reklama

V tom, co lze absolutně považovat za třpytivý příklad přesněproč zlaté klíče nabízející zadní vrátka do bezpečných služeb by neměly existovat, Microsoft náhodně unikl hlavní klíč do jejich systému Secure Boot.

Únik potenciálně odemkne všechna zařízení s nainstalovanou technologií Microsoft Secure Boot a odstraní jejich uzamčený operační systém stav umožňující uživatelům instalovat vlastní operační systémy a aplikace namísto těch, které jsou určeny technologií Redmond monstrum.

Únik by neměl ohrozit zabezpečení vašeho zařízení - teoreticky. Otevře se však linky pro alternativní operační systémy a další aplikace, které by dříve na systému Secure Boot nefungovaly.

Jak na to Microsoft odpoví? Jednoduchá aktualizace pro změnu každého základního klíče Secure Boot? Nebo je prostě příliš pozdě, došlo k poškození?

Podívejme se dobře na to, co pro vás a vaše zařízení znamená únik Secure Secure.

Co je Secure Boot?

„Secure Boot pomáhá zajistit, aby se vaše PC spouštělo pouze pomocí firmwaru, kterému výrobce důvěřuje.“

instagram viewer

Microsoft Secure Boot dorazil s Windows 8, a je navržen tak, aby zabránil škodlivým operátorům při instalaci aplikací Co je UEFI a jak vás udržuje bezpečnější?Pokud jste v poslední době zavedli svůj počítač, možná jste si místo BIOS všimli zkratky „UEFI“. Co je to UEFI? Přečtěte si více nebo jakékoli neoprávněné operační systémy během načítání nebo provádění změn během procesu spouštění systému. Když to přišlo, existovaly obavy, že jeho zavedení by vážně omezilo schopnost duálních nebo vícebootových systémů Microsoft. Nakonec to bylo do značné míry neopodstatněné - nebo byla nalezena zástupná řešení.

Jak Secure Boot spoléhá specifikace UEFI (Unified Extensible Firmware Interface) Co je UEFI a jak vás udržuje bezpečnější?Pokud jste v poslední době zavedli svůj počítač, možná jste si místo BIOS všimli zkratky „UEFI“. Co je to UEFI? Přečtěte si více poskytovat základní šifrovací zařízení, ověřování v síti a podepisování ovladačů, poskytovat moderním systémům další vrstvu ochrany před rootkity a malwarem nízké úrovně.

Windows 10 UEFI

Microsoft chtěl rozšířit „ochranu“, kterou nabízí UEFI ve Windows 10.

Společnost Microsoft před vydáním systému Windows 10 informovala výrobce, že volba odstranit v jejich rukou byla možnost zakázat Secure Boot Bude Linux již fungovat na budoucím hardwaru Windows 10?Secure Boot může zabránit zavádění některých linuxových distribucí. U nadcházejících zařízení se systémem Windows 10 mohou výrobci odebrat možnost vypnutí zabezpečeného spouštění. To ovlivní Linux Mint a několik dalších populárních distribucí. Přečtěte si více , účinně uzamknout operační systém k systému, se kterým počítač přichází. Stojí za zmínku, že Microsoft tuto iniciativu přímo netlačil (alespoň ne zcela veřejně), ale jako Vysvětluje Peter Bright od společnosti Ars Technica, změny existujících pravidel UEFI před datem vydání systému Windows 10 to umožnily:

„Pokud by to stálo, můžeme si představit, že OEM budou vyrábět stroje, které nenabízejí snadný způsob zavedení vlastní operační systémy nebo jakýkoli operační systém, který nemá vhodné digitální systémy podpisy. “

I když existuje nepochybně mnoho stolních počítačů a notebooků na prodej s odemčeným nastavením UEFI, mohlo by to ukázat se jako další překážka pro ty, kteří chtějí vyzkoušet alternativu k jejich Windows provozování Systém.

Ještě další blok blokování pro obhájce Linuxu… povzdech.

A nyní je zabezpečené spuštění trvale odemčeno?

Trvale si nejsem tak jistý. Mezitím však lze Secure Boot odemknout. Zde je to, co se stalo.

Secure Boot je na smrtelném loži.

Zápis přichází zítra nebo ve středu.

- slipstream / RoL (@ TheWack0lian) 8. srpna 2016

Vím, že jsem mluvil o super duperním klíči typu kostry, který odemkne každý jednotlivý zámek v celku Microsoft UEFI Secure Boot vesmír… ale ve skutečnosti jde o to, ke kterým zásadám jste se přihlásili Systém.

Bezpečné spouštění deaktivující binární unikl. Co je pro Microsoft nepříjemnější? https://t.co/n0fGr7pwdo

- Mythic Beasts (@Mythic_Beasts) 10. srpna 2016

Secure Boot pracuje společně s určitými zásadami, čte a plně poslouchal správce spouštění systému Windows Jak vyřešit většinu problémů se zaváděním systému WindowsNení počítač se systémem Windows nabootován? Může to být kvůli chybě hardwaru, softwaru nebo firmwaru. Zde je návod, jak tyto problémy diagnostikovat a opravit. Přečtěte si více . Zásady doporučují správci spouštění, aby zabezpečené spouštění povolil. Společnost Microsoft však vytvořila jednu zásadu, která vývojářům umožňuje testovat sestavení operačního systému, aniž by bylo nutné každou verzi digitálně podepisovat. To účinně potlačí Secure Boot a deaktivuje včasné kontroly systému během procesu spouštění. Bezpečnostní vědci, MY123 a Slipstream, zdokumentovali svá zjištění (na opravdu nádherném webu):

„Během vývoje systému Windows 10 v1607„ Redstone “přidala MS nový typ zásady bezpečného spuštění. Konkrétně „doplňkové“ zásady, které jsou umístěny v oddílu EFIESP (spíše než v proměnné UEFI) a mají své nastavení sloučena, v závislosti na podmínkách (jmenovitě, že určitá „aktivační“ politika existuje a existuje) načten).

Redstone v bootmgr.efi nejprve načte „staré“ zásady (konkrétně politiku z proměnných UEFI). V určitou dobu v redstone dev neprovedla žádné další kontroly nad rámec kontrol podpisů / identifikátorů zařízení. (Toto se nyní změnilo, ale podívejte se, jak je změna hloupá.) Po načtení zásady „staré“ nebo základní zásady z oddílu EFIESP se pak načtou, zkontrolují a sloučí do doplňkových politik.

Vidíte problém zde? Pokud ne, dovolte mi to vysvětlit jasně a jasně. „Doplňková“ zásada obsahuje nové prvky podmínek sloučení. Tyto podmínky jsou (dobře, najednou) bootmgrem při načítání starší politiky nekontrolovány. A bootmgr z win10 v1511 a dříve o nich určitě neví. Těm bootmgrům se právě načítala naprosto platná podepsaná politika. “

Pro Microsoft to není dobré čtení. Účinně to znamená, že zásady ladicího režimu navržené tak, aby umožňovaly vývojářům - a pouze vývojářům - negovat procesy podepisování, jsou otevřeny každému, kdo má maloobchodní verzi systému Windows 10. A tato politika unikla na internet.

Pamatujete si na San Bernardino iPhone?

"Vidíš ironii." Také ironie v tom, že samotné MS nám poskytla několik pěkných „zlatých klíčů“ (jak řekla FBI;), které jsme k tomu použili :)

O FBI: čtete to? Pokud ano, jedná se o perfektní příklad skutečného světa o tom, proč je vaše představa o kryptografických systémech s „bezpečným zlatým klíčem“ velmi špatná! Chytřejší lidé než já vám to říkali tak dlouho, zdá se, že máte prsty v uších. Vážně tomu nerozumíš? Microsoft implementoval systém „zabezpečeného zlatého klíče“. A zlaté klíče byly uvolněny z vlastní hlouposti MS. Co se stane, když řeknete všem, aby vytvořili systém „bezpečného zlatého klíče“? Doufejme, že můžete přidat 2 + 2… “

Pro tyto zastánce šifrování to byl všestranný okamžik, který, jak doufám, poskytne orgánům činným v trestním řízení i vládním úředníkům jistou potřebnou jasnost. Zlaté zadní dveře budou nikdy zůstaň skrytý. Vždy budou objeveny, a to díky nepředvídané vnitřní zranitelnosti (Snowden odhalení Hrdina nebo darebák? NSA zmírňuje svůj postoj na SnowdenWhistleblower Edward Snowden a John DeLong z NSA se objevili v plánu sympozia. I když se neuskutečnila žádná debata, zdá se, že NSA již Snowdena namaloval jako zrádce. Co se změnilo? Přečtěte si více ) nebo těmi, kteří se zajímají o roztrhávání a roztahování technologie a jejího základního kódu.

Zvažte iPhone San Bernardino…

"Máme velkou úctu k profesionálům FBI a věříme, že jejich úmysly jsou dobré." Až do tohoto okamžiku jsme udělali vše, co je v naší moci i v rámci zákona, abychom jim pomohli. Nyní však americká vláda požádala o něco, co prostě nemáme, a něco, co považujeme za příliš nebezpečné na vytvoření. Požádali nás vybudovat zadní iPhone pro iPhone Co je nejbezpečnější mobilní operační systém?Bojujeme o titul nejbezpečnějšího mobilního OS, máme: Android, BlackBerry, Ubuntu, Windows Phone a iOS. Který operační systém nejlépe bojuje proti online útokům? Přečtěte si více .”

Míč spočívá u společnosti Microsoft

Jak jsem již zmínil, nemělo by to pro vaše osobní zařízení znamenat velké bezpečnostní riziko a společnost Microsoft vydala prohlášení, které shrnuje závažnost úniku Secure Boot:

„Technika útěk z vězení popsaná ve zprávě vědců z 10. srpna se nevztahuje na stolní nebo podnikové PC systémy. Vyžaduje fyzický přístup a administrátorská práva k zařízením ARM a RT a neohrožuje ochranu šifrování. “

Stejně jako to mají spěšně vydal bulletin zabezpečení společnosti Microsoft označené „Důležité“. Po instalaci bude chyba odstraněna. Instalace verze systému Windows 10 bez implementace opravy však nebude vyžadovat mnoho.

Zlaté klíče

Bohužel to pravděpodobně nepovede k novému množství zařízení společnosti Microsoft se systémem Linux. Myslím, že budou někteří podnikatelé, kteří to absolvují v časovém testu, ale pro většinu jednotlivců to bude prostě další bezpečnostní výkřik, který jim projde.

To by nemělo.

To, že na tabletech Microsoftu necháte zatraceně Linux, je jedna věc. Ale další důsledky úniku zlatého klíče do veřejné domény k odemknutí potenciálně milionů zařízení jsou další.

mu-securityy-skeleton-keys

Před několika lety The Washington Post vyzval k vyzvednutí „kompromis“O šifrování, což navrhuje, aby naše data měla být samozřejmě pro hackery, možná Google a Apple, samozřejmě neomezená et al by měl mít bezpečný zlatý klíč. Ve vynikající kritice toho, proč se jedná o „zavádějící, nebezpečný návrh,” Keybase spolutvůrce Christ Coyne zcela jasně vysvětluje, že „Čestní, dobří lidé jsou ohroženi žádný backdoor, které obchází jejich vlastní hesla. “

Všichni bychom se měli snažit maximální možná úroveň osobní bezpečnosti Začněte správným rokem s osobním bezpečnostním auditemJe na čase naplánovat nový rok, například zajistit, aby vaše osobní bezpečnost byla na škrábance. Zde je 10 kroků, které byste měli udělat, abyste vše aktualizovali pomocí počítače, telefonu nebo tabletu. Přečtěte si více , nesnažte se jej oslabit při první dostupné příležitosti. Protože, jak jsme viděli při více příležitostech, tyto klíče super-duper kostry vůle skončí ve špatných rukou.

A když ano, všichni hrajeme nebezpečnou hru reaktivní obrany, ať už jsme chtěli, nebo ne.

Měly by hlavní technologické společnosti ve svých službách vytvářet zadní vrátka? Nebo by se měly vládní agentury a další služby zaměřit na vlastní podnikání a soustředit se na udržení bezpečnosti?

Image Credit: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock

Gavin je Senior Writer pro MUO. On je také editor a SEO manažer pro MakeUseOf krypto-zaměřené sesterské stránky, Blocks Decoded. Má BA (Hons) Contemporary Writing s Digital Art Practices drancované z kopců Devonu, stejně jako přes deset let profesionálních psaní zkušeností. Užívá si hojného množství čaje.