Amit tudnia kell a Windows 10 biztonságos rendszerindító kulcsairól

Hirdetés

Ami abszolút tekinthető egy csillogó példájának pontosanmiért A biztonságos szolgáltatásokhoz hátsó ajtót kínáló arany kulcsoknak nem szabad létezniük, a Microsoft véletlenül kiszivárogtatta a mesterkulcsot a biztonságos indító rendszerükbe.

A szivárgás potenciálisan feloldja az összes eszközt, amelyen telepítve van a Microsoft Secure Boot technológia, és eltávolítja a reteszelt operációs rendszert állapot, amely lehetővé teszi a felhasználók számára, hogy saját operációs rendszereiket és alkalmazásaikat telepítsék a Redmond technológia által kijelölt helyett behemót.

A szivárgás elméletileg nem veszélyeztetheti az eszköz biztonságát. De megnyitja a sorokat az alternatív operációs rendszerekhez és más alkalmazásokhoz, amelyek korábban nem működtek volna egy biztonságos indító rendszeren.

Hogyan reagál a Microsoft erre? Egy egyszerű frissítés az egyes Secure Boot alapkulcsok megváltoztatásához? Vagy egyszerűen túl késő, kár történt?

Vessen egy pillantást arra, hogy mit jelent a Secure Boot szivárgás az Ön és eszközei számára.

Mi a biztonságos rendszerindítás?

„A biztonságos indítás segít abban, hogy a számítógép csak a gyártó megbízható firmware-jével induljon.”

Microsoft Secure Boot megérkezett a Windows 8, és van célja, hogy megakadályozza a rosszindulatú operátorok alkalmazásokat telepíteni Mi az UEFI és hogyan tartja biztonságosabbá?Ha a közelmúltban indította el a számítógépet, akkor a BIOS helyett észlelheti az "UEFI" rövidítést. De mi az UEFI? Olvass tovább vagy bármilyen illetéktelen operációs rendszert tölthet be vagy módosíthat a rendszer indításakor. Megérkezésekor aggodalmak merültek fel azzal, hogy bevezetése szigorúan korlátozza a kettős vagy többindító Microsoft rendszerek képességét. Végül ez nagyrészt megalapozatlan volt - vagy megoldásokat találtak.

Mivel a Biztonságos Rendszer támaszkodik az UEFI (Unified Extensible Firmware Interface) specifikáció Mi az UEFI és hogyan tartja biztonságosabbá?Ha a közelmúltban indította el a számítógépet, akkor a BIOS helyett észlelheti az "UEFI" rövidítést. De mi az UEFI? Olvass tovább alapvető titkosítási lehetőségeket, hálózati hitelesítést és illesztőprogram-aláírást biztosít, a modern rendszereknek pedig a rootkit-ek és az alacsony szintű rosszindulatú szoftverek elleni további védelmi réteg biztosítását.

Windows 10 UEFI

A Microsoft fel akarja emelni az UEFI által a Windows 10-ben kínált „védelmet”.

Ennek átgondolására a Microsoft a Windows 10 kiadása előtt tájékoztatta a gyártókat arról, hogy a A biztonságos indítás letiltásának lehetősége a kezükben volt A Linux nem fog tovább működni a jövőbeli Windows 10 hardveren?A biztonságos indítás megakadályozhatja néhány Linux disztró indítását. A közelgő Windows 10 eszközökön a gyártók eltávolíthatják a biztonságos indítás kikapcsolásának lehetőségét. Ez hatással lesz a Linux Mintre és számos más népszerű disztróra. Olvass tovább , az operációs rendszer hatékony zárolása annak a számítógépnek a megérkezésekor. Érdemes megjegyezni, hogy a Microsoft nem közvetlenül támogatta ezt a kezdeményezést (legalábbis nem teljes egészében nyilvánosan), hanem az Az Ars Technica Peter Bright magyarázza, a meglévő UEFI szabályoknak a Windows 10 kiadási dátuma előtti változásai lehetővé tették:

„Ha ez a helyzet áll, akkor azt az OEM gyártót tervezzük, aki olyan gépeket kínál, amelyek nem kínálnak egyszerű indítást saját készítésű operációs rendszerek, vagy valójában bármilyen operációs rendszer, amelynek nincs megfelelő digitális aláírásokat.”

Noha kétségtelenül számos asztali és laptop eladó, nyitott UEFI beállításokkal, ez lehetséges újabb akadálynak bizonyulnak azok számára, akik kipróbálni akarják a Windows operációs rendszerük alternatíváját rendszer.

Még egy újabb akadály, hogy a Linux támogassa a munkát... sóhaj.

És a biztonságos rendszerindítást véglegesen feloldják?

Állandóan nem vagyok benne biztos. Időközben azonban a Secure Boot feloldható. Így történt.

A Secure Boot a halálos ágyán van.

A feljegyzés holnap vagy szerdán érkezik.

- slipstream / RoL (@ TheWack0lian) 2016. augusztus 8

Tudom, hogy egy super-duper csontváz-típusú kulcsra utaltam, amely az egész zárat feloldja A Microsoft UEFI Secure Boot univerzum... de valójában azon múlik, hogy mely házirendeket írta alá rendszer.

A bináris bináris biztonságos indítás letiltása kiszivárgott. Mi bosszantó a Microsoft számára? https://t.co/n0fGr7pwdo

- Mythic Beasts (@Mythic_Beasts) 2016. augusztus 10

A Secure Boot bizonyos irányelvekkel párhuzamosan, olvasottan és teljes mértékben működik a Windows rendszerindítókezelő engedelmeskedik A legtöbb Windows indítási probléma megoldásaNem indítja el a Windows számítógépe? Ennek oka lehet hardver, szoftver vagy firmware hiba. Így diagnosztizálhatja és kijavíthatja ezeket a problémákat. Olvass tovább . A házirendek azt tanácsolják a rendszerindítónak, hogy tartsa engedélyezve a Biztonságos Rendszerindítást. A Microsoft azonban létrehozott egy olyan irányelvet, amelynek célja, hogy a fejlesztők kipróbálhassák az operációs rendszerek építését anélkül, hogy minden verziót digitálisan alá kellene írniuk. Ez hatékonyan felülbírálja a Biztonsági indítást, letiltva a korai rendszerellenőrzéseket az indítási folyamat során. A biztonsági kutatók, MY123 és Légcsavarszél, dokumentálta megállapításaikat (egy igazán kellemes weboldalon):

„A Windows 10 v1607„ Redstone ”fejlesztése során az MS új típusú biztonságos indítási házirendet adott be. Nevezetesen az „kiegészítő” házirendek, amelyek az EFIESP partícióban találhatók (nem egy UEFI változóban), és rendelkeznek a beállítások egyesültek, a feltételektől függően (nevezetesen, hogy egy bizonyos „aktiválási” politika is létezik, és volt) betöltve).

A Redstone bootmgr.efi először betölti a „régi” irányelveket (nevezetesen az UEFI változókból származó irányelveket). A redstone dev bizonyos időtartamán nem végzett további ellenőrzéseket az aláírás / eszköz ID ellenőrzéseken túl. (Ez már megváltozott, de nézd meg, milyen hülye a változás.) Az „örökölt” házirend vagy az alapvető házirend betöltése az EFIESP partícióból betölti, ellenőrzi és egyesíti a kiegészítő irányelveket.

Lásd itt a kérdést? Ha nem, hadd mondjam ki neked egyértelműen. A „kiegészítő” politika új elemeket tartalmaz az egyesülési feltételekhez. Ezeket a feltételeket (egy időben) a bootmgr nem ellenőrzi, amikor egy régi házirendet tölt be. És a Win10 v1511 bootmgr, és korábban biztosan nem tudnak róluk. Azoknak a bootmgrs-eknek, akik egy tökéletesen érvényes, aláírt házirendet töltöttek be. ”

A Microsoft számára ez nem jó olvasmány. Ez ténylegesen azt jelenti, hogy a hibakeresési módot úgy fejlesztették ki, hogy a fejlesztők - és csak a fejlesztők számára - lehetővé tegyék az aláírási folyamatok tagadását, bárki számára elérhető, aki a Windows 10 kiskereskedelmi verzióját használja. És hogy ez a politika kiszivárgott az internetre.

Emlékszel a San Bernardino iPhone-ra?

- Láthatja az iróniát. Ugyancsak az az irónia, hogy a tagállamok maguk adtak nekünk néhány szép „arany kulcsot” (amint azt az FBI mondaná;), hogy felhasználhatjuk erre a célra :)

Az FBI-ról: olvassa ezt? Ha igen, akkor ez egy tökéletes valós példa arra, hogy miért nagyon rossz az a gondolat, hogy a kriptoszisztémákat „biztonságos aranykulccsal” hátsó ajtóba helyezzék! Okosabb emberek, mint én, olyan régóta mondták ezt neked, úgy tűnik, hogy ujjaid vannak a füledben. Komolyan még nem érti? A Microsoft bevezette a „biztonságos arany kulcs” rendszert. És az arany kulcsokat elengedték a saját ostobaságától. Mi történik, ha azt mondja mindenkinek, hogy készítsen „biztonságos arany kulcsot”? Remélhetőleg hozzáadhat 2 + 2… ”

A titkosítás támogatói számára ez minden keserű édes pillanat volt, amely remélhetőleg néhány szükséges egyértelműséget biztosít majd a rendészeti szervek és a kormányzati tisztviselők számára is. Arany hátsó ajtó lesz soha maradj rejtett. Mindig felfedezik őket, előre nem látható belső sebezhetőség miatt (Snowden kinyilatkoztatások Hős vagy gazember? Az NSA moderálja álláspontját a SnowdennélEdward Snowden bejelentő és az NSA John DeLong jelent meg a szimpózium ütemezésén. Miközben nem volt vita, úgy tűnik, hogy az NSA már nem árulónak tekinti Snowden-t. Mi változott? Olvass tovább ), vagy azok, akik érdeklődnek a technológia és annak mögöttes kódjának szétszedése és húzása iránt.

Fontolja meg a San Bernardino iPhone-t ...

„Nagy tiszteletben tartjuk az FBI szakembereit, és úgy gondoljuk, hogy jó szándékuk van. Eddig a pontig mindent megtettünk, hogy mind a hatalmunkban, mind a törvényekben megmaradjunk, hogy segítsünk nekik. De most az Egyesült Államok kormánya olyan kérdést kért tőlünk, amelynek egyszerűen nincs meg, és valamit, amelyet túl veszélyesnek tartunk a létrehozáshoz. Felkértek minket építsen hátsó ajtót az iPhone-ra Mi a legbiztonságosabb mobil operációs rendszer?A Legbiztonságosabb mobil operációs rendszer címért küzdve: Android, BlackBerry, Ubuntu, Windows Phone és iOS. Melyik operációs rendszer a legmegfelelőbb az online támadások ellen? Olvass tovább .”

A labda a Microsoft részét képezi

Mint már említettem, ez valójában nem jelenthet hatalmas biztonsági kockázatot a személyes készülékei számára, és a Microsoft kiadott egy nyilatkozatot, amely aláhúzza a a biztonságos indítás szivárgása:

„A kutatók augusztus 10-i jelentésében ismertetett jailbreak technika nem vonatkozik az asztali vagy vállalati számítógépes rendszerekre. Fizikai hozzáférést és adminisztrátori jogokat igényel az ARM és RT eszközökhöz, és nem veszélyezteti a titkosítás védelmét. ”

Mindezen túl vannak sietve kiadta a Microsoft biztonsági közleményét jelölve „Fontos”. Ez a biztonsági rést a telepítés után megszünteti. A Windows 10 verziójának telepítése azonban a javítás nélkül szükséges.

Arany kulcsok

Sajnos ez nem valószínű, hogy a Microsoft-eszközök új disztribúciójához vezetnek, amely Linux disztrókat futtat. Úgy értem, lesznek olyan vállalkozói egyének, akik időt tesztelnek ennek, de az egyének többsége számára ez egyszerűen csak egy biztonsági rés, amely átadta őket.

Nem kellene.

Az egyik dolog, hogy ne rohadj meg a Linux disztrókkal a Microsoft táblagépeken. Ugyanakkor a köztudatba szivárgó arany kulcs szélesebb körű következményei potenciálisan millió millió eszköz feloldásához is egy másik.

Pár évvel ezelőtt a Washington Post hívta fel a „kompromisszum”A titkosításról, és azt javasolja, hogy bár adataink nyilvánvalóan túllépik a hackereket, esetleg a Google-t és az Apple-t et al biztonságos arany kulccsal kell rendelkeznie. Kiváló kritika alatt, hogy pontosan miért ez egy „téves, veszélyes javaslat,” Keybase a társalkotó, Christ Coyne világosan kifejti, hogy „a becsületes, jó embereket veszélyezteti Bármi hátsó ajtó, amely megkerüli a saját jelszavukat. ”

Mindannyian törekednünk kell a lehető legnagyobb személyes biztonság Indítsa el az évet közvetlenül egy személyes biztonsági ellenőrzésselIdeje megtervezni az új évet, például biztosítani a személyes biztonságát. Íme 10 lépés, amelyet meg kell tennie, hogy mindent frissítsen a számítógépén, telefonján vagy táblagépén. Olvass tovább , nem azért érdemes meggyengíteni azt az első elérhető lehetőségnél. Mert, amint azt többször is láttuk, ezek a szuper-duper csontváz típusú kulcsok akarat rossz kezekbe kerülnek.

És amikor megteszik, mindannyian veszélyes reaktív védekezős játékot játszunk, akár akarjuk, akár nem.

A nagyobb technológiai vállalatoknak hátsó ajtókat kell létrehozniuk szolgáltatásaiban? Vagy a kormányzati ügynökségeknek és más szolgálatoknak figyelniük kellene a saját üzletükre, és a biztonság fenntartására kellene összpontosítaniuk?

Kép jóváírása: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock