जिसे बिल्कुल बिल्कुल . का एक शानदार उदाहरण माना जा सकता है क्यों सुरक्षित सेवाओं में पिछले दरवाजे की पेशकश करने वाली सुनहरी कुंजी मौजूद नहीं होनी चाहिए, Microsoft ने गलती से मास्टर कुंजी को उनके सुरक्षित बूट सिस्टम में लीक कर दिया था।
लीक संभावित रूप से स्थापित Microsoft सिक्योर बूट तकनीक वाले सभी उपकरणों को अनलॉक कर देता है, जिससे उनके लॉक किए गए ऑपरेटिंग सिस्टम की स्थिति अलग हो जाती है, जिससे उपयोगकर्ता अपने स्वयं के ऑपरेटिंग सिस्टम और अनुप्रयोगों को रेडमंड प्रौद्योगिकी दिग्गज द्वारा नामित लोगों के स्थान पर स्थापित कर सकते हैं।
लीक से आपकी डिवाइस सुरक्षा से समझौता नहीं होना चाहिए -- सैद्धांतिक रूप से। लेकिन यह वैकल्पिक ऑपरेटिंग सिस्टम और अन्य अनुप्रयोगों के लिए लाइनें खोलेगा जो पहले सुरक्षित बूट सिस्टम पर काम करने में विफल रहे होंगे।
Microsoft इस पर कैसे प्रतिक्रिया देगा? प्रत्येक सुरक्षित बूट आधार कुंजी को बदलने के लिए एक सरल अद्यतन? या अभी बहुत देर हो चुकी है, नुकसान हुआ है?
आइए देखें कि आपके और आपके उपकरणों के लिए सुरक्षित बूट रिसाव का क्या अर्थ है।
सुरक्षित बूट क्या है?
<ब्लॉकक्वॉट>"सिक्योर बूट यह सुनिश्चित करने में मदद करता है कि आपका पीसी केवल उस फर्मवेयर का उपयोग कर बूट करता है जिस पर निर्माता द्वारा भरोसा किया जाता है"
माइक्रोसॉफ्ट सिक्योर बूट विंडोज 8 के साथ आया है, और सिस्टम स्टार्ट-अप प्रक्रिया के दौरान दुर्भावनापूर्ण ऑपरेटरों को एप्लिकेशन या किसी भी अनधिकृत ऑपरेटिंग सिस्टम को लोड करने या परिवर्तन करने से रोकने के लिए डिज़ाइन किया गया है। जब यह आया, तो चिंताएँ थीं कि इसकी शुरूआत दोहरे या बहु-बूट Microsoft सिस्टम की क्षमता को गंभीर रूप से सीमित कर देगी। अंत में, यह काफी हद तक निराधार था - या समाधान मिल गया।
चूंकि सिक्योर बूट बुनियादी एन्क्रिप्शन सुविधाएं, नेटवर्क प्रमाणीकरण और ड्राइवर साइनिंग प्रदान करने के लिए यूईएफआई (यूनिफाइड एक्स्टेंसिबल फर्मवेयर इंटरफेस) विनिर्देश पर निर्भर करता है, रूटकिट और निम्न-स्तरीय मैलवेयर से सुरक्षा की एक और परत के साथ आधुनिक सिस्टम प्रदान करता है।
Windows 10 UEFI
माइक्रोसॉफ्ट विंडोज 10 में यूईएफआई द्वारा पेश किए गए "प्रोटेक्शन" को बेहतर बनाना चाहता था।
इसके माध्यम से आगे बढ़ने के लिए, माइक्रोसॉफ्ट ने विंडोज 10 की रिलीज से पहले निर्माताओं को सूचित किया कि सुरक्षित बूट को अक्षम करने के विकल्प को हटाने का विकल्प उनके हाथ में था, ऑपरेटिंग सिस्टम को प्रभावी ढंग से लॉक कर रहा था जिसके साथ कंप्यूटर आता है। यह ध्यान देने योग्य है कि Microsoft इस पहल को सीधे आगे नहीं बढ़ा रहा था (कम से कम पूरी तरह से सार्वजनिक रूप से नहीं), लेकिन जैसा कि Ars Technica के पीटर ब्राइट बताते हैं, Windows 10 रिलीज़ की तारीख से पहले मौजूदा UEFI नियमों में बदलाव ने इसे संभव बना दिया:
<ब्लॉकक्वॉट>"यदि ऐसा है, तो हम ओईएम निर्माण मशीनों की परिकल्पना कर सकते हैं जो स्व-निर्मित ऑपरेटिंग सिस्टम को बूट करने का कोई आसान तरीका प्रदान नहीं करेंगे, या वास्तव में, कोई भी ऑपरेटिंग सिस्टम जिसमें उपयुक्त डिजिटल हस्ताक्षर नहीं हैं।"
हालांकि अनलॉक किए गए यूईएफआई सेटिंग्स के साथ बिक्री के लिए निस्संदेह कई डेस्कटॉप और लैपटॉप हैं, यह उन लोगों के लिए एक और ठोकर साबित हो सकता है जो अपने विंडोज ऑपरेटिंग सिस्टम के विकल्प को आजमाने की इच्छा रखते हैं।
फिर भी Linux के लिए एक और रोड ब्लॉक काम करने की वकालत करता है... आह ।
और अब सिक्योर बूट स्थायी रूप से अनलॉक है?
स्थायी रूप से, मुझे इतना यकीन नहीं है। लेकिन इस बीच, सिक्योर बूट को अनलॉक किया जा सकता है। यहाँ क्या हुआ।
मुझे पता है कि मैं एक सुपर-डुपर कंकाल-प्रकार की कुंजी का उल्लेख कर रहा हूं जो संपूर्ण Microsoft UEFI सिक्योर बूट ब्रह्मांड में हर एक लॉक को अनलॉक करती है... लेकिन यह वास्तव में नीचे आती है कि आपने अपने सिस्टम पर किन नीतियों पर हस्ताक्षर किए हैं।
सिक्योर बूट विंडोज बूट मैनेजर द्वारा पढ़ी और पूरी तरह से पालन की जाने वाली कुछ नीतियों के साथ मिलकर काम करता है। नीतियां बूट प्रबंधक को सुरक्षित बूट सक्षम रखने की सलाह देती हैं। हालाँकि, Microsoft ने प्रत्येक संस्करण को डिजिटल रूप से हस्ताक्षरित किए बिना डेवलपर्स को ऑपरेटिंग सिस्टम बिल्ड का परीक्षण करने की अनुमति देने के लिए डिज़ाइन की गई एक नीति बनाई। यह सिक्योर बूट को प्रभावी ढंग से नियंत्रित करता है, स्टार्ट-अप प्रक्रिया के दौरान प्रारंभिक सिस्टम जांच को अक्षम करता है। सुरक्षा शोधकर्ताओं, MY123 और स्लिपस्ट्रीम ने अपने निष्कर्षों का दस्तावेजीकरण किया (वास्तव में एक रमणीय वेबसाइट पर):
<ब्लॉकक्वॉट>"Windows 10 v1607 'Redstone' के विकास के दौरान, MS ने एक नई प्रकार की सुरक्षित बूट नीति जोड़ी। अर्थात्, "पूरक" नीतियां जो EFIESP विभाजन में स्थित हैं (एक UEFI चर के बजाय), और उनकी सेटिंग्स को इसमें मिला दिया गया है , शर्तों पर निर्भर (अर्थात्, एक निश्चित "सक्रियण" नीति भी अस्तित्व में है, और इसमें लोड की गई है)। Redstone की bootmgr.efi पहले "विरासत" नीतियों (अर्थात्, UEFI चर से एक नीति) को लोड करती है। एक निश्चित समय पर रेडस्टोन देव में, इसने सिग्नेचर/डिवाइसआईडी चेक के अलावा कोई और जांच नहीं की। (यह अब बदल गया है, लेकिन देखें कि परिवर्तन कैसे बेवकूफी भरा है) "विरासत" नीति, या EFIESP विभाजन से एक आधार नीति लोड करने के बाद, यह लोड होता है , जाँच करता है और पूरक नीतियों में विलय करता है। इस मुद्दे को यहां देखें? यदि नहीं, तो मैं आपको इसे स्पष्ट और स्पष्ट बता दूं। विलय की शर्तों के लिए "पूरक" नीति में नए तत्व शामिल हैं। ये शर्तें हैं (ठीक है, एक पर time) एक विरासत नीति लोड करते समय bootmgr द्वारा अनियंत्रित। और bootmgr o f win10 v1511 और इससे पहले निश्चित रूप से उनके बारे में नहीं जानता। उन bootmgrs के लिए, यह अभी पूरी तरह से मान्य, हस्ताक्षरित नीति में लोड किया गया है।"
यह Microsoft के लिए अच्छा पठन नहीं करता है। इसका प्रभावी रूप से मतलब है कि डेवलपर्स को अनुमति देने के लिए डिज़ाइन की गई डिबग-मोड नीति - और केवल डेवलपर्स - हस्ताक्षर प्रक्रियाओं को नकारने का मौका विंडोज 10 के खुदरा संस्करण के साथ किसी के लिए खुला है। और वह नीति इंटरनेट पर लीक हो गई है।
सैन बर्नार्डिनो iPhone याद रखें?
<ब्लॉकक्वॉट>"आप विडंबना देख सकते हैं। इसके अलावा उस एमएस में विडंबना ने हमें उस उद्देश्य के लिए उपयोग करने के लिए हमें कई अच्छी "गोल्डन चाबियां" प्रदान की हैं (जैसा कि एफबीआई कहेंगे;) :) एफबीआई के बारे में:क्या आप इसे पढ़ रहे हैं? यदि आप हैं, तो यह इस बारे में एक आदर्श वास्तविक दुनिया का उदाहरण है कि "सुरक्षित स्वर्ण कुंजी" के साथ क्रिप्टोसिस्टम को पिछले दरवाजे से खोलने का आपका विचार बहुत बुरा क्यों है! मुझसे ज्यादा होशियार लोग आपको इतने लंबे समय से बता रहे हैं, ऐसा लगता है कि आपकी उंगलियों में आपकी उंगलियां हैं कान। आप गंभीरता से अभी भी नहीं समझते हैं? Microsoft ने एक "सिक्योर गोल्डन की" प्रणाली लागू की। और गोल्डन कीज़ एमएस की अपनी मूर्खता से मुक्त हो गई। अब, यदि आप सभी को "सिक्योर गोल्डन की" सिस्टम बनाने के लिए कहें तो क्या होगा? उम्मीद है कि आप 2+2 जोड़ सकते हैं..."
उन एन्क्रिप्शन अधिवक्ताओं के लिए यह एक ऑल-टू-बिटस्वीट क्षण रहा है जो उम्मीद है कि कानून प्रवर्तन एजेंसियों और सरकारी अधिकारियों के लिए समान रूप से कुछ आवश्यक स्पष्टता प्रदान करेगा। गोल्डन बैकडोर कभी नहीं छुपे रहें। उन्हें हमेशा खोजा जाएगा, चाहे वह किसी अप्रत्याशित आंतरिक भेद्यता (स्नोडेन खुलासे) द्वारा या प्रौद्योगिकी और इसके अंतर्निहित कोड को अलग करने और खींचने में रुचि रखने वालों द्वारा हो।
सैन बर्नार्डिनो आईफोन पर विचार करें...
<ब्लॉकक्वॉट>"एफबीआई में पेशेवरों के लिए हमारे मन में बहुत सम्मान है, और हम मानते हैं कि उनके इरादे अच्छे हैं। इस बिंदु तक, हमने उनकी मदद करने के लिए अपनी शक्ति और कानून दोनों के भीतर सब कुछ किया है। लेकिन अब अमेरिकी सरकार ने पूछा है हमें किसी ऐसी चीज़ के लिए जो हमारे पास नहीं है, और जिसे हम बनाना बहुत खतरनाक समझते हैं। उन्होंने हमें iPhone के पिछले दरवाजे का निर्माण करने के लिए कहा है।"
बॉल रेस्ट विथ माइक्रोसॉफ्ट
जैसा कि मैंने उल्लेख किया है, यह वास्तव में आपके व्यक्तिगत उपकरणों के लिए एक बड़ा सुरक्षा जोखिम नहीं होना चाहिए, और Microsoft ने एक बयान जारी किया जिसमें सुरक्षित बूट रिसाव की प्रासंगिकता को कम करके दिखाया गया है:
<ब्लॉकक्वॉट>"10 अगस्त को शोधकर्ताओं की रिपोर्ट में वर्णित जेलब्रेक तकनीक डेस्कटॉप या एंटरप्राइज़ पीसी सिस्टम पर लागू नहीं होती है। इसके लिए एआरएम और आरटी उपकरणों के लिए भौतिक पहुंच और व्यवस्थापक अधिकारों की आवश्यकता होती है और एन्क्रिप्शन सुरक्षा से समझौता नहीं करता है।"
इसके साथ ही, उन्होंने जल्दबाजी में "महत्वपूर्ण" नामित एक Microsoft सुरक्षा बुलेटिन जारी किया है। यह एक बार स्थापित होने के बाद भेद्यता को हल करेगा। हालांकि, पैच को लागू किए बिना विंडोज 10 के संस्करण को स्थापित करने में ज्यादा समय नहीं लगेगा।
गोल्डन की
दुर्भाग्य से, इससे लिनक्स डिस्ट्रोज़ चलाने वाले Microsoft उपकरणों की एक नई भरमार होने की संभावना नहीं है। मेरा मतलब है, कुछ उद्यमी व्यक्ति होंगे जो समय की परीक्षा लेते हैं, लेकिन अधिकांश व्यक्तियों के लिए, यह केवल एक और सुरक्षा ब्लिप होगा जिसने उन्हें पारित किया।
यह नहीं होना चाहिए।
माइक्रोसॉफ्ट टैबलेट पर लिनक्स डिस्ट्रोस के बारे में लानत नहीं देना एक बात है, निश्चित है। लेकिन संभावित रूप से लाखों डिवाइसों को अनलॉक करने के लिए सार्वजनिक डोमेन में एक सुनहरी कुंजी के लीक होने का व्यापक प्रभाव एक और है।
कुछ साल पहले द वाशिंगटन पोस्ट ने एन्क्रिप्शन पर "समझौता" के लिए एक रैली का आह्वान किया था, जिसमें प्रस्ताव दिया गया था कि हमारा डेटा स्पष्ट रूप से हैकर्स के लिए ऑफ-लिमिट होना चाहिए, शायद Google और Apple et al एक सुरक्षित सुनहरी कुंजी होनी चाहिए। कीबेस के सह-निर्माता क्राइस्ट कॉयने स्पष्ट रूप से बताते हैं कि यह एक "गुमराह करने वाला, खतरनाक प्रस्ताव" क्यों है, इसकी एक उत्कृष्ट आलोचना में, "ईमानदार, अच्छे लोग किसी भी द्वारा खतरे में हैं। पिछले दरवाजे जो उनके स्वयं के पासवर्ड को दरकिनार कर देते हैं।"
हम सभी को व्यक्तिगत सुरक्षा के अधिकतम संभव स्तर के लिए प्रयास करना चाहिए, न कि पहले उपलब्ध अवसर पर इसे कमजोर करने के लिए तैयार रहना चाहिए। क्योंकि जैसा कि हमने कई मौकों पर देखा है, उन सुपर-डुपर कंकाल-प्रकार की कुंजी की इच्छा . है गलत हाथों में चले जाओ।
और जब वे ऐसा करते हैं, तो हम सभी प्रतिक्रियाशील रक्षा का एक खतरनाक खेल खेल रहे होते हैं, चाहे हम चाहें या न चाहें।
क्या प्रमुख प्रौद्योगिकी कंपनियों को अपनी सेवाओं में बैकडोर बनाना चाहिए? या क्या सरकारी एजेंसियों और अन्य सेवाओं को अपने स्वयं के व्यवसाय पर ध्यान देना चाहिए और सुरक्षा बनाए रखने पर ध्यान देना चाहिए?
<छोटा>छवि क्रेडिट:डचसीनरी/शटरस्टॉक, कॉन्स्टेंटाइन पैन्किन/शटरस्टॉक