Friendoffriends
W lipcu informowaliśmy, że firmie Microsoft udało się naprawić poważną lukę w zabezpieczeniach, która umożliwiłaby hakerom odblokowanie tabletów z systemem Windows RT i uruchomienie systemów operacyjnych innych niż Windows. Według ostatnich doniesień wydaje się, że poprawka bezpieczeństwa nie była tak skuteczna, a luka nadal może zostać wykorzystana.
Oprogramowanie układowe firmy Microsoft zawiera funkcję o nazwie Bezpieczny rozruch co pozwala urządzeniom uruchamiać tylko systemy operacyjne podpisane kryptograficznie przez giganta technologicznego. Funkcja bezpiecznego rozruchu jest aktywowana podczas wczesnego uruchamiania przez menedżera rozruchu systemu Windows. Istnieje jednak sposób na wyłączenie sprawdzania Bezpiecznego rozruchu przy użyciu specjalnej zasady znanej jako „złoty klucz backdoora”. Jeśli użytkownikom uda się zdobyć tę zasadę i zainstalować ją na swoich urządzeniach, menedżer rozruchu systemu Windows uruchomi dowolny system operacyjny.
Gigant technologiczny desperacko próbuje załatać tę lukę, ale niektórzy hakerzy twierdzą, że Microsoft nie może unieważnić wyciekłych kluczy.
[…] Tak czy inaczej, w praktyce MS byłoby niemożliwe odwołać każdy bootmgr wcześniej niż w pewnym momencie, ponieważ zepsuliby nośnik instalacyjny, partycje odzyskiwania, kopie zapasowe itp..
Ta poważna luka ożywia również debatę wokół funkcji bezpiecznego złotego klucza, zapoczątkowaną przez służby wywiadowcze i bezpieczeństwa. Krótko mówiąc, usługi bezpieczeństwa od dawna popychają gigantów oprogramowania do wdrożenia bezpiecznego systemu złotego klucza, który mógłby zapewnić śledczym pełny dostęp do komputerów użytkowników. Ale takie uniwersalne klucze mogą łatwo wpaść w niepowołane ręce, jak ostrzegają etyczni hakerzy:
Backdoor, który MS umieścił w celu zabezpieczenia rozruchu, ponieważ zdecydował się nie pozwolić użytkownikowi na wyłączanie go w niektórych urządzeniach, pozwala na wyłączenie bezpiecznego rozruchu wszędzie! Widać ironię. Ironia polega również na tym, że samo MS dostarczyło nam kilku ładnych „złotych kluczy” (jak powiedziałoby FBI 😉 abyśmy mogli ich użyć w tym celu 🙂 O FBI: czytasz to? Jeśli tak, to jest to doskonały prawdziwy świat przykład o tym, dlaczego twój pomysł na backdooring kryptosystemów za pomocą „bezpiecznego złotego klucza” jest bardzo zły! […] Naprawdę nadal nie rozumiesz? Microsoft wdrożył system „bezpiecznego złotego klucza”. Złote klucze zostały uwolnione z własnej głupoty MS A teraz, co się stanie, jeśli powiesz wszystkim, aby stworzyli system „bezpiecznego złotego klucza”?
Na razie Microsoft jak zwykle milczy i nie wypowiedział się jeszcze w tej sprawie.
Cały raport opublikowany przez dwóch białych hakerów, którzy zbadali tę lukę, jest dostępny w Internecie.
