O que você precisa saber sobre o windows 10 chaves inicialização segura

No que poderia ser absolutamente considerado um exemplo brilhante de exatamente

porque chaves de ouro que oferecem uma backdoor em serviços seguros não deveria existir, Microsoft acidentalmente vazou a chave mestra para o seu sistema de inicialização segura.

O vazamento potencialmente desbloqueia todos os dispositivos com tecnologia de inicialização segura da Microsoft instalado, tirando seu status sistema operacional bloqueado, permitindo que os usuários instalem seus próprios sistemas operacionais e aplicativos em lugar daqueles designados pelo gigante de tecnologia de Redmond.

O vazamento não deve comprometer a sua segurança do dispositivo - em teoria. Mas ele vai abrir as linhas para sistemas operacionais alternativos e outras aplicações que anteriormente não conseguiram trabalhar em um sistema de inicialização segura.

Como a Microsoft responder a isso? Uma atualização simples para alterar cada chave base de inicialização segura? Ou é simplesmente tarde demais, o dano feito?

Vamos dar uma boa olhada no que o vazamento de inicialização segura significa para você e seus dispositivos.

O que é seguro de inicialização?

“Seguro de inicialização ajuda a ter certeza de que suas botas de PC usando apenas firmware que é confiável pelo fabricante”

Microsoft seguro Bota chegou com Windows 8, e é projetado para impedir que aplicativos instalando operadores maliciosos ou quaisquer sistemas de operação não autorizada de carregamento, ou as alterações, durante o processo de arranque do sistema. Quando chegamos, havia preocupações de que a sua introdução limitaria severamente a capacidade de sistemas duplos ou multi-inicialização da Microsoft. No final, isso foi em grande parte infundados - ou soluções encontradas.O que é UEFI e como ele mantê-lo mais seguro?O que é UEFI e como ele mantê-lo mais seguro?consulte Mais informação

Como seguro de inicialização depende de o UEFI (Unified interface de firmware extensível) especificação para fornecer serviços básicos de criptografia, autenticação de rede e assinatura de driver, fornecendo sistemas modernos com outra camada de proteção contra rootkits e malware de baixo nível.

Windows 10 UEFI

Microsoft queria rampa até a “proteção” oferecida pelo UEFI no Windows 10.

Para empurrar isto através, a Microsoft informou fabricantes antes do lançamento do Windows 10 do que a escolha de remover o opção para desativar seguro Bota estava em suas mãos, efetivamente bloqueando o sistema operacional para o computador chega com. Vale a pena notar que a Microsoft não estava empurrando diretamente esta iniciativa (pelo menos não inteiramente publicamente), mas como o Ars Technica Peter Bright explica, mudanças nas regras UEFI existentes antes da data de lançamento do Windows 10 tornou isso possível:Será que o Linux não funcionam mais no futuro Windows 10 Hardware?Será que o Linux não funcionam mais no futuro Windows 10 Hardware?Garantir Bota pode impedir que algumas distribuições Linux de arrancar. No próximo Windows 10 dispositivos, os fabricantes podem remover a opção para desligar seguro de inicialização. Isso afetará Linux Mint e várias outras distribuições populares.consulte Mais informação

“Se este suporte, podemos prever máquinas de construção OEMs que oferecem nenhuma maneira fácil de arrancar sistemas de auto-construção operacionais, ou mesmo, qualquer sistema operacional que não tem assinaturas digitais apropriados.”

Embora haja, sem dúvida, inúmeros desktops e laptops para venda com as configurações de UEFI desbloqueado, isso pode revelar-se um outro obstáculo para aqueles que desejam tentar uma alternativa para o seu sistema operacional Windows.

No entanto, outro bloco de estrada para Linux defende para contornar ... suspiro.

E agora segura de inicialização é permanentemente desbloqueado?

Permanentemente, eu não tenho tanta certeza. Mas por enquanto, Secure Bota pode ser desbloqueado. Aqui está o que aconteceu.

Eu sei que tenho sido referindo-se a uma chave super-duper do tipo mestra que abre todas as fechaduras único em toda a Microsoft UEFI universo seguro Bota ... mas na verdade se resume a qual as políticas de ter assinado em seu sistema.

Garantir Bota trabalha em conjunto com certas políticas, ler e totalmente obedecida pelo gerenciador de inicialização do Windows. As políticas aconselhar o gerenciador de boot para manter seguro Bota habilitado. No entanto, a Microsoft criou uma política concebida para permitir aos desenvolvedores testar sistema operacional constrói sem ter que assinar digitalmente cada versão. Isso anula efetivamente seguro Bota, desabilitando sistema verifica início durante o processo de start-up. Os pesquisadores de segurança, MY123 e Slipstream, documentou suas descobertas (em um site realmente delicioso):Como resolver a maioria dos problemas de inicialização do WindowsComo resolver a maioria dos problemas de inicialização do WindowsSeu computador Windows não arrancar? Poderia ser por causa de um hardware, software, ou erro de firmware. Veja como diagnosticar e corrigir esses problemas.consulte Mais informação

“Durante o desenvolvimento do Windows 10 v1607‘Redstone`, MS adicionou um novo tipo de política inicialização segura. Ou seja, as políticas “complementares” que estão localizados na partição EFIESP (em vez de em uma variável UEFI), e têm as suas configurações fundiram em, dependente de condições (ou seja, que uma determinada política de “activação” também está em existência, e tem sido carregado em).

cargas bootmgr.efi de Redstone políticas “legados” (ou seja, uma política de variáveis ​​UEFI) PRIMEIRAMENTE. Em um determinado momento em dev redstone, não fazer quaisquer verificações suplementares para além cheques assinatura / DeviceID. (Isso agora mudou, mas ver como a mudança é estúpido) Depois de carregar a política de “legado”, ou uma política de base a partir da partição EFIESP, Em seguida, carrega, cheques e funde nas políticas complementares.



Veja a questão aqui? Se não, deixe-me soletrar para você simples e clara. A política de “suplementar” contém elementos novos, para as condições de concentração. Estas condições são (bem, de uma só vez) desmarcada por bootmgr ao carregar uma política de legado. E bootmgr de v1511 win10 e anteriores certamente não sabe sobre eles. Para aqueles bootmgrs, que acaba de carregados em uma política perfeitamente válido, assinado “.

Não faz uma boa leitura para a Microsoft. Ele efetivamente significa que a política de modo de depuração projetado para permitir que desenvolvedores - e apenas os desenvolvedores - chance de anular os processos de assinatura é aberto a qualquer pessoa com uma versão comercial do Windows 10. E isso que a política tem vazou na Internet.

Lembre-se do iPhone San Bernardino?

“Você pode ver a ironia. Também a ironia em que o MS-se nos forneceram vários agradável “chaves de ouro” (como o FBI diria -) para nós a utilizar para esse fim :)

Sobre o FBI: você está lendo isso? Se estiver, então este é um perfeito exemplo do mundo real sobre por que sua idéia de backdooring cryptosystems com uma “chave de ouro seguro” é muito ruim! as pessoas mais inteligentes do que me foram dizendo isso para você por tanto tempo, parece que você tem os dedos em seus ouvidos. Você seriamente não entendem ainda? Microsoft implementou um sistema de “chave de ouro seguro”. E as chaves de ouro foi liberado do MS própria estupidez. Agora, o que acontece se você dizer a todos para fazer um sistema “seguro chave de ouro”? Esperamos que você pode adicionar 2 + 2 ...”

Para os defensores de criptografia este foi um momento todo-to-agridoce que venha a trazer alguma clareza bem necessário para as agências de aplicação da lei e autoridades governamentais igualmente. backdoors de Ouro vai Nunca ficar escondido. Eles vão sempre ser descoberto, seja por uma vulnerabilidade interna imprevisto (revelações Snowden) Ou por aqueles interessados ​​em cutucando e puxando a tecnologia e seu código subjacente à parte.Herói ou Vilão? Moderados NSA sua posição sobre SnowdenHerói ou Vilão? Moderados NSA sua posição sobre SnowdenWhistleblower Edward Snowden e da NSA John DeLong apareceu na agenda para um simpósio. Enquanto não houve debate, parece que a NSA não pinta Snowden como um traidor. O que mudou?consulte Mais informação

Considere o iPhone San Bernardino ...

“Temos grande respeito pelos profissionais do FBI, e acreditamos que suas intenções são boas. Até este ponto, temos feito tudo o que está dentro de nosso poder e dentro da lei para ajudá-los. Mas agora o governo EUA nos pediu para algo que simplesmente não têm, e algo que consideramos muito perigoso para criar. Eles nos pediram para construir uma backdoor para o iPhone.”Qual é o sistema operativo móvel mais segura?Qual é o sistema operativo móvel mais segura?Lutando pelo título da maioria dos OS móvel segura, temos: Android, BlackBerry, Ubuntu, Windows Phone e iOS. Qual sistema operacional é o melhor em segurando sua própria contra ataques online?consulte Mais informação

A bola fica com Microsoft

Como já referi, isso não deve realmente representam um risco de segurança enorme para os seus dispositivos pessoais, e Microsoft divulgou um comunicado minimizando a importância do vazamento inicialização segura:

“A técnica jailbreak descrito no relatório dos pesquisadores em 10 de Agosto não se aplica a sistemas de PC desktop ou empresariais. Ele requer acesso físico e privilégios de administrador para dispositivos ARM e RT e não compromete a proteção de criptografia.”

Assim como esta, eles rapidamente lançou um Boletim de Segurança da Microsoft designada “Importante”. Isto irá resolver a vulnerabilidade uma vez instalado. No entanto, não vai demorar muito para instalar uma versão do Windows 10 sem o patch implementado.

Video: Como ativar Windows 10 com a chave do Windows 7 ou 8

Chaves de ouro

Infelizmente, esta é susceptível de conduzir a um novo excesso de dispositivos da Microsoft em execução distros Linux. Quer dizer, haverá alguns indivíduos empreendedores que tomam o teste do tempo presente, mas para a maioria dos indivíduos, este será simplesmente outro blip de segurança que eles passaram.

Não deveria.

Não dando a mínima para distros Linux em tablets da Microsoft é uma coisa, com certeza. Mas as implicações mais amplas de um vazamento chave de ouro para o domínio público para desbloquear potencialmente milhões de dispositivos é outra.

muo-securityy-esqueleto-chaves

Um par de anos atrás The Washington Post fez uma convocação para “compromisso” a criptografia, propondo que, embora nossos dados deve, obviamente, ser fora dos limites para hackers, talvez o Google ea Apple et al deve ter uma chave de ouro segura. Em uma excelente crítica do exatamente por isso que este é um “mal orientado, proposta perigosa”, co-criador Keybase Cristo Coyne explica, muito claramente, que “honesto, boas pessoas estão ameaçadas pela qualquer backdoor que ignora suas próprias senhas “.

Video: como ativar todas as versões do windows 10 novas chaves 2016

Todos nós devemos lutar por o nível máximo de segurança pessoal possível, não se dignou a enfraquecê-lo na primeira oportunidade disponível. Porque como vimos em várias ocasiões, os super-duper chave do tipo esqueleto vai acabar nas mãos erradas.Comece o Ano Corretamente com uma Auditoria de Segurança PessoalComece o Ano Corretamente com uma Auditoria de Segurança PessoalÉ hora de fazer planos para o ano novo, tais como garantir a sua segurança pessoal é até zero. Aqui estão 10 passos que deve tomar para atualizar tudo usando seu PC, celular ou tablet.consulte Mais informação

E quando o fazem, todos nós estamos jogando um jogo perigoso de defesa reativa, se queríamos ou não.

Deve grandes empresas de tecnologia criar backdoors em seus serviços? Ou deveria agências governamentais e outros serviços se ocupar de seu próprio negócio e se concentrar em manter a segurança?


Artigos relacionados