Ką reikia žinoti apie „Windows 10“ saugius įkrovos klavišus

Skelbimas

Tai, ką galima visiškai laikyti blizgančiu pavyzdžiu tiksliaikodėl auksinių raktų, siūlančių saugų paslaugų užpakalinį duris, neturėtų būti, „Microsoft“ netyčia nutekino pagrindinį raktą į jų saugios įkrovos sistemą.

Nuotėkis gali atrakinti visus įrenginius, kuriuose įdiegta „Microsoft Secure Boot“ technologija, ir panaikinti užrakintą operacinę sistemą būseną, leidžiančią vartotojams įdiegti savo operacines sistemas ir programas vietoj tų, kurias nurodo „Redmond“ technologija behemotas.

Teoriškai nuotėkis neturėtų pakenkti jūsų įrenginio saugumui. Bet tai atvers linijas alternatyvioms operacinėms sistemoms ir kitoms programoms, kurios anksčiau nebūtų veikusios saugaus įkrovimo sistemoje.

Kaip „Microsoft“ į tai reaguos? Paprastas atnaujinimas, norint pakeisti kiekvieną „Secure Boot“ bazinį raktą? Ar tiesiog per vėlu, žala padaryta?

Pažvelkime į tai, ką jums ir jūsų įrenginiams reiškia „Secure Boot“ nuotėkis.

Kas yra saugus įkrovimas?

„Saugus įkrovimas padeda įsitikinti, kad jūsų kompiuteris paleidžiamas tik naudojant gamintojo patikimą programinę įrangą“.

„Microsoft Secure Boot“ atvyko su „Windows 8“ ir yra skirtas užkirsti kelią kenkėjiškiems operatoriams diegti programas Kas yra UEFI ir kaip tai apsaugo jus labiau?Jei neseniai paleidote kompiuterį, galbūt pastebėjote santrumpą „UEFI“, o ne BIOS. Bet kas yra UEFI? Skaityti daugiau ar bet kokias neleistinas operacines sistemas, neįkraunant ar atliekant pakeitimus, paleidžiant sistemą. Kai jis atvyko, kilo abejonių, ar jo įvedimas smarkiai apribos galimybes naudoti dvigubas ar daugiapakopes „Microsoft“ sistemas. Galų gale tai buvo beveik nepagrįsta arba buvo rasta apeiti.

„Secure Boot“ pasitiki UEFI (Unified Extensible Firmware Interface) specifikacija Kas yra UEFI ir kaip tai apsaugo jus labiau?Jei neseniai paleidote kompiuterį, galbūt pastebėjote santrumpą „UEFI“, o ne BIOS. Bet kas yra UEFI? Skaityti daugiau aprūpinti pagrindinėmis šifravimo galimybėmis, tinklo autentifikavimu ir tvarkyklių pasirašymu, šiuolaikinėms sistemoms suteikiant dar vieną apsaugos nuo rootkit ir žemo lygio kenkėjiškų programų lygį.

„Windows 10 UEFI“

„Microsoft“ norėjo sustiprinti „apsaugą“, kurią „Windows 10“ siūlo UEFI.

Siekdama tai įgyvendinti, „Microsoft“ informavo gamintojus prieš išleisdama „Windows 10“, kad pasirinkimas pašalinti Jų rankose buvo galimybė išjungti saugų įkrovą Ar „Linux“ nebeveiks būsimos „Windows 10“ aparatūros?Saugus įkrovimas gali neleisti paleisti kai kurių „Linux“ versijų. Būsimuose „Windows 10“ įrenginiuose gamintojai gali pašalinti parinktį išjungti saugų įkrovą. Tai turės įtakos „Linux Mint“ ir keletui kitų populiarių kūrinių. Skaityti daugiau , efektyviai užrakindami operacinę sistemą tam, su kuriuo atkeliauja kompiuteris. Verta paminėti, kad „Microsoft“ tiesiogiai nedarė šios iniciatyvos (bent jau ne visiškai viešai), bet kaip „ „Ars Technica“ vadovas Peteris Brightas paaiškina, esamų UEFI taisyklių pakeitimai iki „Windows 10“ išleidimo datos tapo įmanoma:

„Jei šis stendas yra, mes galime numatyti, kad OĮG gamins mašinas, kurios nepasiūlys jokio lengvo būdo patys sukurtos operacinės sistemos arba bet kuri operacinė sistema, kurioje nėra tinkamos skaitmeninės parašai. “

Nors neabejotinai yra daugybė stalinių ir nešiojamųjų kompiuterių, parduodamų su atrakintais UEFI nustatymais, tai gali įrodyti, kad tai dar vienas kliūtis norintiems išbandyti alternatyvą operacinei sistemai „Windows“ sistema.

Dar viena kliūtis „Linux“ šalininkams - apeiti... atodūsis.

O dabar saugus įkrovos įrenginys yra nuolat atrakintas?

Visam laikui nesu tikras. Tačiau kol kas „Secure Boot“ galima atrakinti. Štai kas atsitiko.

„Secure Boot“ yra mirties patale.

Registracija ateis rytoj arba trečiadienį.

- „slipstream“ / „RoL“ (@ TheWack0lian) 2016 m. Rugpjūčio 8 d

Aš žinau, kad turiu omenyje super duper skeleto tipo raktą, kuris atrakina kiekvieną spyną „Microsoft UEFI Secure Boot“ visata... bet iš tikrųjų priklauso nuo to, kurią politiką pasirašėte sistema.

Saugus įkrovos išjungimas dvejetainiui kompiuteriui nutekėjo. Kas labiau erzina „Microsoft“? https://t.co/n0fGr7pwdo

- Mitiniai žvėrys (@Mythic_Beasts) 2016 m. Rugpjūčio 10 d

„Secure Boot“ veikia kartu su tam tikra politika, perskaityta ir visiškai pakluso „Windows“ įkrovos tvarkyklė Kaip išspręsti daugumą „Windows“ įkrovos problemųAr jūsų „Windows“ kompiuteris nėra paleistas? Tai gali nutikti dėl aparatinės, programinės ar programinės įrangos klaidos. Štai kaip diagnozuoti ir išspręsti šias problemas. Skaityti daugiau . Politika pataria įkrovos tvarkytuvei išlaikyti įjungtą saugų įkrovą. Tačiau „Microsoft“ sukūrė vieną strategiją, skirtą leisti kūrėjams išbandyti operacinės sistemos versijas, neprirašant skaitmeninio parašo kiekvienai versijai. Tai veiksmingai panaikina saugų įkrovą, išjungdami ankstyvus sistemos patikrinimus paleidimo metu. Saugumo tyrinėtojai, MY123 ir „Slipstream“, dokumentavo savo išvadas (tikrai žaviame tinklalapyje):

Kurdama „Windows 10 v1607“ Redstone “, MS pridėjo naujo tipo saugaus įkrovimo politiką. Būtent „papildomos“ strategijos, esančios EFIESP skaidinyje (o ne UEFI kintamajame) ir turinčios savo nuostatos susiliejo, atsižvelgiant į sąlygas (būtent, kad egzistuoja ir buvo tam tikra „aktyvinimo“ politika) pakrautas).

„Redstone“ įkrovos failas pirmiausia įkelia „senąją“ politiką (būtent politiką iš UEFI kintamųjų). Tam tikru metu „Redstone dev“ programoje jis neatliko jokių kitų patikrinimų, išskyrus parašo / įrenginio ID patikrinimus. (Tai pasikeitė, bet pažiūrėkite, koks pakeitimas kvailas.) Įkėlęs „seną“ politiką arba bazinę strategiją iš EFIESP skaidinio, ji įkelia, patikrina ir sujungiama į papildomą politiką.

Žr. Problemą čia? Jei ne, leisk man jums tai aiškiai pasakyti. „Papildomoje“ politikoje yra naujų sujungimo sąlygų elementų. Įkeliant senąją politiką, šių sąlygų (gerai, vienu metu) netikrina. O „Win10 v1511“ įkrovos programa ir ankstesnė apie jas tikrai nežino. Tiems įkrovėjams ji ką tik įkėlė į galiojančią, pasirašytą politiką. “

Tai nereiškia, kad „Microsoft“ yra tinkama skaityti. Tai iš tikrųjų reiškia derinimo režimo strategiją, skirtą leisti kūrėjams - ir tik kūrėjams - atsisakyti pasirašymo procesų galimybė visiems, turintiems mažmeninę „Windows 10“ versiją. Ir ta politika pasklido internete.

Prisimeni „San Bernardino iPhone“?

„Jūs galite pamatyti ironiją. Taip pat ironija, kad pačios valstybės narės mums pateikė keletą gražių „auksinių raktų“ (kaip pasakytų FTB;), kad galėtume naudoti tam tikslui :)

Apie FTB: ar jūs skaitote tai? Jei esate, tada tai yra puikus realaus pasaulio pavyzdys, kodėl jūsų idėja atverti kriptosistemas su „saugiu auksiniu raktu“ yra labai bloga! Protingesni žmonės nei aš taip ilgai jums tai sakiau, atrodo, kad turite pirštus į ausis. Jūs rimtai dar nesuprantate? „Microsoft“ įdiegė „saugaus auksinio rakto“ sistemą. Ir auksiniai raktai buvo išlaisvinti iš pačios MS kvailystės. Kas nutiks, jei liepsite visiems susikurti „saugaus auksinio rakto“ sistemą? Tikimės, kad galėsite pridėti 2 + 2... “

Tiems šifravimo šalininkams tai buvo labai švelnus momentas, kuris, tikėkimės, suteiks reikalingą aiškumą tiek teisėsaugos institucijoms, tiek vyriausybės pareigūnams. Auksinės durys bus niekada likti paslėptas. Jie visada bus atrasti dėl nenumatyto vidinio pažeidžiamumo (Snowdeno apreiškimai Didvyris ar piktadarys? NSA moderuoja savo poziciją dėl SnowdenoPranešėjas Edwardas Snowdenas ir NSA Johnas DeLongas pasirodė simpoziumo tvarkaraštyje. Nors diskusijų nebuvo, atrodo, kad NSA nebestebina Snowdeno kaip išdaviko. Kas pasikeitė? Skaityti daugiau ) arba tiems, kurie domisi technologijomis, kurios yra susijusios su plėšimu ir traukimu, bei jos pagrindu sukurtu kodu.

Apsvarstykite „San Bernardino iPhone“ ...

„Mes labai gerbiame FTB specialistus ir manome, kad jų ketinimai yra geri. Iki šiol mes padarėme viską, kas yra tiek mūsų galioje, tiek įstatymuose, kad jiems padėtume. Tačiau dabar JAV vyriausybė paprašė mūsų to, ko paprasčiausiai neturime, ir to, ką mes laikome pernelyg pavojingu kurti. Jie paprašė mūsų sukurti „iPhone“ užpakalinį duris Kas yra saugiausia mobilioji operacinė sistema?Kovodami dėl saugiausios mobiliosios OS titulo, turime: „Android“, „BlackBerry“, „Ubuntu“, „Windows Phone“ ir „iOS“. Kuri operacinė sistema geriausiai saugo savo nuo internetinių atakų? Skaityti daugiau .”

Rutulį ilsisi „Microsoft“

Kaip jau minėjau, tai neturėtų iš tikrųjų kelti didžiulės rizikos jūsų asmeniniams įrenginiams, o „Microsoft“ išleido pareiškimą, smerkiantį jūsų „Secure Boot“ nuotėkis:

Rugpjūčio 10 d. Tyrėjų ataskaitoje aprašyta „jailbreak“ technika netaikoma stalinių ar įmonių kompiuterių sistemoms. Tai reikalauja fizinės prieigos ir administratoriaus teisių į ARM ir RT įrenginius ir nepakenkia šifravimo apsaugai. “

Be to, jie turi skubiai išleido „Microsoft“ saugos biuletenį pavadinta „Svarbi“. Tai įdiegus bus pašalinta pažeidžiamumas. Tačiau nereikės daug įdiegti „Windows 10“ versijos neįdiegus pataisos.

Auksiniai raktai

Deja, mažai tikėtina, kad tai paskatins naują „Microsoft“ įrenginių, kuriuose veikia „Linux“ versijos, diskomfortą. Aš turiu omenyje, kad bus keletas iniciatyvių asmenų, kurie laiko tai išbandys, tačiau daugumai asmenų tai bus tiesiog dar vienas saugumo laidas, praėjęs pro juos.

To neturėtų būti.

Aišku, neatsakykite apie „Microsoft“ planšetinių kompiuterių „Linux“ vaizdus. Tačiau platesnis aukso rakto, nutekėjusio į viešąją sritį, atrakinti potencialiai milijonus įrenginių, pasekmė yra kita.

Prieš porą metų „The Washington Post“ paskelbė raginimą „kompromisasŠifravimą, siūlydamas, kad nors mūsų duomenys akivaizdžiai neturėtų viršyti įsilaužėlių, galbūt „Google“ ir „Apple“ et al turėtų turėti saugų auksinį raktą. Puikiai kritikuodamas, kodėl būtent tai yra „klaidingas, pavojingas pasiūlymas,” Keybase bendraįkūrėjas Kristus Coyne'as gana atvirai paaiškina, kad „nuoširdžiai, geriems žmonėms gresia pavojus bet kokia „už durų“, kurie apeina jų pačių slaptažodžius. “

Mes visi turėtume siekti maksimalus galimas asmens saugumo lygis Pradėkite metus ne iš karto su asmeninio saugumo audituLaikas planuoti naujus metus, pavyzdžiui, užtikrinti asmeninį saugumą. Štai 10 žingsnių, kuriuos turėtumėte atlikti norėdami atnaujinti viską naudodami kompiuterį, telefoną ar planšetinį kompiuterį. Skaityti daugiau , nesistenkite to susilpninti pasinaudoję pirmąja galimybe. Nes kaip mes ne kartą matėme, tie „super-duper“ skeleto tipo raktai bus pakliūti į netinkamas rankas.

O kai jie tai padarys, mes visi žaisime pavojingą reaktyviosios gynybos žaidimą, nesvarbu, ar norėjome, ar ne.

Ar didžiosios technologijų kompanijos turėtų kurti užpakalines paslaugas? Arba vyriausybinės agentūros ir kitos tarnybos turėtų atsižvelgti į savo verslą ir sutelkti dėmesį į saugumo palaikymą?

Vaizdo kreditas: „DutchScenery“ / „Shutterstock“, Konstantinas Pankinas / „Shutterstock“