Securitate

Ce trebuie să știți despre Windows 10 Secure Boot Keys

Ce trebuie să știți despre Windows 10 Secure Boot Keys / Securitate

În ceea ce ar putea fi considerat absolut un exemplu strălucitor de exact De ce cheile de aur care oferă un backdoor în serviciile securizate nu ar trebui să existe, Microsoft a scos din greșeală cheia master în sistemul lor de boot securizat.

Scurgerea poate debloca toate dispozitivele instalate cu tehnologia Microsoft Secure Boot, eliminând starea sistemelor de operare blocate, permițând utilizatorilor să instaleze propriile sisteme de operare și aplicații în locul celor desemnate de tehnologia Redmond.

Scurgerea nu ar trebui să compromită securitatea dispozitivului dvs. - în teorie. Dar va deschide linii pentru sisteme de operare alternative și alte aplicații care nu ar fi reușit anterior să funcționeze pe un sistem Secure Boot.

Cum va răspunde Microsoft la acest lucru? O actualizare simplă pentru a modifica fiecare cheie de bază pentru Secure Boot? Sau este pur și simplu prea târziu, daunele făcute?

Să aruncăm o privire asupra a ceea ce înseamnă scurgeri de securitate pentru dvs. și dispozitivele dvs..

Ce este boot securizat?

“Secure Boot vă ajută să vă asigurați că boot-ul PC-ului dvs. nu funcționează decât cu ajutorul firmware-ului creat de producător”

Microsoft Secure Boot a sosit cu Windows 8 și este conceput pentru a împiedica operatorii rău intenționați să instaleze aplicații Ce este UEFI și cum vă păstrează mai sigură? Ce este UEFI și cum vă ține mai sigur? Citiți mai multe sau orice sisteme de operare neautorizate de la încărcare sau de la efectuarea de modificări în timpul procesului de pornire a sistemului. Când a sosit, există preocupări că introducerea sa ar limita sever capacitatea de a sistemelor Microsoft cu dublă sau multi-boot. În cele din urmă, acest lucru a fost în mare măsură nefondat - sau s-au găsit soluții.

As Secure Boot se bazează pe specificația UEFI (Unified Extensible Firmware Interface). Ce este UEFI și cum vă asigură mai mult siguranța? Ce este UEFI și cum vă ține mai sigur? Citiți mai multe pentru a furniza facilități de criptare de bază, autentificarea în rețea și semnarea driverului, oferind sisteme moderne cu un alt nivel de protecție împotriva rootkiturilor și a malware-ului la nivel scăzut.

Windows 10 UEFI

Microsoft a vrut să crească “protecţie” oferite de UEFI în Windows 10.

Pentru a împinge acest lucru, Microsoft a informat producătorii, înainte de lansarea Windows 10, că alegerea de a elimina opțiunea de a dezactiva boot-ul securizat era în mâinile lor. Linux nu mai lucrează la hardware-ul Windows 10 viitor? Linux nu mai lucrează la hardware-ul Windows 10? Secure Boot poate împiedica unele distribuții Linux de la pornire. Pe viitoarele dispozitive Windows 10, producătorii pot elimina opțiunea de a dezactiva funcția Secure Boot. Acest lucru va afecta Linux Mint și alte câteva distribuții populare. Citește mai mult, blocând în mod eficient sistemul de operare la cel cu care vine computerul. Merită menționat faptul că Microsoft nu a împins această inițiativă (cel puțin nu în mod public), însă, după cum explică Peter Bright de la Ars Technica, modificările aduse regulilor UEFI existente înainte de data lansării Windows 10 au făcut posibilă acest lucru:

“În situația în care ne aflăm, putem lua în considerare mașinile de construcție a producătorilor de echipamente originale (OEM), care nu vor oferi nici o modalitate ușoară de a încărca sistemele de operare auto-construite sau, într-adevăr, orice sistem de operare care nu are semnături digitale adecvate.”

Deși există, fără îndoială, numeroase desktopuri și laptop-uri pentru vânzare cu setări UEFI deblocate, acest lucru s-ar putea dovedi a fi un alt obstacol pentru cei care doresc să încerce o alternativă la sistemul de operare Windows.

Totuși, un alt bloc de drumuri pentru Linux susține să lucreze în jurul ... oftat.

Acum Boot-ul securizat este deblocat permanent?

Permanent, nu sunt așa de sigur. Dar, între timp, Secure Boot poate fi deblocat. Iată ce sa întâmplat.

Secure Boot este pe patul de moarte.

Scrierea vine mâine sau miercuri.

- slipstream / RoL (@ TheWack0lian) 8 august 2016

Știu că m-am referit la o cheie de tip super-duper de tip schelet care deblochează fiecare blocare în întregul univers universitar Microsoft UEFI Secure Boot ... dar se referă de fapt la politicile pe care le-ați semnat pe sistemul dvs..

Secure de boot care dezactivează binar scurgeri. Ce este mai enervant pentru Microsoft? https://t.co/n0fGr7pwdo

- Fiarele mitice (@Mythic_Beasts) 10 august 2016

Secure Boot funcționează în tandem cu anumite politici, citiți și respectați pe deplin de managerul de boot Windows Cum de a rezolva cele mai multe probleme de boot Windows Cum de a rezolva cele mai multe probleme de boot Windows Este computerul dvs. Windows nu boot-up? Ar putea fi din cauza unei erori hardware, software sau a firmware-ului. Iată cum puteți diagnostica și remedia aceste probleme. Citeste mai mult . Politicile sfătuiește managerul de boot pentru a permite activarea Secure Boot. Cu toate acestea, Microsoft a creat o politică concepută pentru a permite dezvoltatorilor să testeze sistemul de operare fără a trebui să semneze digital fiecare versiune. Acest lucru elimină în mod eficient Boot-ul securizat, dezactivând verificările timpurii ale sistemului în timpul procesului de pornire. Cercetătorii din domeniul securității, MY123 și Slipstream, au documentat concluziile lor (pe un site foarte încântător):

“În timpul dezvoltării Windows 10 v1607 "Redstone", MS a adăugat un nou tip de politică sigură de încărcare. Și anume, “suplimentar” politicile care sunt localizate în partiția EFIESP (mai degrabă decât într-o variabilă UEFI) și că setările lor sunt fuzionate, în funcție de condiții (și anume, “activarea” politica este, de asemenea, în existență și a fost încărcată).

Încărcăturile de încărcare ale lui Redstone “moştenire” politicile (și anume, o politică din variabilele UEFI). La un moment dat, în redstone dev, nu a efectuat nicio verificare în plus față de verificările semnătură / dispozitivID. (Acest lucru sa schimbat acum, dar vedeți cum schimbarea este proastă) După încărcare “moştenire” politică sau o politică de bază de la partiția EFIESP, aceasta încărcări, verificări și fuziuni în politicile suplimentare.

Vedeți problema aici? Dacă nu, permiteți-mi să vă spun clar și clar. “suplimentar” politica contine elemente noi, pentru conditiile de fuziune. Aceste condiții sunt (bine, la un moment dat) necontrolate de bootmgr când se încarcă o politică moștenită. Și bootmgr de win10 v1511 și mai devreme cu siguranță nu știe despre ele. Pentru aceștia bootmgrs, tocmai a încărcat într-o politică perfect valabilă, semnat.”

Nu creează o lectură bună pentru Microsoft. Aceasta înseamnă în mod eficient politica de depanare concepută pentru a permite dezvoltatorilor - și numai dezvoltatorilor - șansa de a neglija procesele de semnare este deschisă oricui are o versiune retail a Windows 10. Și că această politică a scurs pe Internet.

Îți amintești iPhone-ul de la San Bernardino?

“Puteți vedea ironia. De asemenea, ironia din acel stat membru ne-a oferit mai multe persoane frumoase “cheile de aur” (așa cum ar spune FBI-ul) pentru ca noi să putem folosi în acest scop :)

Despre FBI: citiți asta? Dacă sunteți, atunci acesta este un exemplu real din lume adevărat despre motivul pentru care ideea dvs. de backdooring cryptosystems cu a “cheie sigură de aur” este foarte rau! Oamenii mai inteligenți decât mine ți-au spus asta atât de mult, se pare că ai degetele în urechi. Tu serios nu înțelegi încă? Microsoft a implementat a “cheie sigură de aur” sistem. Iar cheile de aur au fost eliberate din prostia MS. Acum, ce se întâmplă dacă îi spui tuturor să facă o “cheie sigură de aur” sistem? Sperăm că puteți adăuga 2 + 2 ... ”

Pentru acei avocați de criptare, acest lucru a fost un moment ambițios, care, sperăm, va oferi o claritate atât de necesară atât pentru agențiile de aplicare a legii, cât și pentru funcționarii guvernamentali. Spațiul de aur va nu stați ascuns. Acestea vor fi întotdeauna descoperite, fie că sunt de o vulnerabilitate internă neprevăzută (dezvăluirile Snowden Hero sau Villain), NSA moderată poziția sa asupra eroului Snowden sau a lui Villain, NSA moderându-și poziția asupra lui Whitleblower-ul lui Snowden, Edward Snowden și John DeLong, În timp ce nu a existat nici o dezbatere, se pare că NSA nu mai vopsește Snowden ca trădător, ce se schimbă?.

Luați în considerare San Bernardino iPhone ...

“Avem un mare respect față de profesioniștii de la FBI și credem că intențiile lor sunt bune. Până în acest moment, am făcut tot ce este atât în ​​puterea noastră, cât și în cadrul legii, pentru ai ajuta. Dar acum guvernul american ne-a cerut ceva ce pur și simplu nu avem și ceva considerat prea periculos pentru a crea. Ei ne-au cerut să construim un backdoor pentru iPhone Ce este cel mai sigur sistem de operare mobil? Care este cel mai sigur sistem de operare mobil? Battling pentru titlul de cel mai sigur sistem de operare mobil, avem: Android, BlackBerry, Ubuntu, Windows Phone și iOS. Care sistem de operare este cel mai bun la ținerea propriilor împotriva atacurilor online? Citeste mai mult .”

Mingea se odihnește cu Microsoft

După cum am menționat, acest lucru nu ar trebui să reprezinte într-adevăr un risc masiv pentru securitatea dispozitivelor dvs. personale, iar Microsoft a lansat o declarație de reducere a relevanței scurgerii de securitate pentru Boot:

“Tehnica de jailbreak descrisă în raportul cercetătorilor din 10 august nu se aplică sistemelor desktop sau enterprise PC. Aceasta necesită acces fizic și drepturi de administrator la dispozitivele ARM și RT și nu compromite protecția de criptare.”

Pe lângă aceasta, au lansat în curând un Buletin de securitate Microsoft desemnat “Important.” Aceasta va rezolva vulnerabilitatea o dată instalată. Cu toate acestea, nu va dura mult pentru a instala o versiune de Windows 10 fără patch implementat.

Secure Boot este aproape sigur mort.

- Longhorn (@never_released) 8 august 2016

Cheile de Aur

Din păcate, este puțin probabil ca acest lucru să ducă la o nouă confuzie a dispozitivelor Microsoft care rulează distribuții Linux. Vreau să spun că vor exista niște indivizi care încearcă să testeze acest lucru, dar pentru majoritatea indivizilor, aceasta va fi pur și simplu o altă blip de securitate care le-a trecut prin.

Nu ar trebui.

Nu-ți pasă de distribuțiile Linux pe tabletele Microsoft este un lucru sigur. Dar implicațiile mai largi ale unei chei de aur scurgeri în domeniul public pentru a debloca potențial milioane de dispozitive este altul.

Cu câțiva ani în urmă The Washington Post a făcut un apel de raliu “compromite” pe criptare, propunând că, deși datele noastre ar trebui să fie în mod evident off-limită pentru hackeri, probabil Google și Apple et al ar trebui să aibă o cheie sigură de aur. Într-o critică excelentă exact de ce este a “propunere greșită, periculoasă,” Key co-creatorul Christy Coyne explică foarte clar acest lucru “Oameni cinstiți, buni sunt pe cale de dispariție orice backdoor care le ocolește propriile parole.”

Noi ar trebui să ne străduim pentru nivelul maxim de securitate personală. Începeți Anul An Off-dreapta cu un Audit de Securitate Personal Începeți Anul An Off-dreapta cu un Audit de Securitate Personal Este timpul să faceți planuri pentru noul an, cum ar fi asigurarea securității dvs. personale a scarpina. Iată 10 pași pe care trebuie să le faceți pentru a actualiza totul folosind PC-ul, telefonul sau tableta. Citește mai mult, nu dăruiți-l să-l slăbească la prima oportunitate disponibilă. Pentru că așa cum am văzut în mai multe rânduri, acele chei de tip super-duper de tip schelet voi sfârșesc în mâinile greșite.

Și când o fac, toți jucăm un joc periculos de apărare reactivă, indiferent dacă vrem sau nu.

Ar trebui companii majore de tehnologie să creeze backdoors în serviciile lor? Sau ar trebui ca agențiile guvernamentale și alte servicii să se gândească la propria afacere și să se concentreze pe menținerea securității?

Image Credit: Shutterstock, Constantin Pankin / Shutterstock

Explorați mai multe despre: Computer Security, Windows 10.