Slo-Tech - Funkcionalnost Secure Boot za zagon računalnikov z zaupanja vredno programsko opremo, ki je namenjen preprečevanju nekaterih vrst okužb, je z nami že dolgo vrsto dni. Prvikrat smo Secure Boot dobili, ko so računalniki poganjali še Windows 7 in kasneje 8 davnega leta 2011. Certifikati, ki so jih tedaj uporabili za podpisovanje kode, so imeli 15-letno veljavnost. Ta doba je hitro minila, Microsoft pa je prve posodobitve začel ponujati že lani.

Prihodnje leto junija bodo torej potekli prvi certifikati (Microsoft Corporation KEK CA 2011, Microsoft UEFI CA 2011), nato pa oktobra 2026 še Microsoft Windows Production PCA 2011. Microsoft je letos vnovič obvestil uporabnike, da jih bo treba do tedaj posodobiti. To bodo morali storiti tudi uporabniki drugih operacijskih sistemov, denimo Linux in macOS, ki uporabljajo Secure Boot.

Čeprav gre z Microsoftovega vidika za pomemben in kompleksen dogodek, domači uporabniki ne bi smeli opaziti nič posebnega. Prek Windows Update se bodo posodobili...

Microsoft - Pri Microsoftu so lansirali popravek, ki onemogoča, da bi zlobna koda BlackLotus obšla sistem Secure Boot in se prikrito namestila na računalnik še pred zagonom Windowsov. Toda postopno nameščanje na vse računalnike naj bi trajalo slabo leto, po tem pa na teh napravah starejši mediji za nameščanje Oken ne bodo več uporabni, če ne bodo tudi posodobljeni.

BlackLotus je zbirka orodij, ki skozi zlorabo ranljivosti v strojni kodi UEFI omogoča nameščanje rootkitov, se pravi programja za prevzem nadzora nad računalnikom (UEFI bootkit). Varnostni strokovnjaki so ga prvič zaznali lansko jesen, od tedaj pa poteka napeta tekma z zlikovci v iskanju protistrupov. Razvijalci BlackLotusa so namreč zelo aktivni in ga stalno nadgrajujejo; v tem pogledu pa je predvsem pomembno, da je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo. Sedaj...

Slo-Tech - Novi Applovi računalniki (iMac Pro in letošnji modeli Mac mini, MacBook Air in MacBook Pro) imajo vgrajen varnostni čip T2, ki je namenjen preprečitvi zagona nepodpisane programske opreme. Na ta način želi Apple uporabnike zaščititi pred različnimi virusi in samimi seboj, a to hkrati pomeni tudi, da na tak računalnik ni mogoče namestiti Linuxa ali Windows. Tudi onesposobitev Secure Boota trenutno ne pomaga.

S tovarniškimi nastavitvami omenjeni Applovi računalniki ne dovolijo poganjati Windows. V ta namen je Apple pripravil orodje Boot Camp Assistant, ki lahko namesti dodatne certifikate. za Windows Production CA 2011, ki bi to omogočili....

Slo-Tech - Microsoftu so na internet ušli glavni ključi, ki omogočajo poganjanje poljubne programske opreme, četudi zagon sistema ščiti Secure Boot. S tem je mogoče na nekatere doslej zaščitene naprave namestiti na primer Linux, po drugi strani pa se odpirajo možnost zlorab za pisce zlonamerne programske opreme. Microsoft se trudi s popravki, a težave v celoti ne more odpraviti, ne da bi zrušil združljivost z obstoječimi sistemi.

Secure Boot je funkcija UEFI-ja (naslednik BIOS-a), ki med zagonom preprečuje zaganjanje nepodpisane in nepreverjene programske opreme. Prvikrat smo ga dobili v Windows 8 in za delovanje zahteva računalnik z UEFI. Secure Boot odpravlja pomanjkljivost starega zagona v BIOS-u, kjer se je po sekvenci POST inicializirala strojna oprema, prebral in naložil firmware, nato pa je zaganjalnik (bootloader) začel zagon operacijskega sistema. Ta prva stopnja ni bila varovana, saj se nikjer...

OMG! UBUNTU! - Davnega leta 2005 nas je Andraž Tori na NESTu strašil s predavanjem o kraticah, kot so DRM (digital rights management), TPM (trusted platform module), TC (trusted computing). Predavanje smo v skupni debati zaključili z ugotovitvijo, da nam bodo v neki ne tako daljni prihodnosti proizvajalci programske in strojne opreme (ali pa kakšna druga organizacija na višji ravni) določali kaj bomo poganjali na svojih računalnikih in kako bomo te programe poganjali. Kontrolo pa smo raztegnili tudi na prikaz in predvajanje vsebin. Večina slušateljev je zamahnila z roko, češ tega pa tako ali tako ne bo nihče dovolil.

V letu 2011 je večina računalnikov že opremljena s TPM čipom in večina računalnikov...