V červenci jsme oznámili, že Microsoftu se podařilo opravit hlavní chybu zabezpečení, která by hackerům umožnila odemknout tablety Windows RT a provozovat jiné operační systémy než Windows. Podle nedávných zpráv se zdá, že opravná oprava nebyla tak úspěšná a zranitelnost se stále dala zneužít.
Firmware společnosti Microsoft obsahuje funkci nazvanou Zabezpečené spuštění což umožňuje zařízením bootovat pouze operační systémy kryptograficky podepsané technologickým gigantem. Funkce Zabezpečené spuštění je aktivována během předčasného spuštění správcem spouštění systému Windows. Existuje však způsob, jak zakázat kontrolu zabezpečeného spouštění pomocí speciální zásady známé jako „zlatý klíč backdoor“. Pokud se uživatelům podaří získat tyto zásady do rukou a nainstalovat je na svá zařízení, pak správce spouštění systému Windows spustí libovolný operační systém, který chtějí.
Technologický gigant se zoufale snaží tuto chybu zabezpečení opravit, ale někteří hackeři tvrdí, že je nemožné, aby Microsoft zneplatněné klíče zneplatnil..
[…] Ať tak či onak, v praxi by bylo nemožné, aby MS odvolalo každý bootmgr dříve než v určitém okamžiku, protože by rozbily instalační média, oddíly pro obnovení, zálohy atd..
Tato velká chyba zabezpečení také oživuje debatu o bezpečném zlatém klíči, kterou zahájily zpravodajské a bezpečnostní služby. Stručný příběh, bezpečnostní služby již dlouho tlačí softwarové giganty k implementaci zabezpečeného systému zlatého klíče, který by vyšetřovatelům mohl poskytnout plný přístup k počítačům uživatelů. Ale takové univerzální klíče se mohou snadno dostat do špatných rukou, jak varují etičtí hackeři:
Backdoor, který MS vložil do zabezpečeného bootování, protože se rozhodl nenechat uživatele vypnout jej na určitých zařízeních, umožňuje bezpečné spuštění všude! Vidíte ironii. Také ironie v tom, že samotné členské státy nám poskytly několik pěkných „zlatých klíčů“ (jak by řekla FBI 😉, abychom je pro tento účel použili 🙂 O FBI: čtete to? Pokud ano, pak je to dokonalý skutečný svět příklad toho, proč je vaše představa o backdooringu kryptosystémů se „zabezpečeným zlatým klíčem“ velmi špatná! [...] Stále tomu vážně nerozumíte? Microsoft implementoval systém „zabezpečeného zlatého klíče“. A zlaté klíče byly uvolněny z vlastní hlouposti MS Co se stane, když řeknete všem, aby vytvořili systém „bezpečného zlatého klíče“?
Microsoft prozatím mlčí jako vždy a dosud k této záležitosti nevydal žádný komentář.
Celá zpráva zveřejněná dvěma hackery bílých klobouků, kteří tuto chybu zabezpečení vyšetřovali, je k dispozici online.