Lo que necesita saber sobre las claves de arranque seguro de Windows 10

En lo que podría considerarse absolutamente un brillante ejemplo de exactamente por qué las llaves doradas que ofrecen una puerta trasera en servicios seguros no deberían existir, Microsoft filtró accidentalmente la llave maestra a su sistema de arranque seguro.

La fuga potencialmente desbloquea todos los dispositivos con la tecnología Microsoft Secure Boot instalada, eliminando el estado de su sistema operativo bloqueado, permitiendo a los usuarios instalar sus propios sistemas operativos y aplicaciones en lugar de los designados por el gigante de la tecnología de Redmond.

La fuga no debería comprometer la seguridad de su dispositivo, en teoría. Pero abrirá las líneas para sistemas operativos alternativos y otras aplicaciones que anteriormente no hubieran funcionado en un sistema de arranque seguro.

¿Cómo responderá Microsoft a esto? ¿Una actualización simple para alterar cada clave de base de arranque seguro? ¿O es simplemente demasiado tarde, daño hecho??

Echemos un vistazo a lo que significa la fuga de arranque seguro para usted y sus dispositivos.

¿Qué es el arranque seguro?

“El arranque seguro ayuda a asegurarse de que su PC se inicie solo con un firmware en el que el fabricante confíe.”

Microsoft Secure Boot llegó con Windows 8 y está diseñado para evitar que operadores malintencionados instalen aplicaciones. ¿Qué es UEFI y cómo lo mantiene más seguro? ¿Qué es UEFI y cómo te mantiene más seguro? Lea más o cualquier otro sistema operativo no autorizado durante la carga o los cambios durante el proceso de inicio del sistema. Cuando llegó, existía la preocupación de que su introducción limitaría gravemente la capacidad de sistemas de Microsoft de arranque dual o múltiple. Al final, esto fue en gran parte infundado - o se encontraron soluciones.

Como Secure Boot se basa en la especificación UEFI (Interfaz de firmware extensible unificada) ¿Qué es UEFI y cómo lo mantiene más seguro? ¿Qué es UEFI y cómo te mantiene más seguro? Lea más para proporcionar instalaciones básicas de encriptación, autenticación de red y firma de controladores, proporcionando sistemas modernos con otra capa de protección contra rootkits y malware de bajo nivel.

Windows 10 UEFI

Microsoft quería aumentar la “proteccion” ofrecido por UEFI en Windows 10.

Para llevar esto a cabo, Microsoft informó a los fabricantes antes del lanzamiento de Windows 10 que la opción de eliminar la opción de deshabilitar el arranque seguro estaba en sus manos. ¿Ya no funcionará Linux en el futuro hardware de Windows 10? ¿Linux ya no funcionará en el futuro hardware de Windows 10? El arranque seguro puede evitar el arranque de algunas distribuciones de Linux. En los próximos dispositivos con Windows 10, los fabricantes pueden eliminar la opción para desactivar el arranque seguro. Esto afectará a Linux Mint y varias otras distribuciones populares. Lea más, bloqueando efectivamente el sistema operativo al que llega una computadora. Vale la pena señalar que Microsoft no impulsó directamente esta iniciativa (al menos no de forma totalmente pública), pero como explica Peter Bright de Ars Technica, los cambios en las reglas UEFI existentes antes de la fecha de lanzamiento de Windows 10 hicieron esto posible:

“En este caso, podemos prever que los fabricantes de equipos originales construyan máquinas que no ofrezcan una manera fácil de arrancar sistemas operativos de construcción propia o, de hecho, cualquier sistema operativo que no tenga las firmas digitales adecuadas..”

Si bien hay indudablemente numerosos equipos de sobremesa y portátiles en venta con configuraciones UEFI desbloqueadas, este podría ser otro obstáculo para aquellos que deseen probar una alternativa a su sistema operativo Windows..

Otro obstáculo más para que los defensores de Linux puedan trabajar alrededor ... suspiro.

Y ahora el arranque seguro se desbloquea de forma permanente?

Permanentemente, no estoy tan seguro. Pero mientras tanto, Secure Boot puede ser desbloqueado. Esto es lo que paso.

Secure Boot está en su lecho de muerte.

Escritura de mañana o miércoles.

- slipstream / RoL (@ TheWack0lian) 8 de agosto de 2016

Sé que me he estado refiriendo a una clave de tipo esqueleto super-duper que desbloquea cada bloqueo en todo el universo de UEFI Secure Boot de Microsoft ... pero en realidad se trata de qué políticas ha firmado en su sistema.

Arranque seguro deshabilitando binarios filtrados. ¿Qué es más molesto para Microsoft? https://t.co/n0fGr7pwdo

- Bestias míticas (@Mythic_Beasts) 10 de agosto de 2016

El inicio seguro funciona en conjunto con ciertas políticas, leídas y obedecidas por el administrador de inicio de Windows Cómo resolver la mayoría de los problemas de inicio de Windows Cómo resolver la mayoría de los problemas de inicio de Windows ¿Su computadora Windows no se está iniciando? Podría ser debido a un error de hardware, software o firmware. Aquí es cómo diagnosticar y solucionar estos problemas. Lee mas . Las políticas aconsejan al administrador de arranque que mantenga el arranque seguro habilitado. Sin embargo, Microsoft creó una política diseñada para permitir a los desarrolladores probar las compilaciones del sistema operativo sin tener que firmar digitalmente cada versión. Esto invalida efectivamente el arranque seguro, deshabilitando las verificaciones tempranas del sistema durante el proceso de inicio. Los investigadores de seguridad, MY123 y Slipstream, documentaron sus hallazgos (en un sitio web realmente encantador):

“Durante el desarrollo de Windows 10 v1607 'Redstone', MS agregó un nuevo tipo de política de arranque seguro. A saber, “hecho suplementario” políticas que están ubicadas en la partición EFIESP (en lugar de en una variable UEFI), y tienen sus configuraciones fusionadas, dependiendo de las condiciones (es decir, que un determinado “activación” La política también existe, y se ha cargado en).

Redstone's bootmgr.efi cargas “legado” políticas (es decir, una política de variables UEFI) primero. En un momento determinado en redstone dev, no realizó más comprobaciones más allá de las comprobaciones de firma / dispositivo. (Esto ahora ha cambiado, pero vea cómo el cambio es estúpido) Después de cargar el “legado” política, o una política base de la partición EFIESP, luego carga, verifica y se fusiona en las políticas complementarias.

¿Ves el tema aquí? Si no, déjame explicártelo claramente. los “hecho suplementario” La política contiene nuevos elementos, para las condiciones de fusión. Estas condiciones no están (bueno, a la vez) desactivadas por bootmgr al cargar una política heredada. Y bootmgr de win10 v1511 y anteriores ciertamente no sabe acerca de ellos. Para esos bootmgrs, se acaba de cargar en una política firmada y perfectamente válida..”

No es una buena lectura para Microsoft. De hecho, significa que la política de modo de depuración diseñada para permitir a los desarrolladores, y solo a ellos, la posibilidad de anular los procesos de firma está abierta a cualquier persona con una versión comercial de Windows 10. Y que esa política se ha filtrado a Internet.

Recordar el iPhone de San Bernardino?

“Puedes ver la ironía. También la ironía en que la propia EM nos proporcionó varias buenas. “llaves de oro” (como diría el FBI;) para que lo usemos para ese propósito :)

Sobre el FBI: estas leyendo esto? Si es así, entonces este es un ejemplo perfecto del mundo real acerca de por qué su idea de sistemas criptográficos de puerta trasera con una “llave de oro segura” ¡es muy malo! Las personas más inteligentes que yo te han estado diciendo esto durante tanto tiempo, parece que tienes tus dedos en tus oídos. ¿En serio no entiendes todavía? Microsoft implementó un “llave de oro segura” sistema. Y las llaves de oro se liberaron de la propia estupidez de MS. Ahora, ¿qué pasa si le dices a todos que hagan una “llave de oro segura” ¿sistema? Esperemos que puedas agregar 2 + 2 ... ”

Para aquellos defensores de la encriptación, este ha sido un momento totalmente agridulce que, con suerte, brindará la claridad necesaria para los organismos encargados de hacer cumplir la ley y los funcionarios gubernamentales por igual. Puertas traseras de oro Nunca permanecen ocultos. Siempre serán descubiertos, ya sea por una vulnerabilidad interna imprevista (¿Snowden revelaciones Hero o Villain? ¿NSA modera su postura sobre Snowden Hero o Villain? NSA modera su postura sobre Snowden Whistleblower Edward Snowden y John DeLong de la NSA aparecieron en el calendario para simposio. Si bien no hubo debate, parece que la NSA ya no pinta a Snowden como un traidor. ¿Qué ha cambiado? Lea más) o por aquellos interesados ​​en buscar y extraer tecnología y su código subyacente aparte.

Considera el iPhone de San Bernardino ...

“Tenemos un gran respeto por los profesionales del FBI y creemos que sus intenciones son buenas. Hasta este punto, hemos hecho todo lo que está a nuestro alcance y dentro de la ley para ayudarlos. Pero ahora el gobierno de los Estados Unidos nos ha pedido algo que simplemente no tenemos, y algo que consideramos demasiado peligroso crear. Nos han pedido que construyamos una puerta trasera para el iPhone ¿Cuál es el sistema operativo móvil más seguro? ¿Cuál es el sistema operativo móvil más seguro? Luchando por obtener el título de SO móvil más seguro, tenemos: Android, BlackBerry, Ubuntu, Windows Phone e iOS. ¿Qué sistema operativo es el mejor para defenderse de los ataques en línea? Lee mas .”

La bola descansa con Microsoft

Como mencioné, esto realmente no debería suponer un riesgo de seguridad masivo para sus dispositivos personales, y Microsoft publicó una declaración en la que minimiza la relevancia de la fuga de arranque seguro:

“La técnica de jailbreak descrita en el informe de los investigadores del 10 de agosto no se aplica a los sistemas de PC de escritorio o empresariales. Requiere acceso físico y derechos de administrador a los dispositivos ARM y RT y no compromete las protecciones de cifrado.”

Además de esto, han lanzado apresuradamente un boletín de seguridad de Microsoft designado “Importante.” Esto resolverá la vulnerabilidad una vez instalado. Sin embargo, no tomará mucho instalar una versión de Windows 10 sin el parche implementado.

Secure Boot es casi seguro muerto.

- Longhorn (@never_released) 8 de agosto de 2016

Llaves de oro

Desafortunadamente, es poco probable que esto conduzca a un nuevo exceso de dispositivos de Microsoft que ejecutan distribuciones de Linux. Quiero decir, habrá algunas personas emprendedoras que se tomarán el tiempo para probar esto, pero para la mayoría de las personas, esto será simplemente otro problema de seguridad que pasó por alto.

No deberia.

Seguro que no le importan las distribuciones de Linux en las tabletas de Microsoft. Pero las implicaciones más amplias de una llave de oro que se filtra al dominio público para desbloquear potencialmente millones de dispositivos es otra..

Hace un par de años, The Washington Post hizo un llamado para reunir “compromiso” en el cifrado, proponiendo que mientras nuestros datos obviamente estén fuera del alcance de los piratas informáticos, tal vez Google y Apple et al Debe tener una llave de oro segura. En una excelente crítica de exactamente por qué esto es un “propuesta equivocada, peligrosa,” El co-creador de Keybase, Christ Coyne, explica claramente que “Honesto, la gente buena esta en peligro por alguna puerta trasera que pasa por alto sus propias contraseñas.”

Todos debemos esforzarnos por el máximo nivel de seguridad personal posible. Comenzar el año con una auditoría de seguridad personal. Comenzar el año con una auditoría de seguridad personal. a la altura. Aquí hay 10 pasos que debe seguir para actualizar todo usando su PC, teléfono o tableta. Lea más, no se digne a debilitarlo en la primera oportunidad disponible. Porque como hemos visto en múltiples ocasiones, esas super-duper skeleton-key key's será terminar en las manos equivocadas.

Y cuando lo hacen, todos estamos jugando un juego peligroso de defensa reactiva, queramos o no.

¿Deberían las principales empresas de tecnología crear puertas traseras en sus servicios? ¿O deberían las agencias gubernamentales y otros servicios ocuparse de sus propios asuntos y centrarse en mantener la seguridad??

Crédito de la imagen: DutchScenery / Shutterstock, Constantine Pankin / Shutterstock

Explorar más sobre: ​​Seguridad informática, Windows 10.