Sau cam asta e ideea pe care toată lumea o povestește în acest moment: Microsoft a scăpat din greșeală setul de chei universale care îi permitea să treacă (atunci când avea chef) peste protecția Windows Secure Boot din UEFI. Să nu credeți că vorba despre niște chei fizice, NU.
UEFI Secure Boot: primul zid de protecție din Windows
Doi cercetători s-au prins că Microsoft a făcut o greșeală și a expus publicului cheile universale (golden keys cum le place vorbitorilor de engleză să spună) pentru UEFI Secure boot. Acestea permit oricărui dezvoltator să treacă peste politica de securitate din Windows prin care boot manager-ul din Windows poate să verifice dacă este instalat un sistem de operare non Microsoft și în caz contrar să blocheze operația de boot. Microsoft a aflat de treaba asta din martie 2016 și până acum a făcut câteva încercări să remedieze problema, dar încă nu a reușit complet.
UEFI Secure Boot este modalitatea prin care producătorii de hardware, parteneri ai Microsoft, se asigură că doar Windows-ul personalizat de ei (semnat ca atare) va rula pe acele laptop-uri, telefoane sau tablete.
În martie 2016, doi cercetători – MY123 și Slipstream, au descoperit existența acestor chei universale care le-a permis să instaleze pe sisteme protejate cu UEFI Secure Boot sisteme de operare (Ubuntu, Android) nesemnate de Microsoft, pe hardware ce în teorie era protejat.
Cum funcționează UEFI Secure Boot
Cheile despre care vorbim acum au fost create de Microsoft pentru dezvoltatori ca să le ofere posibilitatea de a ocoli verificarea semnăturii digitale din manager-ul de boot din Windows și să facă totuși sistemul de operare să creadă că folosește o versiune validă și să le permită să facă operații de debug.
De aici și ideea că aceste chei universale sunt de fapt un back door al Microsoft către toate sistemele protejate cu UEFI Secure Boot. Se pare că cei doi cercetători au descoperit cheile astea pe un dispozitiv care le avea instalate și căruia nu i s-a eliminat (doar dezactivat) posibilitatea de debug.
”Acum, că aceste chei au ajuns pe Internet, ele pot să fie folosite de oricine. Sunt semnate cu o cheie Microsoft Windows Production PCA 2011, așa că dacă aparatul are activă o politică de securitate de acest gen, va dezactiva Sefure Boot. Operația este universală și nu e legată de un anumit aparat sau de o anumită configurație hardware – prin urmare merge pe orice dispzitiv Windows cu Secure Boot, fie că e x86 sau ARM”.
În lunile trecute Microsoft a lansat câteva patch-uri care au anulat câteva politici de securitate din Windows Boot Manager – inclusiv modul debug. Avem MS16-094 și acum MS16-100, care ar trebui să rezolve această scăpare imensă a Microsoft. Din păcate pentru ei, problema nu e rezolvată complet, rezolvarea finală (sau cel puțin așa ni se spune) va veni într-un patch ulterior.
Implicații
1. ”Băieții cu ochii albaștri” care aveau nevoie de așa ceva
Faptul că pe piață au ajuns aceste chei universale e o mană cerească pentru băieții cu ochii albaștri din toate țările, care acum au o modalitate oficială, legală de a intra și scoate datele din sistemele protejate cu UEFI Secure Boot. Folosindu-se de aceste chei pot pune sisteme de operare personalizate cu care să scoată datele de care sunt interesați.
Pe de altă parte, dacă oficialii pot face asta o vor face și băieții răi și vor avea posibilitatea să compromită o grămadă de sisteme. Amintiți-vă doar cum în lanțul de retail aparate chinezești au fost modificate și au venit cu malware preinstalat. Credeți că așa ceva nu va veni pe piață? Miza de spionaj e mult prea mare ca să nu se întâmple, mai ales că mulți utilizatori nu fac aproape niciodată update la Windows.
2. Libertate de alegere pentru utilizator
La nivel de utilizator final, faptul că poate acum să schimbe sistemul de operare care a venit preinstalat pe hardware-ul său este o chestie excelentă – să ne gândim numai la posesorii de tablete Surface RT sau Surface 2, care au fost abandonați în mod brutal de Microsoft și care au încă un hardware ce poate face chestii faine.
Câți nu vor fi tentați să pună pe ele Linux sau Windows modificat? Eu unul o să caut să fac asta pe Surface 2 și să renunț la Windows RT pentru un Linux personalizat.
Sau și mai fain, toți cei ce și-au luat aparate cu Windows Phone 8.1 și au fost mințiți de Microsoft că vor primi update la Windows 10 vor putea să pună versiuni de Android sau variante optimizate de Windows Phone/Mobile. Lumia 920, Lumia 1520, Lumia 640 sunt aparate care vor face o figură excelentă pe Android. Sau invers, să poți pune Windows Mobile pe orice hardware Android!
3. Epoca de aur Windows Mobile ar putea reveni în actualitate
Plecând de la implicațiile posibilității de instalare a unui sistem de operare terț pe hardware Windows nu pot să nu mă gândesc la epoca de aur a Windows Mobile 6 și 6.5, când entuziaștii lucrau intens și produceau ROM-uri optimizate pentru HTC-uri, făcându-le să funcționeze excepțional, atât la nivel de viteză cât și la cel de funcții terțe.
Toate astea sunt posibile de acum încolo și cred că în foarte scurt timp o să vedem și primele implementări.
E de bine? Sau de rău?
Acum, privind problema în ansamblu, Microsoft demonstrează lumii întregi că nu e o idee bună să faci un sistem de protecție pentru care să ai o cheie universală, cu care să îl spargi ori de câte ori ai chef. Mai devreme sau mai târziu, din propria prostie sau doar din neglijență, practica va fi expusă și pierzi tot ceea ce ai câștigat de-a lungul timpului la nivel de încredere.
Cam asta s-a întâmplat acum cu Microsoft.
Pentru unii dintre noi s-ar putea ca asta să nu fie neapărat un lucru rău – eu unul sper să văd ROM-uri de Surface 2 și tweak-uri care să îmi permită să instalez aplicații third party (oricum Windows Store-ul e limitat pentru Windows RT) sau chiar un Ubuntu (sau Kali) Linux optimizat.
