V červenci jsme hlásili, že se společnosti Microsoft podařilo opravit hlavní chybu zabezpečení, která by hackerům umožnila odemknout tablety Windows RT a spustit operační systémy jiné než Windows. Podle posledních zpráv se zdá, že oprava zabezpečení nebyla tak úspěšná, přičemž tuto chybu zabezpečení lze stále zneužít.

Firmware společnosti Microsoft obsahuje funkci nazvanou Secure Boot, která umožňuje zařízením pouze zavádět operační systémy kryptograficky podepsané technologickým gigantem. Funkce Secure Boot je aktivována během časného spuštění správcem spouštění systému Windows. Existuje však způsob, jak zakázat kontrolu Secure Boot pomocí speciální politiky známé jako „zlatý klíč zadních dveří“. Pokud se uživatelům podaří dostat se do rukou této zásady a nainstalovat ji do svých zařízení, spustí spouštěcí správce systému Windows jakýkoli požadovaný operační systém.

Technický gigant se zoufale snaží tuto chybu zabezpečení napravit, ale někteří hackeři tvrdí, že je nemožné, aby společnost Microsoft zneplatněné klíče zneplatnila.

V každém případě by v praxi nebylo možné, aby MS zrušilo každý bootmgr dříve než v určitém bodě, protože by rozbilo instalační média, oddíly pro obnovení, zálohy atd.

Tato hlavní zranitelnost také oživuje debatu o funkci zabezpečeného zlatého klíče, kterou zahájili zpravodajské a bezpečnostní služby. Bezpečnostní povídky již dlouhou dobu podporují softwarové giganty, kteří implementují bezpečný systém zlatých klíčů, který by mohl vyšetřovatelům poskytnout plný přístup k uživatelským počítačům. Ale takové univerzální klíče mohou snadno padnout do nesprávných rukou, jak varují etičtí hackeři:

Zadní vrátka, kterou MS zavedlo do zabezpečeného spouštění, protože se rozhodlo nenechat uživatele vypnout jej v určitých zařízeních, umožňuje všude zakázat zabezpečené spouštění! Můžete vidět ironii. Také ironie v tom, že samotná MS nám poskytla několik pěkných „zlatých klíčů“ (jak by FBI řekla, že bychom k tomu měli použít ??? O FBI: čtete to? Pokud ano, pak Toto je perfektní příklad ze skutečného světa o tom, proč je vaše představa o kryptosystémech se zadaným „bezpečným zlatým klíčem“ velmi špatná! Stále vážně nerozumíte? Microsoft implementoval systém „bezpečného zlatého klíče“ a zlaté klíče byly uvolněny z MS vlastní hloupost. Co se stane, když řeknete všem, aby vytvořili systém „bezpečného zlatého klíče“?

Microsoft prozatím mlčí jako vždy a dosud k této záležitosti nemá vydat žádné komentáře.

Celá zpráva zveřejněná dvěma hackery bílých klobouků, kteří tuto chybu prošetřili, je k dispozici online.