Mida peate teadma Windows 10 turvaliste buutimisvõtmete kohta

Reklaam

Mida võiks absoluutselt pidada säravaks näiteks täpseltmiks turvalisi teenuseid tagauksed pakkuvaid kuldvõtmeid ei tohiks olemas olla, lekitas Microsoft kogemata põhivõti nende turvalisse alglaadimissüsteemi.

Lekk vabastab potentsiaalselt kõik seadmed, kuhu on installitud tehnoloogia Microsoft Secure Boot, eemaldades nende lukustatud opsüsteemi staatus, mis võimaldab kasutajatel installida Redmondi tehnoloogiaga määratud süsteemide asemel oma opsüsteemid ja rakendused behemoth.

Lekk ei tohiks teoreetiliselt ohustada teie seadme turvalisust. Kuid see avab read alternatiivsetele opsüsteemidele ja muudele rakendustele, mis varem poleks suutnud turvalise alglaadimise süsteemis töötada.

Kuidas Microsoft sellele reageerib? Lihtne värskendus iga turvalise alglaadimise põhivõtme muutmiseks? Või on kahju lihtsalt liiga hilja?

Vaatame lähemalt, mida tähendab turvalise alglaadimise leke teie ja teie seadmete jaoks.

Mis on turvaline alglaadimine?

„Turvaline alglaadimine aitab veenduda, et teie arvuti buutib ainult tootja usaldatud püsivara abil“

Microsofti turvaline alglaadimine saabus Windows 8-ga ja on mis on loodud pahatahtlike operaatorite rakenduste installimise takistamiseks Mis on UEFI ja kuidas see hoiab teid turvalisemana?Kui olete hiljuti arvuti käivitanud, võisite BIOS-i asemel märgata akronüümi "UEFI". Aga mis on UEFI? Loe rohkem või volitamata opsüsteemide laadimist või muudatuste tegemist süsteemi käivitamise ajal. Saabumisel ilmnesid kahtlused, et selle kasutuselevõtt piirab tõsiselt Microsofti kahe- või mitmekäivitusega süsteemide võimalusi. Lõppkokkuvõttes oli see suuresti alusetu - või siis leiti lahendusi.

Kuna Secure Boot tugineb spetsifikatsioon UEFI (ühtne laiendatav püsivara liides) Mis on UEFI ja kuidas see hoiab teid turvalisemana?Kui olete hiljuti arvuti käivitanud, võisite BIOS-i asemel märgata akronüümi "UEFI". Aga mis on UEFI? Loe rohkem pakkuda põhilisi krüpteerimisvõimalusi, võrgu autentimist ja draiverite allkirjastamist, pakkudes kaasaegsetele süsteemidele veel ühte kaitsekihti juurkomplektide ja madala taseme pahavara eest.

Windows 10 UEFI

Microsoft soovis tõsta UEFI pakutavat “kaitset” Windows 10-s.

Selle elluviimiseks teavitas Microsoft tootjaid enne Windows 10 väljaandmist, et nende valik eemaldatakse Võimalus turvaline alglaadimine keelata oli nende käes Kas Linux ei tööta enam tulevase Windows 10 riistvara peal?Turvaline alglaadimine võib takistada mõne Linuxi distrosüsteemi käivitamist. Eelseisvatel Windows 10 seadmetel võivad tootjad turvalise alglaadimise välja lülitada. See mõjutab Linux Mintit ja mitut muud populaarset distrosid. Loe rohkem , lukustades operatsioonisüsteemi tõhusalt arvutiga saabuvasse. Väärib märkimist, et Microsoft ei toetanud seda algatust otseselt (vähemalt mitte täielikult avalikult), vaid nagu Ars Technica Peter Bright selgitab, olemasolevate UEFI-reeglite muudatused enne Windows 10 väljalaskekuupäeva võimaldasid:

„Kui see peaks seisma, võime ette näha, et originaalseadmete tootjad ehitavad masinaid, mis ei paku lihtsat alglaadimisviisi iseehitatud opsüsteemid või mis tahes opsüsteemid, millel pole sobivat digitaalset allkirjad. ”

Kuigi vaieldamatult on müügil arvukalt UEFI-seadetega lauaarvuteid ja sülearvuteid, võiks see seda teha osutuda veel üheks komistuskiviks neile, kes soovivad proovida oma Windowsi operatsioonisüsteemile alternatiivi süsteem.

Järjekordne tee blokeerimine Linuxi pooldajate ümber töötamiseks... ohkas.

Ja nüüd on turvaline alglaadimine püsivalt lukustatud?

Püsivalt pole ma nii kindel. Kuid vahepeal saab turvalise alglaadimise avada. Nii juhtuski.

Turvaline Boot on oma surivoodil.

Registreerimine saabub homme või kolmapäeval.

- libisemine / RoL (@ TheWack0lian) 8. august 2016

Ma tean, et olen viidanud ülitäpsele luustiku tüüpi võtmele, mis avab kogu luku Microsofti UEFI turvalise alglaadimise universum... kuid tegelikult taandub see, millistele poliitikatele olete oma allkirja andnud süsteem.

Turvalise alglaadimise keelamine kahendkomponendi lekkinud. Mis on Microsofti jaoks veel tüütum? https://t.co/n0fGr7pwdo

- müütilised metsalised (@Mythic_Beasts) 10. august 2016

Turvaline alglaadimine töötab koos teatud reeglitega, loetud ja täielikult allub Windowsi alglaadimishaldurile Kuidas lahendada enamikku Windowsi buutimisprobleemeKas teie Windowsi arvuti ei käivitu? Selle põhjuseks võib olla riist-, tarkvara või püsivara viga. Siit saate teada, kuidas neid probleeme diagnoosida ja lahendada. Loe rohkem . Poliitikad soovitavad alglaadimishalduril lubada turvaline alglaadimine. Siiski lõi Microsoft ühe poliitika, mille eesmärk on võimaldada arendajatel operatsioonisüsteemide ehitust testida, ilma et nad peaksid iga versiooni digitaalselt allkirjastama. See tühistab turvalise alglaadimise, keelates süsteemi varase kontrollimise käivitusprotsessi ajal. Julgeoleku uurijad, MY123 ja Slipstream, dokumenteerinud oma leiud (tõeliselt veetleval veebisaidil):

„Windows 10 v1607„ Redstone ”väljatöötamise ajal lisas MS uut tüüpi turvalise alglaadimispoliitika. Nimelt “täiendavad” poliitikad, mis asuvad EFIESP sektsioonis (mitte UEFI muutujates) ja millel on oma seaded liideti sõltuvalt tingimustest (nimelt sellest, et teatav „aktiveerimise” poliitika on ka olemas ja on olnud) sisse laaditud).

Redstone'i bootmgr.efi laadib esmalt pärandpoliitika (nimelt UEFI muutujate poliitika). Teatud aja jooksul redstone dev'is ​​ei teinud ta täiendavaid kontrolle peale allkirjade / seadme ID kontrollimiste. (See on nüüd muutunud, kuid vaadake, kuidas muudatus on loll.) Pärast pärandipoliitika või baaspoliitika laadimist EFIESP partitsioonist laadib, kontrollib ja liitub täiendavates poliitikates.

Kas näete teemat siin? Kui ei, siis lubage mul see teile selgeks teha. „Täiendav” poliitika sisaldab ühinemistingimuste jaoks uusi elemente. Neid tingimusi kontrollib (noh, korraga) bootmgr pärandpoliitika laadimisel. Ja Win10 v1511 alglaadimisprogramm ja varasem ei tea neist kindlasti midagi. Neile alglaadijatele laaditi see lihtsalt täiesti kehtivasse, allkirjastatud poliisi. ”

See ei tee Microsofti jaoks head lugemist. See tähendab tõhusalt silumisrežiimi poliitikat, mille eesmärk on võimaldada arendajatel - ja ainult arendajatel - allkirjastamisprotsesside keelamise võimalus, kõigile, kellel on Windows 10 jaemüügiversioon. Ja et see poliitika on lekkinud Internetti.

Kas mäletate San Bernardino iPhone'i?

“Näete irooniat. Ka iroonia, mis seisnes selles, et liikmesriigid ise andsid meile mitu toredat “kuldset võtit” (nagu FBI ütleks;), mida me sel eesmärgil kasutame :)

FBI kohta: kas te loete seda? Kui olete, siis on see täiuslik reaalse maailma näide selle kohta, miks teie idee krüptosüsteemide tagaukse ühendamisest turvalise kuldse võtmega on väga halb! Minust targemad inimesed on teile seda juba nii kaua rääkinud, tundub, et teil on sõrmed kõrvus. Kas te tõsiselt ei saa veel aru? Microsoft võttis kasutusele turvalise kuldvõtme süsteemi. Ja kuldsed võtmed vabastati liikmesriikide enda rumalusest. Mis juhtub, kui kästate kõigil luua turvalise kuldvõtme süsteem? Loodetavasti saate lisada 2 + 2… ”

Nende krüpteerimise eestkõnelejate jaoks on see olnud kõikidest aegadest mõrkjas hetk, mis loodetavasti pakub nii õiguskaitseasutustele kui ka valitsusametnikele vajalikku selgust. Kuldne tagauks saab mitte kunagi jääda varjatuks. Need avastatakse alati ettenägematu sisemise haavatavuse tõttu (Snowdeni paljastused Kangelane või kaabakas? NSA modereerib oma seisukohta SnowdenilTeataja Edward Snowden ja NSA esindaja John DeLong ilmusid sümpoosioni kavasse. Kuigi arutelu ei toimunud, näib, et NSA ei maali enam Snowdenit reeturina. Mis on muutunud? Loe rohkem ) või neid, kes on huvitatud tehnoloogia ja selle aluseks oleva koodi pistmisest ja tõmbamisest.

Mõelge San Bernardino iPhone'ile ...

„Me suhtume FBI professionaalidesse suure austusega ja usume, et nende kavatsused on head. Selle hetkeni oleme nende abistamiseks teinud kõik, mis on nii meie võimuses kui ka seaduses. Kuid nüüd on USA valitsus palunud meilt midagi, mida meil lihtsalt pole, ja midagi, mida peame loomiseks liiga ohtlikuks. Nad on meid palunud ehitada tagauks iPhone'i Mis on kõige turvalisem mobiilne opsüsteem?Võitluses kõige turvalisema mobiilse OS-i tiitli eest on meil: Android, BlackBerry, Ubuntu, Windows Phone ja iOS. Milline opsüsteem hoiab kõige paremini võrgurünnakute vastu oma? Loe rohkem .”

Pall jääb Microsofti kanda

Nagu ma mainisin, ei tohiks see tegelikult teie isiklikele seadmetele tohutut turvariski tekitada ja Microsoft avaldas avalduse, milles ta lükkas turvalise alglaadimise leke:

„Teadlaste 10. augusti aruandes kirjeldatud jailbreak-tehnikat ei kohaldata lauaarvutites ega ettevõtte personaalarvutites. See nõuab füüsilist juurdepääsu ja administraatori õigusi ARM- ja RT-seadmetele ega kahjusta krüptimiskaitset. "

Lisaks sellele on neil ka andis kiiruga välja Microsofti turvabülletääni tähistatud kui "Tähtis". See kõrvaldab haavatavuse pärast installimist. Windows 10 versiooni installimine ilma plaastri installimiseta ei võta palju.

Kuldsed võtmed

Kahjuks ei põhjusta see tõenäoliselt Microsofti seadmete, mis töötavad Linuxi distrosid, uut liialt. Ma mõtlen, et leidub mõni ettevõtlik inimene, kes võtab selle aja proovile, kuid enamiku inimeste jaoks on see lihtsalt järjekordne turvanõel, mis neist möödus.

Ei peaks.

Kindel on see, et Microsofti tahvelarvutites Linuxi distrosid ei heideta, on üks asi. Kuid ka avalikkusele lekiva kuldvõtme avamine potentsiaalselt miljonite seadmete avamiseks on teine.

Paar aastat tagasi kutsus The Washington Post üles üleskutsetkompromiss”Krüptimise kohta, tehes ettepaneku, et kuigi meie andmed peaksid häkkerite jaoks ilmselt ületama, võib-olla Google ja Apple et al peaks olema kindel kuldne võti. Suurepärase kriitika all, miks see on „ekslik, ohtlik ettepanek,” Keybase kaaslooja Christ Coyne selgitab üsna selgelt, et “ausad, head inimesed on ohustatud mis tahes tagauks, mis läheb mööda nende endi paroolidest. ”

Me kõik peaksime püüdlema maksimaalne isikliku turvalisuse tase Alustage aastavahetust isikliku turvaauditigaOn aeg teha uueks aastaks plaane, näiteks oma isikliku turvalisuse tagamine. Siin on 10 sammu, mida peaksite oma arvuti, telefoni või tahvelarvuti abil kõige värskendamiseks tegema. Loe rohkem , mitte loobuda selle nõrgendamisest esimesel võimalusel. Sest nagu me oleme mitmel korral näinud, on need ülitähtsad luustiku tüüpi võtmed tahe sattuda valedesse kätesse.

Ja kui nad seda teevad, mängime me kõik ohtlikku reaktiivse kaitse mängu, olenemata sellest, kas tahtsime või mitte.

Kas suuremad tehnoloogiaettevõtted peaksid looma oma teenustele tagauksed? Või peaksid valitsusasutused ja muud teenistused mõtlema oma ettevõttele ja keskenduma turvalisuse säilitamisele?

Pildikrediit: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock