» »

Stranska vrata v Microsoftov Secure Boot so se odprla

Stranska vrata v Microsoftov Secure Boot so se odprla

Slo-Tech - Microsoftu so na internet ušli glavni ključi, ki omogočajo poganjanje poljubne programske opreme, četudi zagon sistema ščiti Secure Boot. S tem je mogoče na nekatere doslej zaščitene naprave namestiti na primer Linux, po drugi strani pa se odpirajo možnost zlorab za pisce zlonamerne programske opreme. Microsoft se trudi s popravki, a težave v celoti ne more odpraviti, ne da bi zrušil združljivost z obstoječimi sistemi.

Secure Boot je funkcija UEFI-ja (naslednik BIOS-a), ki med zagonom preprečuje zaganjanje nepodpisane in nepreverjene programske opreme. Prvikrat smo ga dobili v Windows 8 in za delovanje zahteva računalnik z UEFI. Secure Boot odpravlja pomanjkljivost starega zagona v BIOS-u, kjer se je po sekvenci POST inicializirala strojna oprema, prebral in naložil firmware, nato pa je zaganjalnik (bootloader) začel zagon operacijskega sistema. Ta prva stopnja ni bila varovana, saj se nikjer ni preverjala avtentičnost kode, ki se je zaganjala. Secure Boot preverja podpis zaganjalnika in dovoli zagon le, če ima ustreznega. Seznam podpisanih certifikatov za zagotavljanje hierarhije je v UEFI-ju (db), kjer je tudi seznam preklicanih (dbx).

Secure Boot je na osebnih računalnikih mogoče izključiti, na telefonih in vgradnih napravah z Windows RT, HoloLens, Surface pa ne. Da bi lastnim razvijalcem olajšal delo, pa se je Microsoft tu ustrelil v nogo. Pripravili so namreč možnost, da UEFI ob zagonu izvede nepodpisan zaganjalnik. Ne gre za klasičen ključ (zasebni ključ po shemi PKI za podpisovanje), temveč način za zagon nepodpisane kode (secure boot policy), ki ni vezan na ID naprave, temveč deluje globalno. Ker za ta stranska vrata oziroma univerzalni ključ ne bo nihče izvedel, si je očitno mislil Microsoft, je čisto vseeno, če si razvoj olajšamo na tak način. Pa to ni res, ker je po lastni neumnosti ušel na internet.

MY123 in Slipstream sta na nekaterih napravah ta univerzalni ključ našla, ker je tam ostal po pomoti oziroma zaradi neposrečene uporabe orodij za razhroščevanje. To sta odkrila marca in Microsoft obvestila, a smo iz Redmonda dobili le dva neposrečena popravka, ki težave ne odpravljata v celoti. Microsoft se je namreč težave poskusil lotiti tako, da bi preklical zgoščene vrednosti nekaterih bootmgrjev. Odkritelja sta podrobnosti sedaj priobčila spletu na svoji piskajoči spletni strani.

Microsoft je v odzivu zapisal, da opisana tehnika zaganjanja nepodpisane kode ne deluje na osebnih računalnikih in strežnikih (ker tem Secure Boot ni niti obvezen) in da zahteva fizični dostop do naprave in administratorske privilegije. A Microsoft je tako najlepše pokazal, kaj se zgodi v primeru, ko z dobrimi namenim vgradimo varna stranska vrata, za katere ne bo izvedel nihče, podobno kot so nekateri v primeru FBI vs. Apple zahtevali od podjetja. Skrivnih vrat samo za dobre fante ni.

11 komentarjev

d4vid ::

Torej to pomeni da bi sedaj lahko poganjal android na lumii? Kar bi pretty much pokvarilo lumio.
Main PC: Asus PN50 | AMD Ryzen 5 4500U | 16 GB RAM | 256 GB SSD
PC2: HP Z400 | Intel Xeon L5630 | 6 GB RAM | 120 GB SSD
Laptop: HP Elitebook 840G1 | Intel i5 | 8 GB RAM | 256 GB SSD

jype ::

d4vid> Torej to pomeni da bi sedaj lahko poganjal android na lumii? Kar bi pretty much pokvarilo lumio.

Saj lahko Debian.

ender ::

Predvsem pomeni, da se lahko na originalni Surface namesti Linux.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Jupito ::

Ker za ta stranska vrata oziroma univerzalni ključ ne bo nihče izvedel...

Tako je mislilo že originalnih 40 brihtnežev. Koneckoncev so bili sredi puščave. Le kdo bi tam vlekel na ušesa?

Ampak danes je vse drugače. Danes imamo hitre računalnike in vladavino prava.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

ales85 ::

Ampak saj na Sufrace je mogoče izključiti Secure Boot. Potem dobiš še tak lep rdeč zaslon, kot ga jaz gledam že nekaj časa.

s1m0n ::

ender je izjavil:

Predvsem pomeni, da se lahko na originalni Surface namesti Linux.


Ne vem, če bi tale izbira bila produktivna :)
Boljše za kakšne druge naprave kot surface.

stara mama ::

Bolj je mokra misel na to, da bi nekdo spravil kaj drugega na Xbox one. Mogoče. Nekoč...

Invictus ::

Zakaj že?

Tako en kot drug operacijski sistem praktično nima več nobene prednosti pred drugim.

Uporabljaš tisto kar moraš zaradi službe...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

BivšiUser2 ::

stara mama je izjavil:

Bolj je mokra misel na to, da bi nekdo spravil kaj drugega na Xbox one. Mogoče. Nekoč...

Po možnosti dualboot s Playstation OS.
SloTech - če nisi z nami, si persona non grata.

Motion ::

ales85 je izjavil:

Ampak saj na Sufrace je mogoče izključiti Secure Boot. Potem dobiš še tak lep rdeč zaslon, kot ga jaz gledam že nekaj časa.


Je blo mišljeno surface in surface 2 ki sta bili ARM tablici in sta poganjali RT verzijo. Na surface PRO tablicah (1,2,3,4) in na surface 3 tablici pa se da sklopit SB ker so pač x86.

johnnyyy ::

Motion je izjavil:

ales85 je izjavil:

Ampak saj na Sufrace je mogoče izključiti Secure Boot. Potem dobiš še tak lep rdeč zaslon, kot ga jaz gledam že nekaj časa.


Je blo mišljeno surface in surface 2 ki sta bili ARM tablici in sta poganjali RT verzijo. Na surface PRO tablicah (1,2,3,4) in na surface 3 tablici pa se da sklopit SB ker so pač x86.

MSju se na x86 arhitekturi ne splača zaklepat OSja, saj je zelo malo kupcev, ki bi na računalnik nameščali drug OS. Na ARM arhitekturi pa je situacija ravno obrnjena, zato tam zaklepajo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Intel bo do leta 2020 ukinil podporo za BIOS

Oddelek: Novice / Procesorji
106742 (5118) hojnikb
»

Nalaganje Win 7

Oddelek: Pomoč in nasveti
15943 (716) bbenci2
»

Acerjev šef vidno nenavdušen nad Microsoftovim pohodom v hardware (strani: 1 2 3 4 )

Oddelek: Novice / Windows Mobile
17534715 (31128) Icematxyz
»

Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih opera (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20251764 (42827) Icematxyz

Več podobnih tem