» »

Stranska vrata v Microsoftov Secure Boot so se odprla

Stranska vrata v Microsoftov Secure Boot so se odprla

Slo-Tech - Microsoftu so na internet ušli glavni ključi, ki omogočajo poganjanje poljubne programske opreme, četudi zagon sistema ščiti Secure Boot. S tem je mogoče na nekatere doslej zaščitene naprave namestiti na primer Linux, po drugi strani pa se odpirajo možnost zlorab za pisce zlonamerne programske opreme. Microsoft se trudi s popravki, a težave v celoti ne more odpraviti, ne da bi zrušil združljivost z obstoječimi sistemi.

Secure Boot je funkcija UEFI-ja (naslednik BIOS-a), ki med zagonom preprečuje zaganjanje nepodpisane in nepreverjene programske opreme. Prvikrat smo ga dobili v Windows 8 in za delovanje zahteva računalnik z UEFI. Secure Boot odpravlja pomanjkljivost starega zagona v BIOS-u, kjer se je po sekvenci POST inicializirala strojna oprema, prebral in naložil firmware, nato pa je zaganjalnik (bootloader) začel zagon operacijskega sistema. Ta prva stopnja ni bila varovana, saj se nikjer ni preverjala avtentičnost kode, ki se je zaganjala. Secure Boot preverja podpis zaganjalnika in dovoli zagon le, če ima ustreznega. Seznam podpisanih certifikatov za zagotavljanje hierarhije je v UEFI-ju (db), kjer je tudi seznam preklicanih (dbx).

Secure Boot je na osebnih računalnikih mogoče izključiti, na telefonih in vgradnih napravah z Windows RT, HoloLens, Surface pa ne. Da bi lastnim razvijalcem olajšal delo, pa se je Microsoft tu ustrelil v nogo. Pripravili so namreč možnost, da UEFI ob zagonu izvede nepodpisan zaganjalnik. Ne gre za klasičen ključ (zasebni ključ po shemi PKI za podpisovanje), temveč način za zagon nepodpisane kode (secure boot policy), ki ni vezan na ID naprave, temveč deluje globalno. Ker za ta stranska vrata oziroma univerzalni ključ ne bo nihče izvedel, si je očitno mislil Microsoft, je čisto vseeno, če si razvoj olajšamo na tak način. Pa to ni res, ker je po lastni neumnosti ušel na internet.

MY123 in Slipstream sta na nekaterih napravah ta univerzalni ključ našla, ker je tam ostal po pomoti oziroma zaradi neposrečene uporabe orodij za razhroščevanje. To sta odkrila marca in Microsoft obvestila, a smo iz Redmonda dobili le dva neposrečena popravka, ki težave ne odpravljata v celoti. Microsoft se je namreč težave poskusil lotiti tako, da bi preklical zgoščene vrednosti nekaterih bootmgrjev. Odkritelja sta podrobnosti sedaj priobčila spletu na svoji piskajoči spletni strani.

Microsoft je v odzivu zapisal, da opisana tehnika zaganjanja nepodpisane kode ne deluje na osebnih računalnikih in strežnikih (ker tem Secure Boot ni niti obvezen) in da zahteva fizični dostop do naprave in administratorske privilegije. A Microsoft je tako najlepše pokazal, kaj se zgodi v primeru, ko z dobrimi namenim vgradimo varna stranska vrata, za katere ne bo izvedel nihče, podobno kot so nekateri v primeru FBI vs. Apple zahtevali od podjetja. Skrivnih vrat samo za dobre fante ni.

11 komentarjev

d4vid ::

Torej to pomeni da bi sedaj lahko poganjal android na lumii? Kar bi pretty much pokvarilo lumio.
Laptop:Akoya E4214|Pentium N3540|4 GB RAM|120 GB SSD|Ubuntu Budgie
NAS: Intel Atom D2550|2 GB RAM|3 TB HDD
.: david.bajda.si :.

jype ::

d4vid> Torej to pomeni da bi sedaj lahko poganjal android na lumii? Kar bi pretty much pokvarilo lumio.

Saj lahko Debian.

ender ::

Predvsem pomeni, da se lahko na originalni Surface namesti Linux.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

Jupito ::

Ker za ta stranska vrata oziroma univerzalni ključ ne bo nihče izvedel...

Tako je mislilo že originalnih 40 brihtnežev. Koneckoncev so bili sredi puščave. Le kdo bi tam vlekel na ušesa?

Ampak danes je vse drugače. Danes imamo hitre računalnike in vladavino prava.
I used to be with it, but then they changed what it was.
Now what I'm with isn't it and what's it seems weird
and scary to me. It'll happen to you!

ales85 ::

Ampak saj na Sufrace je mogoče izključiti Secure Boot. Potem dobiš še tak lep rdeč zaslon, kot ga jaz gledam že nekaj časa.

s1m0n ::

ender je izjavil:

Predvsem pomeni, da se lahko na originalni Surface namesti Linux.


Ne vem, če bi tale izbira bila produktivna :)
Boljše za kakšne druge naprave kot surface.
|4770K/H100i|ASUS Z87 Deluxe|16GB Vengeance Pro|
|840EVO 250GB|MSI 760|Seasonic X|FD Define XL R2|

stara mama ::

Bolj je mokra misel na to, da bi nekdo spravil kaj drugega na Xbox one. Mogoče. Nekoč...

Invictus ::

Zakaj že?

Tako en kot drug operacijski sistem praktično nima več nobene prednosti pred drugim.

Uporabljaš tisto kar moraš zaradi službe...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

S4NNY1 ::

stara mama je izjavil:

Bolj je mokra misel na to, da bi nekdo spravil kaj drugega na Xbox one. Mogoče. Nekoč...

Po možnosti dualboot s Playstation OS.
SloTech - Äće nisi z nami, si persona non grata.

Motion ::

ales85 je izjavil:

Ampak saj na Sufrace je mogoče izključiti Secure Boot. Potem dobiš še tak lep rdeč zaslon, kot ga jaz gledam že nekaj časa.


Je blo mišljeno surface in surface 2 ki sta bili ARM tablici in sta poganjali RT verzijo. Na surface PRO tablicah (1,2,3,4) in na surface 3 tablici pa se da sklopit SB ker so pač x86.

johnnyyy ::

Motion je izjavil:

ales85 je izjavil:

Ampak saj na Sufrace je mogoče izključiti Secure Boot. Potem dobiš še tak lep rdeč zaslon, kot ga jaz gledam že nekaj časa.


Je blo mišljeno surface in surface 2 ki sta bili ARM tablici in sta poganjali RT verzijo. Na surface PRO tablicah (1,2,3,4) in na surface 3 tablici pa se da sklopit SB ker so pač x86.

MSju se na x86 arhitekturi ne splača zaklepat OSja, saj je zelo malo kupcev, ki bi na računalnik nameščali drug OS. Na ARM arhitekturi pa je situacija ravno obrnjena, zato tam zaklepajo.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Napaka - Memory_Management - Namestitev Windows10

Oddelek: Operacijski sistemi
11952 (647) Zheegec
»

Kako bootati iz USB na Windows tablici?

Oddelek: Operacijski sistemi
11856 (505) Compufreek
»

NOV prenosnik - Toshiba Satellite --- pomoč lepo prosim!

Oddelek: Pomoč in nasveti
424370 (2914) Matej Marinč
»

Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih opera (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20225371 (16434) Icematxyz
»

CES 2012: Kaj smo izvedeli o Windows 8 (strani: 1 2 )

Oddelek: Novice / Operacijski sistemi
9717331 (11044) Bistri007

Več podobnih tem