Mainos
Mitä voidaan ehdottomasti pitää kimaltelevana esimerkkinä tarkalleenmiksi kultaisia avaimia, jotka tarjoavat takaoven turvallisiksi palveluiksi, ei pitäisi olla, Microsoft vuotaa vahingossa pääavaimen niiden Secure Boot -järjestelmään.
Vuoto avaa mahdollisesti kaikki laitteet, joihin on asennettu Microsoft Secure Boot -tekniikka, ja poista niiden lukittu käyttöjärjestelmä tila, jonka avulla käyttäjät voivat asentaa omat käyttöjärjestelmänsä ja sovelluksensa Redmond-tekniikan nimeämien sijasta Behemoth.
Vuoto ei saisi vaarantaa laitteen turvallisuutta - teoriassa. Mutta se avaa linjat vaihtoehtoisille käyttöjärjestelmille ja muille sovelluksille, jotka aikaisemmin eivät olisi toimineet Secure Boot -järjestelmässä.
Kuinka Microsoft reagoi tähän? Yksinkertainen päivitys kunkin Secure Boot -avaimen muuttamiseksi? Vai onko yksinkertaisesti liian myöhäistä, vaurioita tehty?
Katsotaanpa hyvältä, mitä Secure Boot -vuoto tarkoittaa sinulle ja laitteillesi.
Mikä on turvallinen käynnistys?
"Suojattu käynnistys auttaa varmistamaan, että tietokoneesi käynnistyy vain valmistajan luotettavan laiteohjelmiston avulla"
Microsoft Secure Boot saapui Windows 8: n kanssa, ja on suunniteltu estämään haitallisia operaattoreita asentamasta sovelluksia Mikä on UEFI ja kuinka se pitää sinut turvallisempana?Jos olet käynnistänyt tietokoneesi äskettäin, olet ehkä huomannut lyhenteen "UEFI" BIOS: n sijaan. Mutta mikä on UEFI? Lue lisää tai luvattomia käyttöjärjestelmiä lataamasta tai tekemästä muutoksia järjestelmän käynnistyksen aikana. Saapuessaan oli huolta siitä, että sen käyttöönotto rajoittaisi vakavasti mahdollisuuksia kaksois- tai usean käynnistyksen Microsoft-järjestelmiin. Loppujen lopuksi tämä oli suurelta osin perusteetonta - tai ratkaisuja löytyi.
Koska Secure Boot luottaa UEFI (Unified Extensible Firmware Interface) -määritys Mikä on UEFI ja kuinka se pitää sinut turvallisempana?Jos olet käynnistänyt tietokoneesi äskettäin, olet ehkä huomannut lyhenteen "UEFI" BIOS: n sijaan. Mutta mikä on UEFI? Lue lisää tarjota perus salausominaisuudet, verkon todennus ja ajurien allekirjoittaminen tarjoamalla nykyaikaisille järjestelmille toisen suojakerroksen juurikomplekteilta ja matalan tason haittaohjelmilta.
Windows 10 UEFI
Microsoft halusi lisätä UEFI: n tarjoaman ”suojauksen” Windows 10: ssä.
Tämän eteenpäin Microsoft ilmoitti valmistajille ennen Windows 10: n julkaisua, että valinta poistaa Heidän käsissään oli mahdollisuus poistaa Secure Boot käytöstä Eikö Linux enää toimi tulevaisuuden Windows 10 -laitteissa?Suojattu käynnistys voi estää joitain Linux-distrostoja käynnistymästä. Tulevissa Windows 10 -laitteissa valmistajat voivat poistaa suojatun käynnistyksen käytöstä poistamisen. Tämä vaikuttaa Linux Mint -tuotteeseen ja moniin muihin suosittuihin distroihin. Lue lisää , lukitsee käyttöjärjestelmän tehokkaasti tietokoneen mukana tulevalle. On syytä huomata, että Microsoft ei ollut suoraan ajamassa tätä aloitetta (ainakaan ei kokonaan julkisesti), mutta kuten Ars Technican Peter Bright selittää, muutokset nykyisiin UEFI-sääntöihin ennen Windows 10: n julkaisupäivää tekivät tämän mahdolliseksi:
”Jos tämä seisoo, voimme harkita OEM-valmistajia, jotka rakentavat koneita, jotka eivät tarjoa helppoa tapaa käynnistää itse rakennetut käyttöjärjestelmät tai mikä tahansa käyttöjärjestelmä, jolla ei ole sopivaa digitaalista allekirjoitukset.”
Vaikka myytävänä on epäilemättä useita työasemia ja kannettavia tietokoneita, joissa on lukitsemattomat UEFI-asetukset, tämä voi osoittautuvat yhdeksi kompastuskiviä niille, jotka haluavat kokeilla vaihtoehtoa Windows-käyttöjärjestelmälleen järjestelmään.
Vielä yksi tie, jonka avulla Linux kannattaa kiertää... huokaus.
Ja nyt turvallinen käynnistys on pysyvästi auki?
Pysyvästi, en ole niin varma. Mutta toistaiseksi Secure Boot voidaan avata. Näin tapahtui.
Secure Boot on kuolemanvuoteellaan.
Kirjallisuus tulee huomenna tai keskiviikkona.
- liukasvirta / RoL (@ TheWack0lian) 8. elokuuta 2016
Tiedän, että olen viitannut super-duper-luustotyyppiseen avaimeen, joka avaa kaikki lukot kokonaisuudessaan Microsoft UEFI Secure Boot universe..., mutta tosiasiassa kysytään, mitkä käytännöt olet allekirjoittanut järjestelmään.
Suojattu käynnistyksen poistaminen binääristä vuotanut. Mikä on harmittavampi Microsoftille? https://t.co/n0fGr7pwdo
- myyttiset pedot (@Mythic_Beasts) 10. elokuuta 2016
Secure Boot toimii yhdessä tiettyjen käytäntöjen kanssa, lue ja kokonaan tottelee Windowsin käynnistyshallinta Kuinka ratkaista useimmat Windowsin käynnistysongelmatEikö Windows-tietokoneesi käynnisty? Se voi johtua laitteisto-, ohjelmisto- tai laiteohjelmavirheestä. Näin voit diagnosoida ja korjata nämä ongelmat. Lue lisää . Käytännöt neuvovat käynnistyspäällikköä pitämään suojattu käynnistys käytössä. Microsoft kuitenkin loi yhden käytännön, jonka avulla kehittäjät voivat testata käyttöjärjestelmän rakenteita joutumatta allekirjoittamaan digitaalisesti jokaista versiota. Tämä ohittaa tehokkaasti suojatun käynnistyksen, poistamalla järjestelmän varhaiset varmennukset käytöstä käynnistyksen aikana. Turvallisuustutkijat, MY123 ja imu, dokumentoinut havaintonsa (todella ihastuttavalla verkkosivustolla):
”Windows 10 v1607” Redstone ”-kehityksen aikana MS lisäsi uuden tyyppisen suojatun käynnistyskäytännön. Nimeltään ”täydentävät” käytännöt, jotka sijaitsevat EFIESP-osiossa (eikä UEFI-muuttujassa) ja joilla on asetukset sulautuivat olosuhteista riippuen (nimittäin siitä, että tietty "aktivointi" -käytäntö on myös olemassa, ja on ollut ladattu).
Redstonen bootmgr.efi lataa ensin ”vanhat” käytännöt (nimittäin käytäntö UEFI-muuttujista). Tietyn ajankohtana redstone dev -palvelussa se ei suorittanut muita tarkistuksia kuin allekirjoitus- / laiteID-tarkistuksia. (Tämä on nyt muuttunut, mutta katso miten muutos on tyhmää) Kun olet ladannut ”vanhan” käytännön tai kantakäytännön EFIESP-osiosta, se lataa, tarkistaa ja sulautuu lisäkäytäntöihin.
Katso asia täältä? Jos ei, anna minun selittää se sinulle selkeästi. "Täydentävä" politiikka sisältää uusia elementtejä sulautumisen ehdoille. Bootmgr ei tarkista näitä ehtoja (hyvin kerralla) latattaessa vanhaa käytäntöä. Ja käynnistysohjelma Win10 v1511: stä ja aikaisemmin ei todellakaan tiedä niistä. Niille bootmgereille se on juuri ladannut täydellisesti pätevän, allekirjoitetun käytännön. "
Se ei tee Microsoftille hyvää lukemista. Se tarkoittaa tosiasiallisesti virheenkorjaustavan käytäntöä, jonka avulla kehittäjät - ja vain kehittäjät - voivat hylätä allekirjoitusprosessit. Ja että tämä politiikka on vuotanut Internetiin.
Muistatko San Bernardinon iPhonen?
”Voit nähdä ironiaa. Myös ironia, että MS itse tarjosi meille useita mukavia “kultaisia avaimia” (kuten FBI sanoisi;) meille käytettäväksi tähän tarkoitukseen :)
Tietoja FBI: sta: luetko tätä? Jos olet, niin tämä on täydellinen reaalimaailman esimerkki siitä, miksi ajatuksesi kryptojärjestelmien takaovesta "turvallisella kultaisella avaimella" on erittäin huono! Minusta viisaammat ihmiset ovat kertoneet sinulle niin kauan, näyttää siltä, että sormesi ovat korvissa. Etkö todellakaan ymmärrä vieläkään? Microsoft otti käyttöön ”suojatun kultaisen avaimen” järjestelmän. Ja kultaiset avaimet vapautettiin MS: n omasta tyhmyydestä. Mitä tapahtuu, jos käsket kaikkia tekemään ”turvallisen kultaisen avaimen” järjestelmän? Toivottavasti voit lisätä 2 + 2… ”
Niille salauksen puolestapuhujille tämä on ollut katkerakarvainen hetki, joka toivottavasti tarjoaa tarvittavaa selkeyttä lainvalvontaviranomaisille ja hallituksen virkamiehille. Kultainen takaovi tulee ei milloinkaan pysy piilossa. Ne havaitaan aina, odottamattoman sisäisen haavoittuvuuden vuoksi (Snowden-ilmoitukset Sankari tai konna? NSA säätelee kantaansa SnowdenissaIlmoittaja Edward Snowden ja NSA: n John DeLong esiintyivät symposiumin aikataulussa. Vaikka keskustelua ei käyty, näyttää siltä, että NSA ei enää maalaa Snowdenia petturiksi. Mitä muuttui? Lue lisää ) tai niille, jotka ovat kiinnostuneita niputtamisesta ja vetämisestä tekniikkaan ja sen taustalla olevaan koodiin toisistaan.
Ajattele San Bernardinon iPhonea ...
”Me kunnioitamme FBI: n ammattilaisia ja uskomme heidän aikomuksensa olevan hyvät. Tähän saakka olemme tehneet kaikkea, mikä on sekä valtamme että lain rajoissa auttaaksemme heitä. Mutta nyt Yhdysvaltain hallitus on pyytänyt meiltä jotain, mitä meillä yksinkertaisesti ei ole, ja jotain, jota pidämme liian vaarallisena luoda. He ovat pyytäneet meitä rakentaa takaovi iPhoneen Mikä on turvallisin mobiili käyttöjärjestelmä?Taistelee Eniten suojattu mobiili-OS-tittelistä, meillä on: Android, BlackBerry, Ubuntu, Windows Phone ja iOS. Mikä käyttöjärjestelmä pystyy parhaiten pitämään omansa verkkohyökkäyksiä vastaan? Lue lisää .”
Pallo lepää Microsoftilla
Kuten mainitsin, tämän ei pitäisi oikeastaan aiheuttaa suuria tietoturvariskejä henkilökohtaisille laitteillesi, ja Microsoft julkaisi lausunnon, joka osoittaa, että Secure Boot -vuoto:
”Tutkijoiden 10. elokuuta päivätyssä raportissa kuvattua jailbreak-tekniikkaa ei sovelleta pöytätietokoneisiin tai yritystietokoneisiin. Se vaatii fyysisen pääsyn ja järjestelmänvalvojan oikeudet ARM- ja RT-laitteisiin eikä vaaranna salaussuojauksia. "
Tämän lisäksi heillä on on kiireellisesti julkaissut Microsoftin tietoturvatiedotteen nimetty ”Tärkeä”. Tämä ratkaisee haavoittuvuuden asennettuna. Windows 10 -version asentaminen ei kuitenkaan vie paljon, ilman että korjaustiedostoa on asennettu.
Kultaiset avaimet
Valitettavasti tämä ei todennäköisesti johda uuteen Microsoftin laitteiden, jotka käyttävät Linux-distroita, uuteen lopputulokseen. Tarkoitan, että jotkut yrittäjähenkilöt kokeilevat aikaa, mutta suurimmalle osalle tämä on yksinkertaisesti uusi tietoturva, joka ohitti heidät.
Sen ei pitäisi olla.
Yksi asia on varmasti se, ettet tiedä Linux-distrosta Microsoftin tableteilla. Mutta toinen asia on julkisen alueen vuotamisen kultaisen avaimen laajemmat vaikutukset mahdollisesti miljoonien laitteiden lukituksen avaamiseen.
Pari vuotta sitten The Washington Post kehotti kutsua "vaarantaa”Ehdottaen, että vaikka tietomme olisi tietysti rajojen ulkopuolella hakkereille, ehkä Googlelle ja Applelle et ai pitäisi olla turvallinen kultainen avain. Erinomaisessa kritiikissä juuri sille, miksi tämä on “väärä, vaarallinen ehdotus,” Keybase luoja Christ Coyne selittää melko selvästi, että ”rehelliset, hyvät ihmiset ovat uhanalaisia minkä tahansa takaoven, joka ohittaa heidän omat salasanansa. ”
Meidän kaikkien pitäisi pyrkiä henkilökohtaisen turvallisuuden mahdollinen mahdollinen taso Aloita vuosi pois oikealta henkilökohtaisella turvallisuustarkastuksellaOn aika suunnitella uutta vuotta, esimerkiksi varmistaa, että henkilökohtainen turvallisuuttasi on tyhjästä. Tässä on 10 vaihetta, jotka sinun on suoritettava päivittääksesi kaiken tietokoneella, puhelimella tai tablet-laitteella. Lue lisää , ei ole tarkoitus heikentää sitä ensimmäisessä mahdollisessa mahdollisuudessa. Koska kuten olemme nähneet useaan otteeseen, nuo super-duper-luustotyyppiset avaimet tahtoa päätyä vääräihin käsiin.
Ja kun he tekevät, me kaikki pelaamme vaarallista reaktiivisen puolustuksen peliä, halusimmepa vai ei.
Pitäisikö suurten teknologiayritysten luoda takaovia palveluihinsa? Vai pitäisikö valtion virastojen ja muiden palvelujen harkita omaa yritystään ja keskittyä turvallisuuden ylläpitämiseen?
Kuvahyvitys: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock
Gavin on MUO: n vanhempi kirjoittaja. Hän on myös toimittaja ja SEO Manager MakeUseOfin salaustekniselle sisaryritykselle Blocks Decoded. Hänellä on nykyaikainen BA (Hons) -kirjallisuus digitaalisen taiteen käytännöllä, joka on repiä Devonin kukkuloilta, sekä yli kymmenen vuoden ammattikirjoittamisen kokemus. Hän nauttii runsasta määrää teetä.
