Che cosa è necessario sapere su Windows 10 Secure Boot Keys

In quello che potrebbe essere assolutamente considerato un esempio brillante di Esattamente perché le chiavi d'oro che offrono una backdoor in servizi sicuri non dovrebbero esistere, Microsoft ha trapelato casualmente la chiave master nel loro sistema Secure Boot.

La perdita potenzialmente sblocca tutti i dispositivi con la tecnologia Microsoft Secure Boot installata, mettendo a nudo lo stato del sistema operativo bloccato, consentendo agli utenti di installare i propri sistemi operativi e applicazioni al posto di quelli designati dalla tecnologia di Redmond Behemoth.

La perdita non dovrebbe compromettere la sicurezza del dispositivo, in teoria. Ma aprirà le linee per sistemi operativi alternativi e altre applicazioni che in precedenza non avrebbero funzionato su un sistema Secure Boot.

Come reagirà Microsoft a questo? Un semplice aggiornamento per modificare ciascuna chiave di base Secure Boot? O è semplicemente troppo tardi, danno fatto?

Diamo un'occhiata a cosa significa la perdita di avvio sicuro per te e i tuoi dispositivi.

Cos'è l'avvio sicuro?

“Secure Boot aiuta ad assicurarsi che il tuo PC si avvii solo usando il firmware che è considerato affidabile dal produttore”

Microsoft Secure Boot è arrivato con Windows 8 ed è progettato per impedire agli operatori maliziosi di installare applicazioni. Che cos'è UEFI e in che modo ti mantiene più sicuro? Che cos'è UEFI e in che modo ti mantiene più sicuro? Ulteriori informazioni o qualsiasi sistema operativo non autorizzato da caricare o apportare modifiche durante la procedura di avvio del sistema. Quando è arrivato, c'erano timori che la sua introduzione avrebbe seriamente limitato la capacità di sistemi Microsoft dual o multi-boot. Alla fine, questo era in gran parte infondato - o trovato soluzioni alternative.

Poiché Secure Boot si basa sulla specifica UEFI (Unified Extensible Firmware Interface) Che cos'è UEFI e in che modo ti mantiene più sicuro? Che cos'è UEFI e in che modo ti mantiene più sicuro? Ulteriori informazioni per fornire servizi di crittografia di base, autenticazione di rete e firma dei driver, fornendo ai sistemi moderni un ulteriore livello di protezione dai rootkit e dai malware di basso livello.

Windows 10 UEFI

Microsoft voleva far decollare il “protezione” offerto da UEFI in Windows 10.

Per far passare ciò, Microsoft ha informato i produttori prima del rilascio di Windows 10 che la scelta di rimuovere l'opzione per disabilitare Secure Boot era nelle loro mani. Linux non lavorerà più sull'hardware futuro di Windows 10? Linux non lavorerà più al futuro hardware di Windows 10? Secure Boot può impedire l'avvio di alcune distribuzioni Linux. Nei prossimi dispositivi Windows 10, i produttori possono rimuovere l'opzione per disattivare Secure Boot. Ciò influenzerà Linux Mint e molte altre distro popolari. Leggi di più, bloccando efficacemente il sistema operativo su quello con cui arriva un computer. Vale la pena notare che Microsoft non stava spingendo direttamente questa iniziativa (almeno non del tutto pubblicamente), ma come spiega Peter Bright di Ars Technica, le modifiche alle regole UEFI esistenti prima della data di rilascio di Windows 10 lo rendevano possibile:

“In questo caso, possiamo prevedere OEM costruendo macchine che non offrano un modo semplice per avviare sistemi operativi auto-costruiti o, in effetti, qualsiasi sistema operativo che non dispone di firme digitali appropriate.”

Mentre ci sono indubbiamente numerosi desktop e laptop in vendita con impostazioni UEFI sbloccate, questo potrebbe rivelarsi un altro ostacolo per coloro che desiderano provare un'alternativa al proprio sistema operativo Windows.

Ancora un altro ostacolo per Linux che cerca di aggirare ... sospiro.

E ora l'avvio protetto è sbloccato in modo permanente?

In modo permanente, non ne sono così sicuro. Ma per il momento, Secure Boot può essere sbloccato. Ecco cosa è successo.

Secure Boot è sul punto di morte.

Scrivi in ​​arrivo domani o mercoledì.

- slipstream / RoL (@ TheWack0lian) 8 agosto 2016

So che mi riferisco a una chiave di tipo scheletrico super-duper che sblocca ogni singolo blocco nell'intero universo Microsoft UEFI Secure Boot ... ma in realtà si tratta di politiche che hai firmato sul tuo sistema.

Binario di disabilitazione dell'avvio protetto trapelato. Cosa c'è di più fastidioso per Microsoft? https://t.co/n0fGr7pwdo

- Mythic Beast (@ Mythic_Beasts) 10 agosto 2016

Secure Boot funziona in tandem con determinate policy, letto e completamente rispettato dal boot manager di Windows Come risolvere la maggior parte dei problemi di avvio di Windows Come risolvere la maggior parte dei problemi di avvio di Windows Il tuo computer Windows non si avvia? Potrebbe essere a causa di un errore hardware, software o firmware. Ecco come diagnosticare e risolvere questi problemi. Leggi di più . Le politiche consigliano al boot manager di mantenere abilitato Secure Boot. Tuttavia, Microsoft ha creato un criterio progettato per consentire agli sviluppatori di testare le build del sistema operativo senza dover firmare digitalmente ciascuna versione. Questo supera in modo efficace Secure Boot, disabilitando i primi controlli di sistema durante il processo di avvio. I ricercatori sulla sicurezza, MY123 e Slipstream, hanno documentato le loro scoperte (su un sito davvero delizioso):

“Durante lo sviluppo di Windows 10 v1607 'Redstone', MS ha aggiunto un nuovo tipo di criterio di avvio sicuro. cioè, “supplementare” le politiche che si trovano nella partizione EFIESP (piuttosto che in una variabile UEFI), e hanno le loro impostazioni unite, a seconda delle condizioni (vale a dire, che una certa “Attivazione” la politica è anche in esistenza, ed è stata caricata in).

I carichi bootmgr.efi di Redstone “eredità” politiche (vale a dire, una politica dalle variabili UEFI) in primo luogo. Ad un certo momento in redstone dev, non ha effettuato ulteriori verifiche oltre i controlli signature / deviceID. (Questo è ora cambiato, ma vedi come il cambiamento è stupido) Dopo aver caricato il file “eredità” politica, o una politica di base dalla partizione EFIESP, quindi carica, controlla e unisce le politiche supplementari.

Vedi il problema qui? In caso contrario, permettimi di spiegarlo chiaramente. Il “supplementare” la politica contiene nuovi elementi, per le condizioni di fusione. Queste condizioni sono (beh, una volta) deselezionate da bootmgr quando si carica un criterio legacy. E bootmgr di win10 v1511 e precedenti sicuramente non ne sono a conoscenza. A quei bootmgr, è appena stato caricato in una politica perfettamente valida e firmata.”

Non è una buona lettura per Microsoft. Significa in effetti che la politica in modalità debug progettata per consentire agli sviluppatori - e solo agli sviluppatori - la possibilità di negare i processi di firma è aperta a chiunque disponga di una versione commerciale di Windows 10. E che tale politica è trapelata su Internet.

Ricorda l'iPhone di San Bernardino?

“Puoi vedere l'ironia. Anche l'ironia di quella stessa MS ci ha fornito molte belle cose “chiavi d'oro” (come direbbe l'FBI;) per noi da usare per quello scopo :)

A proposito dell'FBI: stai leggendo questo? Se lo sei, allora questo è un perfetto esempio del mondo reale sul perché la tua idea di cryptosystems backdoor con a “sicura chiave d'oro” è molto male! Le persone più intelligenti di me te lo hanno detto per così tanto tempo, sembra che tu abbia le dita nelle orecchie. Seriamente non capisci ancora? Microsoft ha implementato a “sicura chiave d'oro” sistema. E le chiavi d'oro sono state rilasciate dalla stupidità di MS. Ora, cosa succede se dici a tutti di fare un “sicura chiave d'oro” sistema? Spero che tu possa aggiungere 2 + 2 ... ”

Per i sostenitori della crittografia, questo è stato un momento all-agrodolce che, si spera, fornirà una certa chiarezza necessaria per le forze dell'ordine e per i funzionari governativi. Le backdoor dorate lo faranno mai resta nascosto Saranno sempre scoperti, sia da una vulnerabilità interna imprevedibile (rivelazione di Snowden Hero o Villain) La NSA modererà la sua posizione su Snowden Hero o Villain L'NSA modererà la sua posizione su Snowden Whistleblower Edward Snowden e John DeLong della NSA apparvero in programma per un simposio: mentre non c'era dibattito, sembra che l'NSA non dipinga più Snowden come un traditore, cosa è cambiato? Read More) o da chi è interessato a spingere e tirare la tecnologia e il suo codice sottostante a parte.

Considera l'iPhone di San Bernardino ...

“Abbiamo un grande rispetto per i professionisti dell'FBI e crediamo che le loro intenzioni siano buone. Fino a questo punto, abbiamo fatto tutto ciò che è sia nel nostro potere che nella legge per aiutarli. Ma ora il governo degli Stati Uniti ci ha chiesto qualcosa che semplicemente non abbiamo, e qualcosa che consideriamo troppo pericoloso da creare. Ci hanno chiesto di costruire una backdoor per l'iPhone Qual è il sistema operativo mobile più sicuro? Qual è il sistema operativo mobile più sicuro? In lotta per il titolo di più sicuro sistema operativo mobile, abbiamo: Android, BlackBerry, Ubuntu, Windows Phone e iOS. Quale sistema operativo è il migliore per difendersi dagli attacchi online? Leggi di più .”

La palla riposa con Microsoft

Come ho già detto, questo non dovrebbe rappresentare un grosso rischio per la sicurezza dei tuoi dispositivi personali, e Microsoft ha rilasciato una dichiarazione che sottovaluta la rilevanza della perdita Secure Boot:

“La tecnica di jailbreak descritta nel rapporto dei ricercatori il 10 agosto non si applica ai sistemi PC desktop o aziendali. Richiede accesso fisico e diritti di amministratore ai dispositivi ARM e RT e non compromette le protezioni di crittografia.”

Oltre a ciò, hanno rilasciato in fretta un bollettino Microsoft sulla sicurezza designato “Importante.” Questo risolverà la vulnerabilità una volta installato. Tuttavia, non ci vorrà molto per installare una versione di Windows 10 senza la patch implementata.

Secure Boot è quasi certamente morto.

- Longhorn (@never_released) 8 agosto 2016

Chiavi d'oro

Sfortunatamente, è improbabile che questo porti a un nuovo eccesso di dispositivi Microsoft con distribuzioni Linux. Voglio dire, ci saranno alcuni individui intraprendenti che si prendono il tempo per testarlo, ma per la maggior parte degli individui, questo sarà semplicemente un altro blip di sicurezza che li ha superati.

Non dovrebbe.

Non gliene frega niente delle distribuzioni Linux sui tablet Microsoft è una cosa, certo. Ma le più ampie implicazioni di una chiave d'oro che sfugge al pubblico dominio per sbloccare potenzialmente milioni di dispositivi è un'altra.

Un paio di anni fa il Washington Post ha lanciato un appello “compromesso” sulla crittografia, proponendo che, mentre i nostri dati dovrebbero ovviamente essere off-limits per gli hacker, forse Google e Apple et al dovrebbe avere una chiave d'oro sicura In un'eccellente critica del perché esattamente questo è un “proposta fuorviata e pericolosa,” Il co-creatore di Keybase Christ Coyne spiega, molto chiaramente, questo “Onesto, le persone buone sono in pericolo qualunque backdoor che aggira le proprie password.”

Dovremmo tutti cercare il massimo livello di sicurezza personale possibile Iniziare l'anno in modo corretto con un controllo di sicurezza personale Inizia l'anno giusto con un controllo di sicurezza personale È tempo di pianificare il nuovo anno, come ad esempio garantire la sicurezza personale. graffiare. Ecco 10 passaggi da seguire per aggiornare tutto utilizzando il tuo PC, telefono o tablet. Leggi di più, non degnati di indebolirlo alla prima opportunità disponibile. Perché come abbiamo visto in più occasioni, quelle chiavi tipo scheletro super-duper volontà finire nelle mani sbagliate.

E quando lo fanno, giochiamo tutti un pericoloso gioco di difesa reattiva, che lo volessimo o meno.

Le grandi aziende tecnologiche dovrebbero creare backdoor nei loro servizi? Oppure le agenzie governative e altri servizi dovrebbero occuparsi della propria attività e concentrarsi sul mantenimento della sicurezza?

Immagine di credito: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock

Scopri di più su: Computer Security, Windows 10.