פרסומת

במה שניתן בהחלט להחשיב כדוגמה נוצצת בדיוקלמה מפתחות מוזהבים המציעים דלת אחורית לשירותים מאובטחים לא אמורים להתקיים, מיקרוסופט הדליף בטעות את מפתח הראשי למערכת Secure Boot שלהם.

הדליפה עשויה לבטל את הנעילה של כל המכשירים שבהם מותקנת טכנולוגיית Secure Boot של מיקרוסופט, ומפשטת את מערכת ההפעלה הנעולה שלהם מצב המאפשר למשתמשים להתקין מערכות הפעלה ויישומים משלהם במקום אלו המיועדים לטכנולוגיית רדמונד בהמות.

הדליפה לא אמורה לפגוע באבטחת המכשיר שלך - להלכה. אבל זה יפתח את הקווים למערכות הפעלה חלופיות ויישומים אחרים שבעבר לא היו יכולים לעבוד על מערכת Secure Boot.

כיצד מיקרוסופט תגיב לכך? עדכון פשוט לשינוי כל מפתח בסיס מאובטח אתחול? או שמא פשוט מאוחר מדי, נגרם נזק?

בואו נסתכל היטב על המשמעות של דליפת האתחול המאובטח עבורך ועבור המכשירים שלך.

מהו אתחול מאובטח?

"אתחול מאובטח עוזר לוודא שהמחשב האישי שלך יתחיל להשתמש רק בקושחה האמינה על ידי היצרן"

אתחול מאובטח של מיקרוסופט הגיע עם Windows 8, והוא נועד למנוע ממפעילים זדוניים להתקין יישומים מהו UEFI ואיך זה שומר אותך יותר מאובטח?אם אתחלת את המחשב שלך לאחרונה ייתכן שתבחין בראשי תיבות "UEFI" במקום BIOS. אבל מה זה UEFI? קרא עוד

instagram viewer
או כל מערכת הפעלה בלתי מורשית מטעינה, או ביצוע שינויים, במהלך תהליך ההפעלה של המערכת. כאשר הגיעה, היו חששות כי הצגתו תגביל מאוד את היכולת למערכות מיקרוסופט כפולות או מרובות אתחול. בסופו של דבר, זה היה במידה רבה ללא בסיס - או שנמצאו דרכים לעקיפת הבעיה.

ככל שמאבטח מאובטח מסתמך מפרט ה- UEFI (ממשק קושחה מאוחד להרחבה) מהו UEFI ואיך זה שומר אותך יותר מאובטח?אם אתחלת את המחשב שלך לאחרונה ייתכן שתבחין בראשי תיבות "UEFI" במקום BIOS. אבל מה זה UEFI? קרא עוד לספק מתקני הצפנה בסיסיים, אימות רשת וחתימת מנהלי התקנים, ומתן מערכות מודרניות לשכבה נוספת של הגנה מפני ערכות שורש ותוכנות זדוניות ברמה נמוכה.

חלונות 10 UEFI

מיקרוסופט רצתה להעלות את ה"הגנה "שמציע UEFI ב- Windows 10.

כדי לדחוף את זה, מיקרוסופט הודיעה ליצרנים לפני יציאת Windows 10 כי הבחירה להסיר אותה האפשרות להשבית את Secure Boot הייתה בידיהם האם לינוקס לא תעבוד יותר על חומרת Windows 10 עתידית?אתחול מאובטח יכול למנוע האתחול של כמה מחוזות לינוקס. במכשירי Windows 10 הקרובים, יצרנים עשויים להסיר את האפשרות לכבות את Secure Boot. זה ישפיע על Linux Mint ועל כמה מחוזות פופולריים אחרים. קרא עוד , נעילה אפקטיבית של מערכת ההפעלה לזו שאליה מגיע מחשב. ראוי לציין שמיקרוסופט לא דחפה ישירות את היוזמה הזו (לפחות לא לגמרי בפומבי), אלא בתור פיטר ברייט של Ars Technica מסביר, שינויים בכללי UEFI הקיימים לפני תאריך השחרור של Windows 10 אפשרו זאת:

"אם זה יעמוד, אנו יכולים לדמיין יצרני ציוד מקורי של יצרני ציוד מקורי שלא יציעו דרך קלה לאתחל מערכות הפעלה בעלות בנייה עצמית, או אכן, כל מערכת הפעלה שאין לה דיגיטל מתאים חתימות. "

אמנם יש ללא ספק מספר רב של שולחנות עבודה ומחשבים ניידים למכירה עם הגדרות UEFI לא נעולות, אך הדבר עלול התברר כמעין נגף נוסף למי שמעוניין לנסות אלטרנטיבה להפעלת חלונות שלהם מערכת.

עוד חסימת דרך עבור תומכי לינוקס לעבוד סביב... אנחה.

ועכשיו אתחול מאובטח לא נעול לצמיתות?

לצמיתות, אני לא כל כך בטוח. אך בינתיים ניתן לבטל את הנעילה של Secure Boot. הנה מה שקרה.

Secure Boot נמצא על ערש דווי.

הרשמה מגיעה מחר או רביעי.

- slipstream / RoL (@ TheWack0lian) 8 באוגוסט 2016

אני יודע שהתייחסתי למפתח מסוג שלד סופר-דופר שפותח כל נעילה אחת בכל יקום UEFI Secure Boot של מיקרוסופט... אך למעשה זה מסתכם באילו מדיניות חתמתם על מערכת.

אתחול מאובטח משבית דליפות בינאריות. מה יותר מעצבן עבור מיקרוסופט? https://t.co/n0fGr7pwdo

- בעלי חיים מיתיים (@Mythic_Beasts) 10 באוגוסט 2016

אתחול מאובטח פועל בד בבד עם מדיניות מסוימת, לקרוא ובאופן מלא מציית למנהל האתחול של Windows כיצד לפתור את רוב בעיות האתחול של Windowsהאם מחשב Windows שלך אינו מאתחל? זה יכול להיות בגלל שגיאה בחומרה, תוכנה או קושחה. להלן כיצד לאבחן ולתקן בעיות אלה. קרא עוד . המדיניות מייעצת למנהל האתחול להפעיל את האתחול המאובטח. עם זאת, מיקרוסופט יצרה מדיניות אחת שנועדה לאפשר למפתחים לבדוק מבני מערכות הפעלה מבלי שיהיה צורך לחתום דיגיטלית על כל גרסה. זה מבטל את Secure Boot באופן יעיל, מבטל את בדיקות המערכת המוקדמות במהלך תהליך ההפעלה. חוקרי האבטחה, MY123 ו סליפסטרים, תיעדו את הממצאים שלהם (באתר ממש מענג):

"במהלך פיתוח 'Redstone' של Windows 10 v1607, MS הוסיפה סוג חדש של מדיניות אתחול מאובטחת. כלומר, מדיניות "משלימה" שנמצאת במחיצת EFIESP (ולא במשתנה של UEFI), ויש להן את הגדרות שהתמזגו, תלויות בתנאים (כלומר, מדיניות "הפעלה" מסוימת קיימת גם היא, והיא הייתה קיימת טעון).

Bootmgr.efi של רדסטון טוען תחילה מדיניות "מדור קודם" (כלומר מדיניות ממשתני UEFI). בשעה מסוימת ב- redstone dev, היא לא ביצעה בדיקות נוספות מעבר לבדיקות חתימה / deviceID. (זה השתנה כעת, אך ראו כיצד השינוי מטופש) לאחר טעינת מדיניות "מורשת", או מדיניות בסיס ממחיצת EFIESP, היא טוענת, בודקת ומתמזגת במדיניות המשלימה.

רואה את הנושא כאן? אם לא, הרשה לי להסביר לך את זה בצורה ברורה וברורה. המדיניות "המשלימה" מכילה אלמנטים חדשים לתנאי המיזוג. תנאים אלה אינם מסומנים (ובכן, בפעם אחת) על ידי bootmgr בעת טעינת מדיניות מדור קודם. ו- bootmgr של win10 v1511 ומוקדם יותר בהחלט לא יודע עליהם. לאותם bootmgrs, זה עתה טען מדיניות תקפה וחתומה לחלוטין. "

זה לא עושה קריאה טובה עבור מיקרוסופט. המשמעות היא למעשה שמדיניות מצב הבאג שנועדה לאפשר למפתחים - ורק למפתחים - סיכוי לשלול את תהליכי החתימה פתוחה לכל מי שיש לו גרסה קמעונאית של Windows 10. ושמדיניות זו דלפה לאינטרנט.

זוכרים את האייפון של סן ברנרדינו?

"אתה יכול לראות את האירוניה. כמו כן האירוניה בכך שטרשת נפוצה עצמה סיפקה לנו כמה "מפתחות מוזהבים" נחמדים (כמו שה- FBI היה אומר;) שנוכל להשתמש למטרה זו :)

על ה- FBI: האם אתה קורא את זה? אם כן, זוהי דוגמה מושלמת בעולם האמיתי מדוע הרעיון שלך לפתוח מערכות קריפטו-דלתות עם "מפתח זהוב מאובטח" הוא רע מאוד! אנשים חכמים ממני מספרים לך את זה כל כך הרבה זמן, נראה שיש לך אצבעות באוזניים. אתה באמת לא מבין עדיין? מיקרוסופט הטמיעה מערכת "מפתח זהוב מאובטח". ומפתחות הזהב שוחררו מהטיפשות של מ.ס. מה קורה אם אתה אומר לכולם לעשות מערכת "מפתח זהוב מאובטח"? אני מקווה שתוכלו להוסיף 2 + 2… ”

עבור תומכי ההצפנה זה היה הרגע הכל-מתוק שמאפשר לקוות לספק בהירות נחוצה לסוכנויות אכיפת החוק ולעובדי ממשלה כאחד. דלתות אחוריות מוזהבות לעולם לא הישאר חבוי. הם תמיד יתגלו, אם כי על ידי פגיעות פנימית בלתי צפויה (גילויים מושלגים גיבור או נבל? NSA ממתנת את עמדתה ביחס לסנודןהמפצח אדוארד סנודן וג'ון דה-לונג של ה- NSA הופיעו בלוח הזמנים לסימפוזיון. אמנם לא היה ויכוח, אולם נראה כי ה- NSA כבר לא מצייר את סנודן כבוגד. מה השתנה? קרא עוד ) או על ידי מי שמעוניין לחטט ולמשוך את הטכנולוגיה ואת הקוד הבסיסי שלה זה מזה.

קחו למשל את האייפון של סן ברנרדינו ...

"יש לנו כבוד רב לאנשי המקצוע ב- FBI ואנחנו מאמינים שכוונותיהם טובות. עד לנקודה זו עשינו כל מה שנמצא בכוחנו והן במסגרת החוק כדי לעזור להם. אולם כעת ממשלת ארה"ב ביקשה מאיתנו משהו שפשוט אין לנו, ומשהו אנו רואים כמסוכנים מכדי ליצור. הם ביקשו מאיתנו לבנות דלת אחורית לאייפון מהי מערכת ההפעלה הניידת הכי מאובטחת?אנו נאבקים על תואר מערכת ההפעלה הניידת המאובטחת ביותר, יש לנו: אנדרואיד, בלקברי, אובונטו, Windows Phone ו- iOS. איזו מערכת הפעלה מיטיבה להחזיק את עצמה מפני התקפות מקוונות? קרא עוד .”

הכדור נשען עם מיקרוסופט

כפי שציינתי, זה לא אמור להוות סיכון אבטחה עצום למכשירים האישיים שלך, ומיקרוסופט פרסמה הצהרה שמציינת את הרלוונטיות של דליפת האתחול המאובטח:

"טכניקת הפריצה המתוארת בדו"ח החוקרים ב- 10 באוגוסט אינה חלה על מערכות מחשב שולחניות או ארגוניות. זה דורש גישה פיזית וזכויות מנהל למכשירי ARM ו- RT ולא מסכן את הגנות ההצפנה. "

וגם את זה, יש להם פרסמה בחיפזון עלון אבטחה של מיקרוסופט כינוי "חשוב". פעולה זו תפתור את הפגיעות לאחר התקנתה. עם זאת, לא יידרש הרבה כדי להתקין גרסה של Windows 10 בלי שהטלא ייושם.

מפתחות הזהב

לרוע המזל, סביר להניח שהדבר לא יוביל לשטף חדש של מכשירי מיקרוסופט שמפעילים מחוזות לינוקס. זאת אומרת, יהיו כמה אנשים יוזמניים שלוקחים את הזמן לבחון זאת, אבל עבור רוב האנשים זה פשוט יהיה עוד ביטחון ביטחוני שעבר אותם.

זה לא אמור.

לא לתת לעזאזל דיסטרואים לינוקס בטאבלטים של מיקרוסופט זה דבר אחד, בטוח. אולם ההשלכות הרחבות יותר של מפתח מוזהב שדלף לרשות הרבים כדי לפתוח מיליוני מכשירים פוטנציאליים הן אחרות.

מפתחות muo-securityy-skeleton

לפני מספר שנים הוושינגטון פוסט התקשר להפגנת "להתפשר"על הצפנה, והציע כי אמנם הנתונים שלנו צריכים להיות מחוץ לתחום עבור האקרים, אולי גוגל ואפל et al צריך להיות בעל מפתח זהוב מאובטח. בביקורת מצוינת למה בדיוק זה "הצעה מוטעית ומסוכנת,” בסיס המפתח היוצר המשותף, כריסט קויין, מסביר, בפשטות, כי "אנשים כנים וטובים מסכנים אותם כל דלת אחורית שעוקפת את הסיסמאות שלהם. "

עלינו לחתור לכולנו רמת האבטחה המרבית האפשרית התחל את השנה בחופש עם ביקורת אבטחה אישיתהגיע הזמן לתכנן תוכניות לשנה החדשה, כמו להבטיח את הביטחון האישי שלך עד תום. להלן 10 צעדים שעליכם לנקוט כדי לעדכן את הכל באמצעות המחשב האישי, הטלפון או הטאבלט. קרא עוד , לא להתכוון להחליש אותו בהזדמנות הראשונה העומדת לרשותו. כי כפי שראינו פעמים רבות, המפתח של סוג זה של סופר-דופר יהיה בסופו של דבר בידיים הלא נכונות.

וכשזה כן, כולנו משחקים משחק מסוכן של הגנה תגובתית, בין אם רצינו ובין אם לא.

האם חברות טכנולוגיה מרכזיות צריכות ליצור דלתות אחוריות בשירותיהן? או שמא על סוכנויות ממשלתיות ושירותים אחרים להתייחס לעסק שלהם ולהתמקד בשמירה על ביטחון?

קרדיט תמונה: DutchScenery / Shutterstock, קונסטנטין פאנקין / Shutterstock

גבין הוא סופר בכיר ב- MUO. הוא גם עורך ומנהל SEO של אתר האחות הממוקדת בקריפטו של MakeUseOf, Blocks Decoded. הוא בעל תואר ראשון (Hons) בכתיבה עכשווית עם פרקטיקות באמנות דיגיטלית, הנדנדה מגבעות דבון, וכן ניסיון של למעלה מעשור של כתיבה מקצועית. הוא נהנה מכמויות תה רבות.