Cosa devi sapere sulle chiavi di avvio sicuro di Windows 10

Annuncio pubblicitario

In quello che potrebbe essere assolutamente considerato un brillante esempio di Esattamenteperché le chiavi d'oro che offrono una backdoor in servizi sicuri non dovrebbero esistere, Microsoft ha trapelato accidentalmente la chiave principale al loro sistema di avvio sicuro.

La perdita potenzialmente sblocca tutti i dispositivi con la tecnologia Microsoft Secure Boot installata, eliminando il loro sistema operativo bloccato lo stato, consentendo agli utenti di installare i propri sistemi operativi e applicazioni al posto di quelli designati dalla tecnologia Redmond Behemoth.

La perdita non dovrebbe compromettere la sicurezza del tuo dispositivo, in teoria. Ma aprirà le linee per sistemi operativi alternativi e altre applicazioni che in precedenza non avrebbero funzionato su un sistema Secure Boot.

Come risponderà Microsoft a questo? Un semplice aggiornamento per modificare ogni chiave di base di avvio sicuro? O è semplicemente troppo tardi, danno fatto?

Diamo un'occhiata al significato della perdita di Secure Boot per te e i tuoi dispositivi.

Cos'è Secure Boot?

"Avvio protetto aiuta ad assicurarsi che il PC si avvii solo utilizzando un firmware considerato affidabile dal produttore"

Avvio protetto Microsoft arrivato con Windows 8, ed è progettato per impedire agli operatori malintenzionati di installare applicazioni Cos'è UEFI e come ti mantiene più sicuro?Se hai avviato di recente il tuo PC potresti aver notato l'acronimo "UEFI" anziché BIOS. Ma cos'è UEFI? Leggi di più o qualsiasi sistema operativo non autorizzato dal caricamento o dall'esecuzione di modifiche durante il processo di avvio del sistema. Quando è arrivato, c'erano dubbi sul fatto che la sua introduzione avrebbe fortemente limitato la possibilità di sistemi Microsoft dual o multi-boot. Alla fine, questo era in gran parte infondato - o trovate soluzioni alternative.

Come si basa Secure Boot la specifica UEFI (Unified Extensible Firmware Interface) Cos'è UEFI e come ti mantiene più sicuro?Se hai avviato di recente il tuo PC potresti aver notato l'acronimo "UEFI" anziché BIOS. Ma cos'è UEFI? Leggi di più fornire funzionalità di crittografia di base, autenticazione di rete e firma dei driver, fornendo ai sistemi moderni un ulteriore livello di protezione da rootkit e malware di basso livello.

Windows 10 UEFI

Microsoft voleva aumentare la "protezione" offerta da UEFI in Windows 10.

Per farcela, Microsoft ha informato i produttori prima del rilascio di Windows 10 che la scelta di rimuovere il file l'opzione per disabilitare Secure Boot era nelle loro mani Linux non funzionerà più su hardware Windows 10 futuro?Secure Boot può impedire l'avvio di alcune distro Linux. Sui prossimi dispositivi Windows 10, i produttori possono rimuovere l'opzione per disattivare l'avvio protetto. Ciò influenzerà Linux Mint e molte altre distro popolari. Leggi di più , bloccando efficacemente il sistema operativo con quello con cui arriva un computer. Vale la pena notare che Microsoft non stava spingendo direttamente questa iniziativa (almeno non del tutto pubblicamente), ma come Spiega Peter Bright di Ars Technica, le modifiche alle regole UEFI esistenti prima della data di rilascio di Windows 10 hanno reso possibile questo:

“In questo caso, possiamo prevedere macchine costruttrici OEM che non offriranno un modo semplice per l'avvio sistemi operativi autocostruiti o, in effetti, qualsiasi sistema operativo che non disponga di un digitale adeguato firme “.

Mentre ci sono indubbiamente numerosi desktop e laptop in vendita con impostazioni UEFI sbloccate, questo potrebbe dimostrano di essere un altro ostacolo per coloro che desiderano provare un'alternativa al loro funzionamento di Windows sistema.

Ancora un altro blocco per i sostenitori di Linux per aggirare... sospiro.

E ora l'avvio sicuro è sbloccato in modo permanente?

Per sempre, non ne sono così sicuro. Ma nel frattempo, Secure Boot può essere sbloccato. Ecco cosa è successo.

Secure Boot è sul letto di morte.

Scrittura in arrivo domani o mercoledì.

- slipstream / RoL (@ TheWack0lian) 8 agosto 2016

So che mi riferivo a una chiave di tipo scheletro super-duper che sblocca ogni singolo blocco dell'intero Universo Microsoft UEFI Secure Boot... ma in realtà si riduce a quali criteri hai firmato sistema.

L'avvio protetto disabilita il binario trapelato. Cosa c'è di più fastidioso per Microsoft? https://t.co/n0fGr7pwdo

- Animali mitici (@Mythic_Beasts) 10 agosto 2016

Secure Boot funziona in tandem con determinati criteri, letti e completamente obbedito dal gestore di avvio di Windows Come risolvere la maggior parte dei problemi di avvio di WindowsIl tuo computer Windows non si avvia? Potrebbe essere a causa di un errore hardware, software o firmware. Ecco come diagnosticare e risolvere questi problemi. Leggi di più . I criteri consigliano al gestore di avvio di mantenere abilitato l'avvio protetto. Tuttavia, Microsoft ha creato un criterio progettato per consentire agli sviluppatori di testare le build del sistema operativo senza dover firmare digitalmente ogni versione. Ciò ha la precedenza su Secure Boot, disabilitando i controlli di sistema anticipati durante il processo di avvio. I ricercatori della sicurezza, MY123 e risucchio, documentato i loro risultati (su un sito Web davvero delizioso):

"Durante lo sviluppo di Windows 10 v1607" Redstone ", MS ha aggiunto un nuovo tipo di criterio di avvio sicuro. Vale a dire, le politiche "supplementari" che si trovano nella partizione EFIESP (anziché in una variabile UEFI) e hanno il loro le impostazioni si sono fuse, a seconda delle condizioni (vale a dire che esiste anche una certa politica di "attivazione", ed è stata caricato in).

Il bootmgr.efi di Redstone carica prima le politiche "legacy" (vale a dire, una politica dalle variabili UEFI). A un certo momento nel redstone dev, non ha fatto ulteriori controlli oltre ai controlli firma / ID dispositivo. (Questo è ora cambiato, ma guarda come la modifica è stupida) Dopo aver caricato la politica "legacy", o una politica di base dalla partizione EFIESP, carica, controlla e unisce le politiche supplementari.

Vedi il problema qui? Altrimenti, lascia che ti spieghi chiaramente e chiaramente. La politica "supplementare" contiene nuovi elementi, per le condizioni di fusione. Queste condizioni sono (bene, una volta) deselezionate da bootmgr quando si carica una politica legacy. E bootmgr di win10 v1511 e precedenti sicuramente non li conosce. Per quei bootmgr, ha appena caricato una politica perfettamente valida e firmata. "

Non è una buona lettura per Microsoft. Significa effettivamente che la politica in modalità debug progettata per consentire agli sviluppatori - e solo agli sviluppatori - la possibilità di negare i processi di firma è aperta a chiunque disponga di una versione al dettaglio di Windows 10. E quella politica è trapelata su Internet.

Ricordi l'iPhone di San Bernardino?

“Puoi vedere l'ironia. Anche l'ironia in quella stessa SM ci ha fornito diverse belle "chiavi d'oro" (come direbbe l'FBI;) da usare a tale scopo :)

A proposito dell'FBI: stai leggendo questo? Se lo sei, allora questo è un perfetto esempio del mondo reale sul perché la tua idea di backdoor di cryptosystems con una "chiave d'oro sicura" è pessima! Le persone più intelligenti di me te lo hanno detto per così tanto tempo, sembra che tu abbia le dita nelle orecchie. Davvero non capisci ancora? Microsoft ha implementato un sistema di "chiave d'oro sicura". E le chiavi d'oro sono state rilasciate dalla stessa stupidità della SM. Ora, cosa succede se dici a tutti di creare un sistema di "chiave d'oro sicura"? Spero che tu possa aggiungere 2 + 2... "

Per i sostenitori della crittografia, questo è stato un momento estremamente agrodolce che, si spera, fornirà una chiarezza necessaria per le forze dell'ordine e i funzionari governativi. Le backdoor dorate lo faranno mai stai nascosto. Saranno sempre scoperti, sia attraverso una vulnerabilità interna imprevista (Rivelazioni di Snowden Eroe o cattivo? La NSA modera la sua posizione su SnowdenL'informatore Edward Snowden e John DeLong dell'NSA sono apparsi sul programma per un simposio. Sebbene non vi sia stato alcun dibattito, sembra che la NSA non dipinga più Snowden come un traditore. Che cosa è cambiato? Leggi di più ) o da coloro che sono interessati alla ricerca e alla separazione della tecnologia e del suo codice sottostante.

Considera l'iPhone di San Bernardino ...

“Abbiamo un grande rispetto per i professionisti dell'FBI e crediamo che le loro intenzioni siano buone. Fino a questo punto, abbiamo fatto tutto ciò che è in nostro potere e all'interno della legge per aiutarli. Ma ora il governo degli Stati Uniti ci ha chiesto qualcosa che semplicemente non abbiamo e qualcosa che consideriamo troppo pericoloso per creare. Ci hanno chiesto di farlo costruire una backdoor per l'iPhone Qual è il sistema operativo mobile più sicuro?In lotta per il titolo del sistema operativo mobile più sicuro, abbiamo: Android, BlackBerry, Ubuntu, Windows Phone e iOS. Quale sistema operativo è il migliore per contrastare gli attacchi online? Leggi di più .”

La palla si riposa con Microsoft

Come ho già detto, questo non dovrebbe comportare un grosso rischio per la sicurezza dei tuoi dispositivi personali e Microsoft ha rilasciato una dichiarazione che minimizza la pertinenza di la perdita di avvio sicuro:

"La tecnica di jailbreak descritta nel rapporto dei ricercatori del 10 agosto non si applica ai sistemi desktop o PC aziendali. Richiede l'accesso fisico e i diritti di amministratore per i dispositivi ARM e RT e non compromette le protezioni di crittografia. "

Oltre a questo, hanno affrettatamente rilasciato un Bollettino Microsoft sulla sicurezza designato "Importante". Ciò risolverà la vulnerabilità una volta installata. Tuttavia, non ci vorrà molto per installare una versione di Windows 10 senza la patch implementata.

Tasti d'oro

Sfortunatamente, è improbabile che ciò comporti un nuovo eccesso di dispositivi Microsoft che eseguono distribuzioni Linux. Voglio dire, ci saranno alcuni individui intraprendenti che si prenderanno il tempo per testarlo, ma per la maggior parte degli individui, questo sarà semplicemente un altro salto di sicurezza che li ha superati.

Non dovrebbe.

Non fregarsene delle distribuzioni Linux sui tablet Microsoft è una cosa, certo. Ma le implicazioni più ampie di una chiave d'oro che perde nel pubblico dominio per sbloccare potenzialmente milioni di dispositivi è un'altra.

Un paio di anni fa, il Washington Post ha lanciato una chiamata di rally per "compromesso"Sulla crittografia, proponendo che mentre i nostri dati dovrebbero ovviamente essere off-limits per gli hacker, forse Google e Apple et al dovrebbe avere una chiave d'oro sicura. In una critica eccellente del perché esattamente questo è un "proposta sbagliata, pericolosa,” Keybase il co-creatore Christ Coyne spiega chiaramente che “le persone oneste e buone sono in pericolo qualunque backdoor che ignora le proprie password. "

Dovremmo tutti lottare per il massimo livello di sicurezza personale possibile Inizia l'anno nel modo giusto con un audit di sicurezza personaleÈ tempo di fare piani per il nuovo anno, ad esempio per garantire che la tua sicurezza personale sia all'altezza. Ecco 10 passaggi da eseguire per aggiornare tutto utilizzando il PC, il telefono o il tablet. Leggi di più , non degnarsi di indebolirlo alla prima occasione disponibile. Perché, come abbiamo visto in più occasioni, quelle chiavi di tipo scheletro super-duper volontà finire nelle mani sbagliate.

E quando lo fanno, stiamo tutti giocando a un pericoloso gioco di difesa reattiva, che lo desideriamo o no.

Le principali aziende tecnologiche dovrebbero creare backdoor nei loro servizi? O le agenzie governative e altri servizi dovrebbero occuparsi delle proprie attività e concentrarsi sul mantenimento della sicurezza?

Credito di immagine: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock