Wat u moet weten over Windows 10 Veilige opstartsleutels

In wat absoluut als een schitterend voorbeeld zou kunnen worden beschouwd precies waarom gouden sleutels die een backdoor in beveiligde services bieden, zouden niet moeten bestaan, Microsoft lekte per ongeluk de master key uit naar hun Secure Boot-systeem.

Het lek ontgrendelt mogelijk alle apparaten waarop Microsoft Secure Boot-technologie is geïnstalleerd, waardoor de vergrendelde besturingssysteemstatus wordt verwijderd, waardoor gebruikers hun eigen besturingssystemen en toepassingen kunnen installeren in plaats van die welke zijn aangewezen door de Redmond-technologie..

Het lek mag de beveiliging van uw apparaat niet in gevaar brengen - in theorie. Maar het zal de lijnen openen voor alternatieve besturingssystemen en andere applicaties die voorheen niet werkten op een Secure Boot-systeem.

Hoe reageert Microsoft hierop? Een eenvoudige update om elke Secure Boot-basissleutel te wijzigen? Of is het gewoon te laat, is er schade aangericht?

Laten we goed kijken naar wat het lek met Secure Boot betekent voor u en uw apparaten.

Wat is Secure Boot?

“Secure Boot helpt ervoor te zorgen dat uw pc alleen opstart met behulp van firmware die wordt vertrouwd door de fabrikant”

Microsoft Secure Boot is met Windows 8 aangekomen en is ontworpen om te voorkomen dat kwaadwillende gebruikers applicaties installeren Wat is UEFI en hoe zorgt het ervoor dat u veiliger bent? Wat is UEFI en hoe zorgt het ervoor dat u veiliger bent? Meer lezen of ongeautoriseerde besturingssystemen tijdens het opstarten van het systeem laden of wijzigen. Toen het kwam, waren er zorgen dat de introductie ervan de mogelijkheid om dual-of multi-boot Microsoft-systemen ernstig zou beperken. Op het einde was dit grotendeels ongegrond - of oplossingen gevonden.

Omdat Secure Boot afhankelijk is van de UEFI-specificatie (Unified Extensible Firmware Interface) Wat is UEFI en hoe zorgt het ervoor dat u veiliger bent? Wat is UEFI en hoe zorgt het ervoor dat u veiliger bent? Meer informatie om basisversleutelfaciliteiten, netwerkverificatie en stuurprogrammahandtekening te bieden, moderne systemen voorzien van een extra beschermingslaag tegen rootkits en low-level malware.

Windows 10 UEFI

Microsoft wilde de “bescherming” aangeboden door UEFI in Windows 10.

Om dit door te zetten, informeerde Microsoft de fabrikanten voorafgaand aan de release van Windows 10 dat de keuze om de optie om Secure Boot uit te schakelen in hun handen was. Zal Linux niet langer werken aan toekomstige Windows 10-hardware? Zal Linux niet langer werken aan toekomstige Windows 10-hardware? Secure Boot kan voorkomen dat sommige Linux-distro's worden opgestart. Op aankomende Windows 10-apparaten kunnen fabrikanten de optie om Secure Boot uit te schakelen verwijderen. Dit is van invloed op Linux Mint en verschillende andere populaire distributies. Meer lezen, waardoor het besturingssysteem effectief wordt vergrendeld op degene waarmee een computer aankomt. Het is vermeldenswaard dat Microsoft dit initiatief niet direct dreef (althans niet volledig publiekelijk), maar zoals Peter Bright, Peter Field, verklaart dat wijzigingen in bestaande UEFI-regels voorafgaand aan de Windows 10-releasedatum dit mogelijk maakten:

“Mocht dit het geval zijn, dan kunnen we ons voorstellen dat OEM's machines bouwen die geen gemakkelijke manier bieden om zelfgebouwde besturingssystemen op te starten, of zelfs elk besturingssysteem dat niet over de juiste digitale handtekeningen beschikt..”

Hoewel er ongetwijfeld tal van desktops en laptops te koop zijn met ontsloten UEFI-instellingen, zou dit een ander struikelblok kunnen zijn voor diegenen die een alternatief voor hun Windows-besturingssysteem willen proberen.

Nog een andere wegversperring voor Linux-voorstanders om rond te werken ... zucht.

En nu is Secure Boot Permanent ontgrendeld?

Ik ben het zeker niet zeker. Maar intussen kan Secure Boot worden ontgrendeld. Dit is wat er is gebeurd.

Secure Boot staat op zijn sterfbed.

Schrijven komt morgen of woensdag.

- slipstream / RoL (@ TheWack0lian) 8 augustus 2016

Ik weet dat ik heb verwezen naar een super-duper skelet-type sleutel die elke vergrendeling in het gehele Microsoft UEFI Secure Boot-universum ontgrendelt ... maar het komt er eigenlijk op neer welk beleid je op je systeem hebt ondertekend.

Veilige boot uitschakeling binair gelekt. Wat is meer vervelend voor Microsoft? https://t.co/n0fGr7pwdo

- Mythic Beasts (@Mythic_Beasts) 10 augustus 2016

Secure Boot werkt samen met bepaalde beleidsregels, leest en wordt volledig nageleefd door de opstartmanager van Windows. De meeste Windows opstartproblemen oplossen De meeste opstartproblemen van Windows oplossen Start uw Windows-computer niet op? Dit kan te wijten zijn aan een hardware-, software- of firmwarefout. Hier leest u hoe u deze problemen kunt diagnosticeren en oplossen. Lees verder . Het beleid adviseert de opstartmanager om Secure Boot ingeschakeld te houden. Microsoft heeft echter één beleid ontwikkeld waarmee ontwikkelaars besturingssystemen kunnen testen zonder elke versie digitaal te hoeven ondertekenen. Hiermee wordt Secure Boot effectief overruled, waardoor vroege systeemcontroles tijdens het opstartproces worden uitgeschakeld. De beveiligingsonderzoekers, MY123 en Slipstream, documenteerden hun bevindingen (op een hele leuke website):

“Tijdens de ontwikkeling van Windows 10 v1607 'Redstone' heeft MS een nieuw type beveiligd opstartbeleid toegevoegd. Namelijk, “aanvullend” beleidsregels die zich in de EFIESP-partitie bevinden (in plaats van in een UEFI-variabele) en waarin hun instellingen zijn samengevoegd, afhankelijk van de omstandigheden (namelijk dat een bepaalde “activering” beleid bestaat ook en is ingeladen).

Redstone's bootmgr.efi wordt geladen “nalatenschap” beleid (namelijk een beleid van UEFI-variabelen) als eerste. Op een bepaald moment in redstone dev heeft het geen verdere controles gedaan buiten de handtekening / deviceID-controles. (Dit is nu veranderd, maar zie hoe de verandering dom is) Na het laden van de “nalatenschap” beleid, of een basisbeleid van de EFIESP-partitie, laadt, controleert en versmelt dan in het aanvullende beleid.

Zie je het probleem hier? Zo niet, laat me het u duidelijk en duidelijk uitleggen. De “aanvullend” beleid bevat nieuwe elementen voor de samenvoegingsvoorwaarden. Deze voorwaarden zijn (nou ja, op een bepaald moment) niet aangevinkt door bootmgr bij het laden van een legacy-beleid. En bootmgr van win10 v1511 en eerder weet zeker niet van hen. Voor die bootmgrs is het net geladen in een perfect geldig, ondertekend beleid.”

Het is geen goede manier om voor Microsoft te lezen. Het betekent in feite dat het beleid voor foutopsporingsmodus dat is ontworpen om ontwikkelaars - en alleen ontwikkelaars - de kans te geven om de ondertekeningsprocessen te ontzeggen, openstaat voor iedereen met een handelsversie van Windows 10. En dat dat beleid op het internet is gelekt.

Denk aan de San Bernardino-iPhone?

“Je kunt de ironie zien. Ook de ironie in dat MS zelf voorzag ons van verschillende aardige dingen “gouden sleutels” (zoals de FBI zou zeggen;) voor ons om voor dat doel te gebruiken :)

Over de FBI: lees je dit? Als dat zo is, dan is dit een perfect voorbeeld van de echte wereld over waarom uw idee van backdooring van cryptosystemen met een “beveiligde gouden sleutel” is heel slecht! Slimmere mensen dan ik vertellen dit al zo lang aan u, het lijkt erop dat u uw vingers in uw oren hebt. Begrijp je het echt nog steeds niet? Microsoft implementeerde een “beveiligde gouden sleutel” systeem. En de gouden sleutels werden bevrijd van MS's eigen domheid. Wat gebeurt er als je iedereen vertelt om een ​​te maken? “beveiligde gouden sleutel” systeem? Hopelijk kun je 2 + 2 toevoegen ... ”

Voor die voorstanders van versleuteling was dit een alles-to-bitterzoet moment dat hopelijk een zekere nodige duidelijkheid zal verschaffen voor wetshandhavingsinstanties en overheidsfunctionarissen. Gouden achterdeurtjes zullen dat doen nooit blijf verborgen. Ze zullen altijd worden ontdekt, door een onvoorziene interne kwetsbaarheid (Snowden onthult held of schurk? NSA modereert haar houding op Snowden-held of schurk? NSA modereert haar houding op Snowden Whistleblower Edward Snowden en John DeLong van de NSA verschenen op het schema voor een Hoewel er geen debat was, lijkt het erop dat de NSA niet langer Snowden als een verrader schildert, wat is er veranderd? Lees meer) of door diegenen die geïnteresseerd zijn in het porren en trekken van technologie en de onderliggende code apart.

Overweeg de San Bernardino-iPhone ...

“We hebben veel respect voor de professionals bij de FBI en we zijn van mening dat hun intenties goed zijn. Tot nu toe hebben we alles gedaan wat zowel binnen onze macht als binnen de wet ligt om hen te helpen. Maar nu heeft de Amerikaanse overheid ons om iets gevraagd dat we simpelweg niet hebben en iets dat we te gevaarlijk vinden om te creëren. Ze hebben ons gevraagd om een ​​backdoor te bouwen voor de iPhone Wat is het meest veilige mobiele besturingssysteem? Wat is het meest veilige mobiele besturingssysteem? Vechtend voor de titel van het meest veilige mobiele besturingssysteem, hebben we: Android, BlackBerry, Ubuntu, Windows Phone en iOS. Welk besturingssysteem is het best in staat zich staande te houden tegen online aanvallen? Lees verder .”

De bal rust bij Microsoft

Zoals ik al zei, zou dit niet echt een groot beveiligingsrisico moeten vormen voor je persoonlijke apparaten, en Microsoft heeft een verklaring gepubliceerd waarin de relevantie van de Secure Boot-lek wordt verspeeld:

“De jailbreak-techniek beschreven in het onderzoekersrapport van 10 augustus is niet van toepassing op desktop- of enterprise-pc-systemen. Het vereist fysieke toegang en beheerdersrechten voor ARM- en RT-apparaten en biedt geen afbreuk aan coderingsbeschermingen.”

Daarnaast hebben ze haastig een Microsoft Security Bulletin uitgebracht “Belangrijk.” Hiermee wordt het beveiligingslek opgelost zodra het is geïnstalleerd. Het kost echter niet veel om een ​​versie van Windows 10 te installeren zonder dat de patch is geïmplementeerd.

Secure Boot is bijna zeker dood.

- Longhorn (@never_ vrijgegeven) 8 augustus 2016

Gouden sleutels

Helaas is het onwaarschijnlijk dat dit zal leiden tot een nieuwe overvloed aan Microsoft-apparaten met Linux-distro's. Ik bedoel, er zullen een aantal ondernemende individuen zijn die de tijd nemen om dit te testen, maar voor de meerderheid van de mensen zal dit gewoon een andere beveiligingsfout zijn die hen voorbij is gegaan.

Dat zou niet moeten.

Geen gedoe geven over Linux-distro's op Microsoft-tablets is één ding, zeker. Maar de bredere implicaties van een gouden sleutel die lekt in het publieke domein om mogelijk miljoenen apparaten te ontgrendelen, is een andere.

Een paar jaar geleden deed de Washington Post een oproep voor een oproep “compromis” over versleuteling, met de suggestie dat onze gegevens vanzelfsprekend verboden moeten zijn voor hackers, misschien Google en Apple et al zou een veilige gouden sleutel moeten hebben. In een uitstekende kritiek op precies waarom dit een is “misleid, gevaarlijk voorstel,” De mede-schepper van Keybase, Christ Coyne, legt dat duidelijk uit “Eerlijke, goede mensen worden bedreigd door ieder achterdeur die hun eigen wachtwoorden omzeilt.”

We moeten allemaal streven naar het maximale niveau van persoonlijke veiligheid mogelijk Begin het jaar goed met een persoonlijke beveiligingsaudit Begin het jaar goed met een persoonlijke beveiligingsaudit Het is tijd om plannen te maken voor het nieuwe jaar, bijvoorbeeld om ervoor te zorgen dat uw persoonlijke veiligheid toeneemt krabben. Hier zijn 10 stappen die u moet nemen om alles te updaten met uw pc, telefoon of tablet. Lees meer, niet om het te verzwakken bij de eerste beschikbare gelegenheid. Omdat, zoals we bij meerdere gelegenheden hebben gezien, die superduper skelet-type sleutelwoorden zijn zullen belanden in de verkeerde handen.

En wanneer ze dat doen, spelen we allemaal een gevaarlijk spel van reactieve verdediging, of we het wilden of niet.

Moeten grote technologiebedrijven achterdeurtjes creëren in hun diensten? Of moeten overheidsinstanties en andere diensten zich bezighouden met hun eigen bedrijf en zich richten op het handhaven van de beveiliging?

Beeldcredits: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock

Ontdek meer over: Computerbeveiliging, Windows 10.