и това, те имат набързо пусна бюлетин за сигурност на Microsoft обозначено „Важно“. Това ще разреши уязвимостта веднъж инсталирана. Въпреки това няма да е нужно много за инсталиране на версия на Windows 10, без да се прилага патчът.

Златни ключове

За съжаление, това е малко вероятно да доведе до ново затрупване на устройства на Microsoft, работещи с Linux distros. Искам да кажа, че ще има някои предприемчиви личности, които вземат време за проверка на това, но за мнозинството от хората това ще бъде просто още един пропуск в сигурността, който ги подмина.

Не бива

Едно нещо е да не се занимаваш с Linux distros на таблетите на Microsoft. Но по-широките последици от златен ключ, който изтича в публичното пространство, за да отключи потенциално милиони устройства, е друго.

Преди няколко години The Washington Post отправи митинг за „компромис“При криптиране, като предлагаме, въпреки че нашите данни очевидно трябва да са извън границите на хакерите, може би Google и Apple и др трябва да има сигурен златен ключ. В отлична критика точно защо това е „погрешно, опасно предложение,” Keybase съ-създателят Христос Койн обяснява съвсем ясно, че „Честните, добрите хора са застрашени от който и да е задната врата, която заобикаля собствените им пароли. "

Всички трябва да се стремим към възможно най-високо ниво на лична сигурност Започнете Годината отдясно с личен одит за сигурностВреме е да направите планове за новата година, като например да гарантирате, че личната ви сигурност е до нулата. Ето 10 стъпки, които трябва да предприемете, за да актуализирате всичко с вашия компютър, телефон или таблет. Прочетете още , не се възползвайте да го отслабите при първата налична възможност. Защото, както видяхме многократно, ключовете от типа на супер-пупер скелет ще попадат в грешните ръце.

И когато го правят, всички играем опасна игра на реактивна защита, независимо дали искаме или не.

Трябва ли големите технологични компании да създават заден план в своите услуги? Или правителствените агенции и други служби трябва да имат предвид собствения си бизнес и да се фокусират върху поддържането на сигурността?

Кредит за изображения: DutchScenery / Shutterstock, Константин Панкин / Shutterstock