Kaj morate vedeti o sistemih Windows 10 Secure Boot Keyys

Oglas

V tem, kar bi bilo absolutno mogoče obravnavati kot bleščeč primer natančnozakaj zlatih ključev, ki ponujajo zakulisje za varne storitve, ne bi smelo obstajati, Microsoft je po naključju iztekel glavni ključ v njihov sistem Secure Boot.

Puščanje potencialno odklene vse naprave z nameščeno tehnologijo Microsoft Secure Boot in odstrani njihov zaklenjen operacijski sistem statusa, ki uporabnikom omogoča nameščanje lastnih operacijskih sistemov in aplikacij namesto tistih, ki jih določi tehnologija Redmond behemoth.

Tekoče teoretično ne bi smelo ogroziti varnosti vaše naprave. Odprle pa bodo linije za alternativne operacijske sisteme in druge aplikacije, ki prej ne bi delovale na sistemu Secure Boot.

Kako se bo Microsoft odzval na to? Preprosta posodobitev za spremembo vsakega osnovnega ključa Secure Boot? Ali pa je preprosto prepozno, škoda storjena?

Oglejmo si, kaj puščanje Secure Boot pomeni za vas in vaše naprave.

Kaj je varen škorenj?

"Secure Boot pomaga zagotoviti, da se računalnik zažene samo z vdelano programsko opremo, ki ji zaupa proizvajalec."

Microsoftov varni zagon prispelo z Windows 8 in je zasnovan tako, da zlonamernim operaterjem prepreči nameščanje aplikacij Kaj je UEFI in kako vas ohranja bolj varno?Če ste pred kratkim zagnali računalnik, ste morda namesto BIOS-a opazili kratico "UEFI". Toda kaj je UEFI? Preberi več ali nepooblaščenih operacijskih sistemov med nalaganjem ali spreminjanjem med zagonom sistema. Ob prihodu so se pojavili pomisleki, da bi njegova uvedba močno omejila zmožnost dvojnih ali več zagonskih Microsoftovih sistemov. Na koncu je bilo to v glavnem neutemeljeno - ali pa so bili najdeni rešitvi.

Kot se zanaša Secure Boot specifikacija UEFI (enoten razširljiv vmesnik vdelane programske opreme) Kaj je UEFI in kako vas ohranja bolj varno?Če ste pred kratkim zagnali računalnik, ste morda namesto BIOS-a opazili kratico "UEFI". Toda kaj je UEFI? Preberi več za zagotavljanje osnovnih pripomočkov za šifriranje, preverjanje pristnosti omrežja in podpisovanje gonilnikov, ki sodobnim sistemom zagotavljajo drugo plast zaščite pred rootkiti in zlonamerno programsko opremo nizke ravni.

Windows 10 UEFI

Microsoft je želel povečati "zaščito", ki jo je ponudil UEFI v sistemu Windows 10.

Da bi to spodbudili, je Microsoft obvestil proizvajalce pred izdajo sistema Windows 10, da je odločitev za odstranitev možnost, da onemogočijo Secure Boot, je bila v njihovih rokah Ali Linux ne bo več delal na prihodnji strojni opremi sistema Windows 10?Varno zagon lahko prepreči zagon nekaterih Linux distrosov. Na prihajajočih napravah Windows 10 lahko proizvajalci odstranijo možnost izklopa varnega zagona. To bo vplivalo na Linux Mint in več drugih priljubljenih distros. Preberi več , s čimer učinkovito zaklenete operacijski sistem na tistega, s katerim je računalnik. Omeniti velja, da Microsoft te pobude (vsaj ne povsem javno) ni neposredno spodbudil, ampak kot Peter Bright pojasnjuje Ars Technica, spremembe obstoječih pravil UEFI pred datumom izdaje sistema Windows 10 so to omogočile:

"Če bi to stalo, si lahko zamislimo originalne gradbene stroje, ki ne bodo ponudili preprostega načina za zagon lastno vgrajeni operacijski sistemi ali pa res kateri koli operacijski sistem, ki nima ustreznega digitalnega podpisi. "

Čeprav je na voljo veliko namiznih in prenosnih računalnikov z odklenjenimi nastavitvami UEFI, bi to lahko izkazalo se je za še en kamen spotike za tiste, ki želijo poskusiti alternativo svojemu operacijskemu sistemu Windows sistem.

Še ena ovira za zagovornike Linuxa, ki bi jih lahko rešili... vzdih.

In zdaj je varen škorenj trajno odklenjen?

Stalno nisem tako prepričan. Toda zaenkrat je Secure Boot mogoče odkleniti. Tukaj se je zgodilo.

Varni čevelj je na smrtni postelji.

Napisanje prihaja jutri ali v sredo.

- drsnik / RoL (@ TheWack0lian) 8. avgust 2016

Vem, da mislim na tipko super-duper skeleta, ki odklene vsako ključavnico v celoti Microsoftov UEFI Secure Boot univerzum... vendar dejansko prihaja do pravil, ki ste jih podpisali sistem.

Varen škorenj onemogoči binarno puščanje. Kaj je bolj nadležno za Microsoft? https://t.co/n0fGr7pwdo

- Mitske zveri (@Mythic_Beasts) 10. avgusta 2016

Secure Boot deluje v tandemu z določenimi pravilniki, prebran in v celoti poslušal upravitelja zagona Windows Kako rešiti večino težav z zagonom WindowsSe vaš računalnik z Windows ne zažene? To je lahko zaradi napake v strojni, programski opremi ali strojni opremi. Tu je opisano, kako diagnosticirati in odpraviti te težave. Preberi več . Pravilniki svetujejo upravitelju zagona, naj bo zaščiten zagonski sistem omogočen. Vendar je Microsoft ustvaril eno politiko, zasnovano tako, da razvijalcem omogoča preizkušanje zgradb operacijskega sistema, ne da bi morali digitalno podpisovati vsako različico. To učinkovito prekorači varno zagonsko sistem in onemogoči zgodnje preverjanje sistema med postopkom zagona. Varnostni raziskovalci, MY123 in Slipstream, dokumentiral svoje ugotovitve (na res razveseljivi spletni strani):

»Med razvojem sistema Windows 10 v1607 'Redstone' je MS dodal novo vrsto varne zagonske politike. Namreč, "dopolnilne" politike, ki se nahajajo v razdelku EFIESP (namesto v spremenljivki UEFI), imajo svoje nastavitve, združene v, odvisno od pogojev (in sicer, da obstaja tudi določena politika aktiviranja in že obstaja) naloženo).

Redstoneov bootmgr.efi najprej naloži »zapuščene« politike (in sicer politiko iz spremenljivk UEFI). V določenem času v redstone dev-ju ni izvedel nadaljnjih pregledov razen preverjanj podpisa / deviceID. (To se je zdaj spremenilo, a poglejte, kako je sprememba neumna) Po nalaganju »zapuščene« politike ali osnovne politike s particije EFIESP nato naloži, preveri in združi v dodatnih politikah.

Oglejte si težavo tukaj? Če ne, naj vam natančno in jasno povem. "Dopolnilna" politika vsebuje nove elemente za pogoje združitve. Bootmgr te pogoje (naenkrat) ne nadzoruje pri nalaganju zapuščenega pravilnika. In zagonski program win10 v1511 in starejših zagotovo ne ve o njih. Za te zagonske uporabnike je pravkar naložen popolnoma veljaven in podpisan pravilnik. "

Microsoft ne bere dobro branje. To dejansko pomeni, da je pravilnik za način odpravljanja napak zasnovan tako, da omogoča razvijalcem - in samo razvijalcem - možnost, da zavrnejo procese podpisovanja in so na voljo vsem, ki imajo maloprodajno različico sistema Windows 10. In da je ta politika pricurljala na internet.

Se spomnite iPhona San Bernardino?

"Lahko vidite ironijo. Tudi ironija v tej državi članici nam je dala nekaj lepih "zlatih ključev" (kot bi rekel FBI;), ki smo jih uporabili v ta namen :)

Glede FBI-ja: to berete? Če ste, potem je to popoln primer iz resničnega sveta, zakaj je vaša ideja o zakrivanju kriptosistemov z "varnim zlatim ključem" zelo slaba! Pametnejši ljudje od mene vam to govorijo že dolgo, zdi se, da imate prste v ušesih. Resno še ne razumete? Microsoft je uvedel sistem "varnega zlatega ključa". In zlati ključi so se sprostili iz MS neumnosti. Zdaj, kaj se zgodi, če vsem rečete, naj naredijo "varen zlati ključ"? Upajmo, da lahko dodate 2 + 2… "

Za tiste zagovornike šifriranja je bil to skrajni grenki trenutek, ki bo upal, da bo nekaj jasnosti potrebno tudi za organe pregona in vladne uradnike. Zlata ozadja bodo nikoli ostani skrita. Vedno jih bodo odkrili, ne glede na to, kakšna bo nepredvidena notranja ranljivost (Snowden razodetja Heroj ali zlikov? NSA moderira svoje stališče do SnowdenaŽvižgača Edward Snowden in NSA John DeLong sta se pojavila na sporedu za simpozij. Medtem ko ni bilo razprave, se zdi, da NSA ne postavlja več Snowdena kot izdajalca. Kaj se je spremenilo? Preberi več ) ali tistih, ki jih zanima tehnologija pokovanja in vlečenja ter njena osnovna koda.

Razmislite o telefonu iz San Bernardina ...

„Izredno spoštujemo strokovnjake pri FBI in verjamemo, da so njihovi nameni dobri. Do tega trenutka smo storili vse, kar je v naši moči in zakonu, da jim pomagamo. Zdaj pa nas je ameriška vlada prosila za nekaj, česar preprosto nimamo, in nekaj, kar se nam zdi preveč nevarno za ustvarjanje. Prosili so nas zgradite zakulisje za iPhone Kaj je najbolj varen mobilni operacijski sistem?Pri nas se borimo za naslov najbolj varnih mobilnih operacijskih sistemov: Android, BlackBerry, Ubuntu, Windows Phone in iOS. Kateri operacijski sistem se najbolje obvladuje proti spletnim napadom? Preberi več .”

Žoga počiva pri Microsoftu

Kot sem že omenil, to v resnici ne bi smelo predstavljati velikega varnostnega tveganja za vaše osebne naprave in Microsoft je izdal izjavo, s katero je opozoril na ustreznost varno puščanje prtljažnika:

„Tehnika zapora, opisana v poročilu raziskovalcev z dne 10. avgusta, ne velja za namizne ali poslovne računalniške sisteme. Za naprave ARM in RT potrebuje fizični dostop in skrbniške pravice in ne ogroža zaščite šifriranja. "

Tako kot to imajo je na hitro izdal Microsoftov varnostni bilten označeno kot »Pomembno«. S tem boste odpravili ranljivost, ko jo namestite. Vendar za namestitev različice Windows 10 brez nameščenega popravka ne bo potrebno veliko.

Zlati ključi

Na žalost to malo verjetno privede do nove zasnove naprav Microsoft, ki poganjajo Linux distros. Mislim, nekaj podjetnih posameznikov si bo vzelo čas za to, toda za večino posameznikov bo to preprosto še en varnostni utrip, ki jih je mimo.

Ne bi smelo

Brez dvoma o distrosih Linux na tabličnih računalnikih Microsoft je vsekakor eno. Toda širše posledice zlatega ključa, ki pušča v javno dobo in odklepa potencialno milijone naprav, je še ena.

Pred nekaj leti je The Washington Post zbral miting za "kompromis"O šifriranju, pri čemer predlagajo, da naj bi bili naši podatki očitno izven meja za hekerje, morda Google in Apple et al naj ima varen zlati ključ. V odlični kritiki natančno zakaj je to "zmoten, nevaren predlog,” Keybase soustvarjalec Christ Coyne povsem nazorno pojasnjuje, da "Iskreni, dobri ljudje so ogroženi kaj backdoor, ki obide njihova gesla. "

Vsi bi si morali prizadevati najvišjo možno raven osebne varnosti Začnite pravo leto z osebno revizijo varnostiČas je, da naredite načrte za novo leto, na primer, da zagotovite, da je vaša osebna varnost na novo. Tukaj je 10 korakov, ki jih morate posodobiti z uporabo računalnika, telefona ali tabličnega računalnika. Preberi več , ne zamišite, da bi jo oslabili ob prvi razpoložljivi priložnosti. Ker kot smo že večkrat videli, so ključi tipa super-duper skeleta volja končajo v napačnih rokah.

In ko to počnejo, vsi igramo nevarno igro reaktivne obrambe, ne glede na to, ali smo želeli ali ne.

Ali bi morala velika tehnološka podjetja v svojih storitvah ustvarjati zakulisje? Ali bi morale vladne agencije in druge službe razmišljati o svojem podjetju in se osredotočiti na ohranjanje varnosti?

Kreditna slika: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock