Kas jums jāzina par Windows 10 drošām sāknēšanas taustiņiem

Reklāma

To, ko absolūti var uzskatīt par mirdzošu piemēru tieši tākāpēc zelta taustiņiem, kas piedāvā drošu pakalpojumu sienu, nevajadzētu pastāvēt, Microsoft nejauši noplūda galveno atslēgu viņu drošās sāknēšanas sistēmā.

Noplūde potenciāli atslēdz visas ierīces, kurās ir instalēta tehnoloģija Microsoft Secure Boot, noņemot to bloķēto operētājsistēmu statuss, ļaujot lietotājiem instalēt savas operētājsistēmas un lietojumprogrammas to vietā, kuras apzīmē tehnoloģija Redmond behemots.

Noplūde teorētiski nedrīkstētu apdraudēt jūsu ierīces drošību. Bet tas atvērs līnijas alternatīvām operētājsistēmām un citām lietojumprogrammām, kurām iepriekš nebūtu izdevies darboties drošās sāknēšanas sistēmā.

Kā Microsoft uz to reaģēs? Vienkāršs atjauninājums, lai mainītu katru Secure Boot bāzes atslēgu? Vai arī vienkārši ir par vēlu, ir nodarīts kaitējums?

Apskatīsim drošās sāknēšanas noplūdi jums un jūsu ierīcēm.

Kas ir droša sāknēšana?

“Droša sāknēšana palīdz pārliecināties, ka jūsu datora sāknēšana notiek, izmantojot tikai ražotāja uzticamu programmaparatūru”.

Microsoft drošā sāknēšana ieradās ar Windows 8, un ir kas paredzēts, lai ļaunprātīgi operatori neinstalētu programmas Kas ir UEFI un kā tas jūs drošāk aizsargā?Ja nesen esat sāknējis datoru, iespējams, BIOS vietā pamanījāt saīsinājumu "UEFI". Bet kas ir UEFI? Lasīt vairāk vai jebkuras neatļautas operētājsistēmas nevar ielādēt vai veikt izmaiņas sistēmas palaišanas laikā. Kad tas ieradās, radās bažas, ka tā ieviešana nopietni ierobežos iespēju divkāršot vai multi-boot Microsoft sistēmām. Galu galā tas lielā mērā nebija pamatots - vai arī tika atrasti risinājumi.

Tā kā droša sāknēšana paļaujas UEFI (vienotā paplašināmā programmaparatūras saskarne) specifikāciju Kas ir UEFI un kā tas jūs drošāk aizsargā?Ja nesen esat sāknējis datoru, iespējams, BIOS vietā pamanījāt saīsinājumu "UEFI". Bet kas ir UEFI? Lasīt vairāk nodrošināt pamata šifrēšanas iespējas, tīkla autentifikāciju un draivera parakstīšanu, nodrošinot mūsdienu sistēmas ar vēl vienu aizsardzības līmeni no rootkit un zema līmeņa ļaunprātīgas programmatūras.

Windows 10 UEFI

Microsoft vēlējās paaugstināt UEFI piedāvāto “aizsardzību” operētājsistēmā Windows 10.

Lai to panāktu, Microsoft pirms Windows 10 izlaišanas informēja ražotājus, ka izvēle noņemt Viņu rokās bija iespēja atspējot drošo sāknēšanu Vai Linux vairs nedarbosies ar nākotnes Windows 10 aparatūru?Droša sāknēšana var neļaut ielādēt dažus Linux distros. Gaidāmajās Windows 10 ierīcēs ražotāji var noņemt iespēju izslēgt drošo sāknēšanu. Tas ietekmēs Linux Mint un vairākus citus populāros distros. Lasīt vairāk , efektīvi bloķējot operētājsistēmu tādai, ar kuru nāk dators. Ir vērts atzīmēt, ka Microsoft tieši neveicināja šo iniciatīvu (vismaz ne pilnībā publiski), bet gan kā Izskaidro Ars Technica Pēteris Braits, izmaiņas esošajos UEFI noteikumos pirms Windows 10 izlaišanas datuma padarīja iespējamu:

“Ja tas atrodas, mēs varam paredzēt oriģinālo iekārtu ražotājus, kas būvē mašīnas, kuras nepiedāvā vienkāršu palaišanas veidu pašu veidotas operētājsistēmas vai jebkura operētājsistēma, kurai nav atbilstošas ​​digitālās paraksti. ”

Lai gan, bez šaubām, pārdošanā ir daudz galddatoru un klēpjdatoru ar atbloķētiem UEFI iestatījumiem, tas varētu izrādīties vēl viens klupšanas akmens tiem, kas vēlas izmēģināt alternatīvu viņu Windows operētājsistēmai sistēma.

Vēl viens ceļš, lai Linux aizstātos... nopūta.

Un tagad droša sāknēšana tiek neatgriezeniski atslēgta?

Pastāvīgi es neesmu tik pārliecināts. Bet pagaidām Secure Boot var atbloķēt. Lūk, kas notika.

Secure Boot atrodas uz nāves gultas.

Izrakstīšanās notiks rīt vai trešdien.

- slīd straume / RoL (@ TheWack0lian) 2016. gada 8. augusts

Es zinu, ka es runāju par super-duper skeleta tipa atslēgu, kas atslēdz katru atsevišķu slēdzeni Microsoft UEFI Secure Boot universe... bet faktiski ir atkarīgs no tā, kuras politikas esat parakstījis sistēma.

Droša sāknēšanas atspējošana binārā noplūda. Kas kaitina Microsoft? https://t.co/n0fGr7pwdo

- mītiskie zvēri (@Mythic_Beasts) 2016. gada 10. augusts

Droša sāknēšana darbojas kopā ar noteiktām politikām, lasot un pilnībā pakļaujas Windows sāknēšanas pārvaldniekam Kā atrisināt lielāko daļu Windows sāknēšanas problēmuVai jūsu Windows dators netiek sāknēts? Varbūt aparatūras, programmatūras vai programmaparatūras kļūdas dēļ. Tālāk ir aprakstīts, kā diagnosticēt un novērst šīs problēmas. Lasīt vairāk . Politikas iesaka sāknēšanas pārvaldniekam saglabāt iespējotu drošo sāknēšanu. Tomēr Microsoft izveidoja vienu politiku, kas izstrādāta, lai izstrādātāji varētu pārbaudīt operētājsistēmas versijas, bez katras versijas digitālas parakstīšanas. Tas efektīvi atceļ drošo sāknēšanu, atspējojot agrīnas sistēmas pārbaudes palaišanas procesa laikā. Drošības pētnieki, MY123 un Slipstream, dokumentēja savus atradumus (patiešām apburošā vietnē):

“Windows 10 v1607“ Redstone ”izstrādes laikā MS pievienoja jauna veida drošas sāknēšanas politiku. Proti, “papildu” politikas, kas atrodas EFIESP nodalījumā (nevis UEFI mainīgajā), un iestatījumi apvienojās atkarībā no apstākļiem (proti, ka pastāv arī noteikta “aktivizēšanas” politika) iekrauts).

Redstone's bootmgr.efi vispirms ielādē “mantotās” politikas (proti, politiku no UEFI mainīgajiem). Noteiktā laikā redstone dev versijā tā vairs nedarīja nekādas citas pārbaudes, izņemot paraksta / deviceID pārbaudes. (Tagad tas ir mainījies, bet redziet, cik izmaiņas ir muļķīgas.) Pēc “mantojuma” politikas vai bāzes politikas ielādēšanas no EFIESP nodalījuma, tā pēc tam ielādē, pārbauda un apvienojas papildu politikās.

Skatīt šo jautājumu šeit? Ja nē, ļaujiet man to jums skaidri pateikt. “Papildu” politikā ir jauni elementi apvienošanās nosacījumiem. Ielādējot mantoto politiku, šos nosacījumus (labi, ka vienā reizē) nav pārbaudījis. Un Win10 v1511 sāknēšanas programma, kā arī agrāk, par tām noteikti nezina. Tiem bootmgrs tas tikko ir ielādēts pilnīgi derīgā, parakstītā politikā. ”

Tas nerada labu lasījumu Microsoft. Tas faktiski nozīmē atkļūdošanas režīma politiku, kas izstrādāta tā, lai izstrādātājiem - un tikai izstrādātājiem - būtu iespēja noliegt parakstīšanas procesus, un tas ir pieejams ikvienam, kam ir Windows 10 mazumtirdzniecības versija. Un ka šī politika ir izplatījusies internetā.

Vai atceries San Bernardino iPhone?

“Var redzēt ironiju. Arī ironija, ka pašas dalībvalstis mums sniedza vairākas jaukas “zelta atslēgas” (kā teiktu FBI;), kuras mēs varētu izmantot šim mērķim :)

Par FBI: vai jūs lasāt šo? Ja jūs esat, tad šis ir ideāls reālās pasaules piemērs tam, kāpēc jūsu ideja par kriptosistēmas aizvēršanu ar “drošu zelta atslēgu” ir ļoti slikta! Gudrāki cilvēki nekā es jums to esmu teikuši tik ilgi, šķiet, ka jums ir pirksti ausīs. Jūs nopietni joprojām nesaprotat? Microsoft ieviesa “drošas zelta atslēgas” sistēmu. Un zelta atslēgas atbrīvoja no pašu stulbuma. Tagad, kas notiek, ja jūs sakāt visiem izveidot “drošas zelta atslēgas” sistēmu? Cerams, ka varēsit pievienot 2 + 2... ”

Šiem šifrēšanas aizstāvjiem tas ir bijis ļoti rūgts brīdis, kas, cerams, sniegs vajadzīgo skaidrību gan tiesībaizsardzības aģentūrām, gan valdības amatpersonām. Zelta aizmugurē būs nekad paliec paslēpts. Tās vienmēr tiks atklātas, neparedzētas iekšējas ievainojamības dēļ (Snowden atklāsmes Varonis vai nelietis? NSA moderē savu nostāju pret SnowdenZiņotājs Edvards Snowdens un NVD Džons DeLongs parādījās simpozija grafikā. Kamēr nenotika debates, šķiet, ka NSA vairs nekrāso Snowdenu kā nodevēju. Kas ir mainījies? Lasīt vairāk ) vai tos, kurus interesē tehnoloģiju un tās pamatā esošā koda vilkšana un vilkšana.

Apsveriet San Bernardino iPhone ...

“Mums ir liela cieņa pret FIB profesionāļiem, un mēs uzskatām, ka viņu nodomi ir labi. Līdz šim mēs esam darījuši visu, kas ir mūsu spēkos un likumos, lai viņiem palīdzētu. Bet tagad ASV valdība mums ir lūgusi kaut ko tādu, kas mums vienkārši nav, un kaut ko tādu, ko mēs uzskatām par pārāk bīstamu, lai radītu. Viņi mums to ir lūguši izveidot iPhone aizmugurējās durvis Kāda ir visdrošākā mobilā operētājsistēma?Cīņas par visdrošākās mobilās OS titulu mums ir: Android, BlackBerry, Ubuntu, Windows Phone un iOS. Kura operētājsistēma vislabāk izturas pret tiešsaistes uzbrukumiem? Lasīt vairāk .”

Bumba gulstas uz Microsoft

Kā jau minēju, tam nevajadzētu patiesībā radīt ievērojamu drošības risku jūsu personīgajām ierīcēm, un Microsoft izlaida paziņojumu, kurā tika apšaubīta drošas sāknēšanas noplūde:

“Ieslodzījuma paņēmiens, kas aprakstīts pētnieku 10. augusta ziņojumā, neattiecas uz galddatoru vai uzņēmuma personālo datoru sistēmām. Tas prasa fizisku piekļuvi un administratora tiesības ARM un RT ierīcēm un neapdraud šifrēšanas aizsardzību. ”

Kā arī viņiem tas ir steigšus izlaida Microsoft drošības biļetenu apzīmēts kā “Svarīgs”. Pēc instalēšanas tā novērsīs ievainojamību. Tomēr Windows 10 versijas instalēšana neaizņems daudz, ja nav ieviests ielāps.

Zelta atslēgas

Diemžēl maz ticams, ka tas izraisīs jaunu Microsoft ierīču pārrāvumu, kurās darbojas Linux distros. Es domāju, ka būs dažas uzņēmīgas personas, kuras pārbaudīs laiku, bet lielākajai daļai cilvēku tas vienkārši būs vēl viens drošības paziņojums, kas viņus izturēja.

Tā nevajadzētu.

Nepārprotama nav Linux distros parādīšana Microsoft planšetdatoros. Bet vēl viena ir plašāka zelta atslēgas noplūde publiskajā telpā, lai atbloķētu potenciāli miljoniem ierīču.

Pirms pāris gadiem The Washington Post izteica aicinājumu “kompromiss”Par šifrēšanu, ierosinot, ka, lai arī mūsu datiem acīmredzami jābūt neierobežotiem hakeriem, iespējams, Google un Apple un citi jābūt drošai zelta atslēgai. Lieliski kritizējot tieši to, kāpēc šis ir “kļūdains, bīstams priekšlikums,” Keybase līdzdibinātājs Krists Coins diezgan skaidri paskaidro, ka “godīgus, labus cilvēkus apdraud jebkura sētas durvis, kas apiet viņu pašu paroles. ”

Mums visiem vajadzētu tiekties maksimālais iespējamais personiskās drošības līmenis Sāciet gadu pa labi tieši ar personīgās drošības audituIr pienācis laiks sagatavot jaunā gada plānus, piemēram, nodrošināt personiskās drošības ievērošanu. Šeit ir 10 soļi, kas jums jāveic, lai atjauninātu visu, izmantojot datoru, tālruni vai planšetdatoru. Lasīt vairāk , necieniet to vājināt pie pirmās pieejamās iespējas. Tā kā mēs esam redzējuši vairākkārt, šīs super-duper skeleta tipa atslēgas būs nonākt nepareizās rokās.

Kad viņi to dara, mēs visi spēlējam bīstamu reaktīvās aizsardzības spēli neatkarīgi no tā, vai mēs gribējām vai ne.

Vai lielākajām tehnoloģiju kompānijām būtu jārada savs pakalpojums aizmugurē? Vai arī valsts aģentūrām un citiem dienestiem vajadzētu domāt par savu biznesu un koncentrēties uz drošības uzturēšanu?

Attēla kredīts: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock