Microsoft laat policies voor omzeilen Secure Boot uitlekken

Microsoft heeft per ongeluk een Secure Boot-policy laten uitlekken, waarmee het mogelijk is om Windows-apparaten te voorzien van andere besturingssystemen door Secure Boot te omzeilen. Ook ontstaat het risico op root- en bootkits, die op deze manier geïnstalleerd kunnen worden.

SleutelsDe onderzoekers die de policy hebben ontdekt, schrijven dat het voor Microsoft waarschijnlijk niet mogelijk zal zijn om de fout te herstellen. De fout van Microsoft heeft te maken met het feit dat er in de Redstone-versie van Windows een nieuw type 'aanvullende' Secure Boot-policy is toegevoegd. Deze is onder andere niet voorzien van een device id, en kan mede daarom gebruikt worden om testsigning mogelijk te maken, zo leggen de onderzoekers 'MY123' en 'Slipstream' uit. Op die manier kan een niet-ondertekend efi-bestand geladen worden.

De policy die dit mogelijk maakt en door de onderzoekers als 'gouden sleutel' wordt betiteld, is inmiddels uitgelekt en online beschikbaar, zo laat The Register weten. Zo kan bijvoorbeeld op Windows-apparaten als telefoons en tablets een ander besturingssysteem geïnstalleerd worden, wat normaal gesproken niet mogelijk is. Dit wordt tegengehouden door Secure Boot, wat deel uitmaakt van de uefi-firmware. Deze techniek zorgt ervoor dat alleen ondertekende onderdelen tijdens het opstartproces geladen kunnen worden. Op bepaalde apparaten kan Secure Boot niet uitgeschakeld worden, bijvoorbeeld op telefoons, tablets, in Windows RT en bij de HoloLens.

Voor debugging-doeleinden heeft Microsoft echter de speciale policy in het leven geroepen, bijvoorbeeld om het testen van besturingssystemen mogelijk te maken zonder deze steeds te hoeven ondertekenen, aldus The Register. De policy werkt ongeacht de cpu-variant en kan worden toegepast op zowel ARM- als x86-apparaten. Het feit dat Secure Boot omzeild kan worden is in sommige gevallen problematisch, omdat dit het risico met zich meebrengt dat kwaadwillenden een root- of bootkit kunnen installeren.

De onderzoekers hebben in maart contact gezocht met Microsoft en het bedrijf op de hoogte gesteld van hun bevindingen. In eerste instantie liet Microsoft weten dat het geen actie zou ondernemen, waarna de onderzoekers besloten een proof of concept te ontwikkelen. In april kwam de onderneming echter terug op zijn eerdere beslissing en keerde een bug bounty uit. In juni volgde de eerste patch, waarin een aantal policy's aan een zwarte lijst werden toegevoegd. Deze oplossing is volgens de onderzoekers echter eenvoudig te omzeilen door een eerdere bootmgr te gebruiken. Deze week kwam Microsoft met een tweede patch, waarin verschillende boot managers werden teruggetrokken. Ook deze oplossing is niet werkbaar, omdat niet alle boot managers teruggetrokken kunnen worden zonder schade aan te richten, aldus de onderzoekers. Een derde patch wordt nog verwacht.

In hun post richten zij zich ook tot de FBI en stellen dat dit incident goed aantoont waarom het geen goed idee is om een 'veilige gouden sleutel' te creëren, bijvoorbeeld voor encryptie. Op een gegeven moment zal deze namelijk uitlekken.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 10-08-2016 16:26
120 • submitter: Rafe

10-08-2016 • 16:26

120

Submitter: Rafe

Lees meer

ESET ontdekt mogelijk eerste UEFI-bootkit voor Linux
ESET ontdekt mogelijk eerste UEFI-bootkit voor Linux Nieuws van 29 november 2024
ESET ontdekt BlackLotus-bootkit die Secure Boot kan omzeilen
ESET ontdekt BlackLotus-bootkit die Secure Boot kan omzeilen Nieuws van 1 maart 2023
Intel schrapt bios-compatibiliteit uefi in 2020
Intel schrapt bios-compatibiliteit uefi in 2020 Nieuws van 16 november 2017
Microsoft patcht kritiek Windows-lek dat aanval via printers mogelijk maakt
Microsoft patcht kritiek Windows-lek dat aanval via printers mogelijk maakt Nieuws van 13 juli 2016
Zeroday-lek in uefi-driver treft mogelijk meer laptops dan ThinkPads
Zeroday-lek in uefi-driver treft mogelijk meer laptops dan ThinkPads Nieuws van 4 juli 2016
Architectuurfout in oudere x86-cpu's Intel maakt rootkit mogelijk - update
Architectuurfout in oudere x86-cpu's Intel maakt rootkit mogelijk - update Nieuws van 6 augustus 2015
Microsoft: bedrijven mogen secure boot verplichten vanaf Windows 10
Microsoft: bedrijven mogen secure boot verplichten vanaf Windows 10 Nieuws van 22 maart 2015
Onderzoekers vinden ernstige kwetsbaarheden in uefi
Onderzoekers vinden ernstige kwetsbaarheden in uefi Nieuws van 22 oktober 2014
Onderzoekers kraken implementaties secure boot-modus Windows 8
Onderzoekers kraken implementaties secure boot-modus Windows 8 Nieuws van 31 juli 2013
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Security Uefi

Reacties (120)

-Moderatie-faq
120
116
59
9
1
36
Wijzig sortering
CAPSLOCK2000
10 augustus 2016 17:17
Dit laat zien waarom ik zo ongelukkig ben met Secure Boot. Let wel, ik ben niet tegen het idee van een crypto-chip die controleert of er niet met je computer is gerommeld. Mijn problemen zitten in deze implementatie van dat idee.

De kern van het probleem is de vraag wie de sleutels beheert.
In mijn optiek is het mijn computer en ik bepaal dus welke sleutels er wel of niet op staan.

In praktijk heb ik die keuze niet. De meeste computers komen met een ingebakken sleutelring waar je als gebruiker niks aan kan veranderen. Sommige moederborden staan het toe om sleutels toe te voegen maar een mobo waar je de ingebouwde keys van kan verwijderen heb ik nog nooit gezien.

Nu is er wel iets voor te zeggen dat een mechanisme om keys te veranderen vroeg of laat misbruikt zal worden maar imho is dat een minder groot probleem als dat we nu hebben.

Het liefste wil ik een moederbord waar ik zelf 100% controle over de DRM-sleutels heb met een knop op het moederbord om schrijftoegang tot dat geheugen fysiek uit te schakelen.
MadEgg @CAPSLOCK200010 augustus 2016 17:24
In praktijk heb ik die keuze niet. De meeste computers komen met een ingebakken sleutelring waar je als gebruiker niks aan kan veranderen. Sommige moederborden staan het toe om sleutels toe te voegen maar een mobo waar je de ingebouwde keys van kan verwijderen heb ik nog nooit gezien.
In de UEFI setup van mijn moederbord (pricewatch: Gigabyte GA-X170-EXTREME ECC) heb ik de mogelijkheid om alle pre-loaded keys te verwijderen. Helemaal verwijderen lukt niet, want er zit een knopje naast om ze te herstellen, dus ergens blijven ze nog wel achter, maar daarna worden die keys niet meer vertrouwt in ieder geval (tot je ze herstelt).
CAPSLOCK2000
@MadEgg10 augustus 2016 17:30
In de UEFI setup van mijn moederbord (pricewatch: Gigabyte GA-X170-EXTREME ECC) heb ik de mogelijkheid om alle pre-loaded keys te verwijderen. Helemaal verwijderen lukt niet, want er zit een knopje naast om ze te herstellen, dus ergens blijven ze nog wel achter, maar daarna worden die keys niet meer vertrouwt in ieder geval (tot je ze herstelt).
Je timing is voortreffelijk want ik heb dat mobo gisteravond in mijn wensenlijst gezet, je bevestigd dat het een goed keuze is die bij mij past :)

Helaas is er in de embeded markt veel minder te kiezen, daar is afgesloten de standaard. Zelf in de "bios" van je telefoon/tv/auto duiken om de keys te configureren zit er niet in.

[Reactie gewijzigd door CAPSLOCK2000 op 27 juli 2024 20:32]

MadEgg @CAPSLOCK200010 augustus 2016 22:42
Zojuist even de proef op de som genomen; alle keys verwijderen terwijl Secure Boot is ingeschakeld levert een niet startend systeem op ;) Een paar vervelende beeps uit de speaker, maar zelfs geen beeld. Is die reset CMOS knop nog ergens goed voor... Secure Boot maar weer uitgezet, zal binnenkort eens kijken hoe ik mijn eigen key erin kan zetten.
Blokker_1999
@CAPSLOCK200010 augustus 2016 18:13
Het is altijd al mogelijk geweest om eigen sleutels in je UEFI te laden of bestaande sleutels te blokkeren. Je hebt dus altijd controle over die sleutels gehad. Dit net opdat iedereen zelf de controle kan houden over wat hij/zij vertrouwt.
MadEgg @Blokker_199910 augustus 2016 19:22
Daarop voortbordurend: kan ik ergens een Linux-bootloader krijgen die niet met een Microsoft key is ondertekend? Of is het eenvoudig om een bootloader zelf te ondertekenen met een zelf gegenereerde key, zodat ik alleen mijn zelfondertekende bootloaders kan draaien?

Als dat enigszins te doen is is dat nog wel een interessante optie.
MMaI @MadEgg10 augustus 2016 21:48
sterker nog, als je wil kun je zelf de bootloader re-signen en alleen jouw key toevoegen: https://wiki.ubuntu.com/SecurityTeam/SecureBoot
Electrifying @MadEgg11 augustus 2016 11:26
Op mijn Windows (gekocht met 8.1, nu 10) tablet. Kan ik in UEFI aangeven welke efi bestanden ik vertrouw. Deze kunnen dan gewoon uitgevoerd worden. Zover ik weet ook als deze niet gesigned zijn.

In de praktijk gebruik ik het niet echt. Als ik moet booten vanaf USB op m'n tablet, schakel ik Secure Boot eigenlijk gewoon uit. Daarna kan het wel weer aan. :)
CAPSLOCK2000
@Blokker_199911 augustus 2016 10:44
Het is altijd al mogelijk geweest om eigen sleutels in je UEFI te laden of bestaande sleutels te blokkeren. Je hebt dus altijd controle over die sleutels gehad. Dit net opdat iedereen zelf de controle kan houden over wat hij/zij vertrouwt.
Dat was zo, maar tegenwoordig niet meer.

In het Windows 8 tijdperk werd door MS verplicht dat mobo-fabrikanten de mogelijkheid bieden om sleutels te veranderen en/of Secure Boot uit te schakelen. Sinds Windows 10 is die eis echter vervallen, de verwachting is dat fabrikanten de mogelijkheid nu snel weg halen. Het is een feature die de meeste mensen nooit zullen gebruiken en als ze het verkeerd doen een hoop support calls oplevert.

nieuws: Microsoft: bedrijven mogen secure boot verplichten vanaf Windows 10

Aan de bovenkant van de markt zullen er nog wel een tijdje mobo's blijven die dat ook echt kunnen maar aan de onderkant van de markt zal het vast snel verdwijnen. De meeste mensen kopen een goedkope computer van de Aldi of de Mediamarkt. Die zullen nooit een ander OS kunnen installeren. De meesten willen dat ook niet, maar de meeste Linux-gebruikers zijn ooit begonnen door Linux te installeren op de oude PC van pa. Dat kan nu niet meer.

Onder Windows 10 Mobile is het nog erger, daar mogen fabrikanten niet eens de mogelijkheid bieden om Secure Boot uit te schakelen om aan de eisen van Windows te voldoen.
MadEgg @CAPSLOCK200011 augustus 2016 13:29
Het is dan misschien een discutabele halfslachtige oplossing, maar wat ik er over gelezen heb is de 'shim' bootloader die Ubuntu gebruikt nog wel even geschikt om als springplank te gebruiken om de door Canonical ondertekende grub te starten. Met het toevoegen van Bash On Ubuntu On Windows oid aan Windows 10 heeft MS laten zien dat ze in ieder geval niet op kwade voet staat met Canonical, dus dan blijft die constructie ook wel werken de komende tijd.

Daarmee is het nog steeds vervelend als de optie om secure boot aan te passen / uit te zetten verdwijnt, maar voorkomt het nog niet dat er Ubuntu op de goedkope Aldi PC geïnstalleerd wordt.
BeosBeing @MadEgg15 augustus 2016 19:47
Maar Ubuntu is inmiddels minstens zo zwaar als Windows (7-10) zodat, als die PC Windows niet meer trekt ook Ubuntu niet meer aan kan. Nu zijn er nog wel Ubuntu MATE, Xubuntu en Lubuntu die steeds wat lighter zijn, maar dat is slechts de GUI, het hel(s)e systeem daaronder is bloated tot en met. Wil je ook een licht basissysteem, dan moet je toch echt naar iets anders toe.
dmantione 10 augustus 2016 16:33
Tja, alleen maar goed nieuws zou ik zeggen: Het risico op een bootsectorvirus staat in geen verhouding tot de vrijheid die het de eindgebruiker ontneemt een besturingssysteem naar keuze te installeren. Dat is ook precies waar Microsoft het voor gebruikt:

http://webwereld.nl/secur...keert-linux-op-rt-tablets

Een bootsectorvirus is ook alleen maar mogelijk als kwaadwillende software door alle beveiligingslagen van het besturingssysteem heen breekt. Met andere woorden, is het besturingssysteem veilig, dan zal er ook geen virus in de bootsector kunnen komen.
ronaldmathies @dmantione10 augustus 2016 17:14
Dit is alles behalve goed nieuws. Kunnen we nog herinneren dat de FBI van Apple een mogelijkheid wou hebben om op iPhones, iPads e.d. in te kunnen komen? Dit was precies wat zij wilde en waar Apple zo op tegen was. Een gouden sleutel die alles open zet.

Nog interesanter vind ik dat ook Microsoft hier op tegen was:

nieuws: Microsoft schaart zich achter Apple in geschil met FBI

Maar schijnbaar hebben ze dus welvoegelijk iets dergelijks in hun OS zitten.

Op deze manier is elke vorm van beveiliging van je Windows (RT) computer / device waardeloos geworden.

Ik vindt het verbazend hoe mensen hier op tweakers toentertijd zo heftig reageerde op de eis van de FBI en nu ineens zo blij zijn met eenzelfde situatie bij Windows. Misschien dat de meeste mensen hier niet het verband zien?
dmantione @ronaldmathies10 augustus 2016 17:19
Ik denk niet dat je de juiste vergelijking maakt. De Apple-beveiliging vercijfert alle gegevens op het apparaat, zodat niemand anders dan de legitieme eigenaar de gegevens kan uitlezen. Zelfs Apple niet.

In dit geval wordt er niets vercijferd: Het is een beveiliging dat het apparaat een besturingssysteem uitvoert dat niet door Microsoft is goedgekeurd. De gegevens staan als het goed is nog gewoon in klare tekst op het apparaat, haal de schijf of SSD eruit en je de geheime dienst kan deze uitlezen. Daar hebben ze niet eens hulp van Microsoft bij nodig.
laptopleon @dmantione11 augustus 2016 09:58
We weten niet wat een Apple-backdoor precies in zou houden, maar je mag aannemen dat je dat je daar dan ook op systeemniveau toegang mee krijgt en kan rommelen (Wat is anders het nut?). Dan staat encryptie al gauw op losse schroeven. Apps verwisselen voor niet-beveiligde 'kopieën' bijvoorbeeld.

Bij Microsofts producten heb je als gebruiker ook de mogelijkheid zaken te 'vercijferen' (eerste keer dat ik dit anglicisme zie, leuk gevonden). Waar het om gaat is dat in beide gevallen de beveiliging en daarmee de informatie van de gebruiker voor derden onbeschermd raakt.
The Zep Man
@ronaldmathies10 augustus 2016 17:22
Op deze manier is elke vorm van beveiliging van je Windows (RT) computer / device waardeloos geworden.
Kom, kom. Je kan nog steeds iets als BitLocker en Self Encrypting Drives gebruiken. Dat werkt zelfs onafhankelijk van Secure Boot. Ja, je moet nog steeds oppassen voor evil maid attacks (hibernate, geen sleep!) en remote malware attacks. What is new?

De grotere risico's zitten tegenwoordig in malware in de firmware.

En voor de smart asses: ja, BitLocker is niet open-source. Secure Boot is ook niet echt open-source (GPLv3 stijl) te noemen. SED kan overigens wel open-source zijn. ;)

[Reactie gewijzigd door The Zep Man op 27 juli 2024 20:32]

Armin
@The Zep Man10 augustus 2016 19:55
Bitlocker is niet open source voor jou en mij, maar wel voor de duizenden Microsoft werknemers die toegang hebben, duizenden werknemers bij multinationals en overheden die source code contracten hebben en vooral ook de talloze software developers die machine code kunnen lezen.

Ook kun je igv disk encryptie mathematisch ook aantonen dat iets veilig is indien het - zoals Bitlocker - zich aan open standaarden houdt, en die standaarden zelf veilig zijn.
Loller1
@dmantione10 augustus 2016 16:40
Het is echt niet zo moeilijk als jij het hier doet uitschijnen om kwaadaardige code in je bootsector te krijgen. Daarbij gebruikt Microsoft dit helemaal niet om andere besturingssystemen tegen te houden, dit is gewoon een deel van UEFI, iets wat Microsoft niet in de hand heeft en ieder OS is vrij om een geldige handtekening mee te leveren zodat Secure Boot installatie toestaat. Het artikel waar jij naar verwijst ging over een kwetsbaarheid die Secure Boot kon omzeilen, daarbij moet je niet met een beschuldigende vinger naar Microsoft gaan wijzen, er zijn zat genoeg fabrikanten die dit soort dingen ook niet toestaan.

[Reactie gewijzigd door Loller1 op 27 juli 2024 20:32]

dmantione @Loller110 augustus 2016 17:16
Het is echt niet zo moeilijk als jij het hier doet uitschijnen om kwaadaardige code in je bootsector te krijgen.
Wedden dat je dat het jou niet lukt als ik je het root-wachtwoord van mijn systeem niet geef?
Daarbij gebruikt Microsoft dit helemaal niet om andere besturingssystemen tegen te houden
Nu begint je neus toch snel langer te worden hoor. Als je even op die link klikt die ik je gaf, jij ontkent dat artikel? :?
dit is gewoon een deel van UEFI
Tja... en wie is er lid van de UEFI-groep?

http://www.uefi.org/members
iets wat Microsoft niet in de hand heeft
Pinokkio opnieuw?
en ieder OS is vrij om een geldige handtekening mee te leveren zodat Secure Boot installatie toestaat.
Waar kan ik dan een handtekening krijgen om Linux op een Surface te installeren?
daarbij moet je niet met een beschuldigende vinger naar Microsoft gaan wijzen
Vanzelfsprekend wel... immers Microsoft is degene die concurrerende besturingssystemen op dat apparaat weert. Niet de UEFI of iemand anders.
er zijn zat genoeg fabrikanten die dit soort dingen ook niet toestaan.
Noem maar op.
Slaiter @dmantione10 augustus 2016 17:51
Waar kan ik dan een handtekening krijgen om Linux op een Surface te installeren?
en
Vanzelfsprekend wel... immers Microsoft is degene die concurrerende besturingssystemen op dat apparaat weert. Niet de UEFI of iemand anders.
Dit is toch echt een dooddoener, want dit kun je voor ieder mobiele apparaat laten gelden.
Waar kan ik bij Apple de sleutel krijgen om Windows/Linux op een ipad te installeren of hoe kom ik aan de sleutel om Windows/IOS op een Android tablet te zetten?

Het kan niet zo zijn dat bij microsoft men op de achterste poten gaat staan terwijl iedere partij die een OS voor mobiele apparaten levert exact een gelijke werkwijze hanteert.
Of spuien we tegenwoordig alleen op microsoft?
Het is android die andere systemen op zijn mobiele apparaten weert en niemand anders en het is Apple die andere systemen op zijn mobiele apparaten weert en niemand anders kun je in het verlengde van jouw uitspraak dan net zo makkelijk gaan stellen.

dus gelijke monniken gelijke kappen.


Op een pc maakt het niet uit of jij nou OSX (hackintosh), Linux of windows installeerd viua UEFI, daarop kun je (nogtoe) gewoon alles instaleren wat je wil.

[Reactie gewijzigd door Slaiter op 27 juli 2024 20:32]

dmantione @Slaiter10 augustus 2016 17:56
Apple is een beetje een speciaal geval en kan inderdaad wel eens net zo dubieus bezig zijn als Microsoft. Voor zover ik weet zijn de meeste Android-tablets echter gewoon open systemen waar je mee kunt rommelen wat je wilt, de Chinese fabrikant interesseert het geen zier. Als Windows compatibel is met de hardware is er geen reden waarom dat niet kan draaien.
Neko Koneko @dmantione11 augustus 2016 08:25
Voor zover ik weet zijn de meeste Android-tablets echter gewoon open systemen waar je mee kunt rommelen wat je wilt, de Chinese fabrikant interesseert het geen zier.
Het gros van de Android telefoons/tablets dat in het Westen wordt verkocht heeft gewoon een gelockte bootloader, niks vrijheid om te rommelen wat je wil.
xxxneoxxx @dmantione10 augustus 2016 20:44
Er zijn toch anders genoeg Chinese tablets/smartphones waar je via omwegen de play store op moet zetten omdat die niet meegeleverd mag worden. Van Google...
wiert.tweakers @Slaiter12 augustus 2016 09:25
Op een MacBook kan het wel. Is alleen geen touch screen, maar net als surface wel een pc.

Dus gelijke monniken is wat mij betreft voorlopig PC platform.
Nystran @dmantione10 augustus 2016 22:19
|Daarbij gebruikt Microsoft dit helemaal niet om andere besturingssystemen tegen te houden
|dit is gewoon een deel van UEFI
Tja... en wie is er lid van de UEFI-groep?
http://www.uefi.org/members
Jaah, ik weet het antwoord! Heb ik net gelezen in de link die je mij geeft.
Canonical
Red Hat en
The Linux Foundation

Dus een complot theorie moet iets beter onderbouwd worden, al heeft het de schijn mee dat Linux een hak gezet wordt.

(Tot vandaag) vond ik secure boot een erg goede manier om te zorgen dat geen malware op het systeem komt die dieper ziet dan het OS (die malware is softwarematig vrijwel niet meer te detecteren, lijkt mij de droom van elke malware maker).
dmantione @Nystran10 augustus 2016 22:50
De Wayback-machine verklaart het nader:

https://web.archive.org/w...ttp://www.uefi.org/about/

Linuxbedrijven zijn zich serieus met UEFI gaan bezighouden toen er sprake van was dat Microsoft systeembouwers die Windows 8 wilden instrueerde secure book in te schakelen. Onder zware druk (er dreigden rechtszaken) heeft Microsoft toen de eisen aan PC-bouwers aangepast dat secure boot wel uitschakelbaar moest zijn voor de eindgebruiker, zodat het gevaar van PC's waar helemaal geen Linux op kon, geweken was.

Red Hat heeft zich hier destijds flink voor ingespannen, en hier nog een artikeltje gevonden waar daar het nodige over vermeld wordt:

http://mjg59.dreamwidth.org/12368.html?style=light

Dat men nadien door lid te worden invloed probeert te krijgen op een club die over iets dusdanig belangrijks gaat over welke software op een PC mag draaien, is een logische vervolgstap. Echter is nog geen één Linuxbedrijf "promotor" en heeft geen ervan dus serieuze invloed binnen UEFI,
Rutix @dmantione11 augustus 2016 01:13
Wat minder op de man spelen zou je reactie en geloofwaardigheid wat meer sieren.
Nu begint je neus toch snel langer te worden hoor. Als je even op die link klikt die ik je gaf, jij ontkent dat artikel? :?
Dat artikel wat jij linkt gaat over dat een patch de backdoor heeft gefixed. Die backdoor hadden ze erin gebouwt tijdens het ontwikkelen van de RT. Deze voldeed dus niet aan de spec en aan de security eisen. Daarnaast laat geen enkele tablet/mobiel fabrikant een ander OS toe op die device. Android niet, Apple niet, Blackberry niet, ect. Dit heeft gewoon te maken met garantie en support en dat de meeste mensen dat niet willen.
Tja... en wie is er lid van de UEFI-groep?

http://www.uefi.org/members
Dat ze lid zijn en mee helpen aan de spec (met hun nog 12 andere grote spelers en daarnaast nog 40 contributors), betekent nog niet dat Microsoft daarin zit om maar andere OS'es te weren en dat is wel wat je impliceert.
Vanzelfsprekend wel... immers Microsoft is degene die concurrerende besturingssystemen op dat apparaat weert. Niet de UEFI of iemand anders.
Kijk je dan ook even de concurrerende bedrijven en OS'es aan omdat ze Windows ook niet op die devices toestaan?
Er zijn zat genoeg fabrikanten die dit soort dingen ook niet toestaan.
Apple,Google,Intel,AMD,Asus, ect. Die fabrikanten beslissen allemaal welke OS daarop moet.


Het artikel wat je aanhaalt was ook echt een security
MadEgg @dmantione10 augustus 2016 17:29
Wedden dat je dat het jou niet lukt als ik je het root-wachtwoord van mijn systeem niet geef?
Simpel. Kast openschroeven, alle HDD's en SSD's lostrekken, USB-stick erin met je eigen systeempje. Booten, boot-schijf weer inpluggen en vanaf je eigen distributie de bootsector overschrijven.

Als je geen wachtwoord op je UEFI setup hebt is het nog makkelijker natuurlijk, dan hoef je niets los te trekken.
dmantione @MadEgg10 augustus 2016 17:40
Als ik jou het rootwachtwoord niet geef, denk je dan dat ik jou de PC dan opeens wel open laat schroeven? En dat is nu precies waar het op beveiligingsgebied om gaat, je kunt je apparatuur prima vrij houden van onbevoegden zonder dit soort bizarre beveiligingen, terwijl die de eindgebruiker wel tegenhouden het apparaat zo te gebruiken als ze willen.
MadEgg @dmantione10 augustus 2016 17:51
Wel met het verschil dat openschroeven eventueel nog zonder jouw toestemming zou kunnen. Als je van huis bent en een raampje open hebt laten staan (of ik de ruit breek, maar dat valt wat meer op natuurlijk). Niet dat dat de eerste gedachte van een inbreker zou zijn natuurlijk. Alternatief: een LAN-party (campzone bv) terwijl je ligt te slapen / boodschappen doet / naar de wc bent.
dmantione @MadEgg10 augustus 2016 18:03
Je zegt het zelf al: De kans dat dit gebeurt is nihil. Als je dusdanig belangrijke gegevens hebt dat je bang moet zijn voor spionnen van vreemde mogendheden dan zou ik een systeem als secure boot zinnig noemen, maar in dat geval wil je zeker geen Microsoft-software in vertrouwen nemen, maar je eigen software willen ondertekenen opdat niemand ermee kan knoeien.

Mijn stelling is ook dat het risico in geen verhouding staat tot het nadeel, niet dat het hele idee van secure boot volledig onzinnig is. Het zou in beginsel goed gebruikt kunnen worden, maar het wordt in praktijk op valse wijze ingezet om de concurrentie tegen te gaan.
FreezeXJ @MadEgg10 augustus 2016 17:57
Dan nog zul je dat per computer moeten doen, en in fysieke aanwezigheid van dat ding. Niet vanuit je luie stoel remote ergens op een leuke geheime grote-bank-computer. Dat beperkt de impact significant.
kozue @MadEgg10 augustus 2016 17:49
Met fysieke toegang is alles mogelijk. Daar helpt secure boot natuurlijk ook niet tegen. Daar kun je simpelweg omheen komen door je eigen disk aan te sluiten met gehackte software maar met een bootloader die wel een geldige handtekening heeft.

Daar gaat het hier natuurlijk niet om. Het gaat om hackers die via de software binnen komen, want dat is in de praktijk het enige wat ze tot hun beschikking hebben. Iemand die jouw huis binnen breekt gaat niet jouw computer hacken, die neemt gewoon het hele ding mee.
Armin
@MadEgg10 augustus 2016 23:24
Simpel. Kast openschroeven, alle HDD's en SSD's lostrekken, USB-stick erin met je eigen systeempje. Booten, boot-schijf weer inpluggen en vanaf je eigen distributie de bootsector overschrijven.

Alleen boot Windows daarna niet meer. O-)

(Overigens de term boot'sector' is enigsinds dubieus met EUFI, aangezien er geen klassieke MBR is maar een willekeurig deel op de EFI systeem partitie.)
Raventhorn @dmantione10 augustus 2016 17:45
Tja... en wie is er lid van de UEFI-groep?

http://www.uefi.org/members
Als aanvulling, de term 'Promotors' is in dit geval wat misleidend. Een 'promotor' geeft m.i. de indruk dat het bedrijf niet actief meewerkt aan de spec, maar deze wel uitdraagt naar de buitenwereld.
In dit geval zitten deze 11 bedrijven in het 'Board of Directors'; ze staan dus aan het roer wat betreft de richting van de spec.
Waar kan ik dan een handtekening krijgen om Linux op een Surface te installeren?
Het is niet perfect, maar het is blijkbaar gelukt om Ubuntu op de Surface Pro 3 te zetten :)

[...]
Noem maar op.
Apple doet het ook, maar dan de andere kant op... Als het geen Apple hardware is, mag je OS X (of tegenwoordig macOS) niet draaien (volgens EULA).
Als je zelf een Hackintosh wil bouwen, moet je eenzelfde platform als Apple levert gebruiken, anders is het bij voorbaat gedoemd te falen. :) (Bijvoorbeeld dus een Intel processor, AMD wordt niet ondersteund)
Ramon @dmantione10 augustus 2016 19:40
Gewoon secure boot uitschakelen in de efi en klaar.
CAPSLOCK2000
@Loller110 augustus 2016 17:26
Het is echt niet zo moeilijk als jij het hier doet uitschijnen om kwaadaardige code in je bootsector te krijgen. Daarbij gebruikt Microsoft dit helemaal niet om andere besturingssystemen tegen te houden, dit is gewoon een deel van UEFI, iets wat Microsoft niet in de hand heeft en ieder OS is vrij om een geldige handtekening mee te leveren zodat Secure Boot installatie toestaat. Het artikel waar jij naar verwijst ging over een kwetsbaarheid die Secure Boot kon omzeilen, daarbij moet je niet met een beschuldigende vinger naar Microsoft gaan wijzen, er zijn zat genoeg fabrikanten die dit soort dingen ook niet toestaan.
Het is niet de schuld van MS en het is misschien niet hun doel om ander OS'en dwars te zitten, maar ze zijn er wel voor verantwoordelijk.
MS heeft hardwarefabrikanten min of meer gedwongen om dit systeem toe te passen en daarbij hebben ze geen rekening gehouden met andere besturingssystemen.

In theorie is het zeker mogelijk dat alle 15000 Linux-distributies contact zoeken met alle moederbordfabrikanten en dat ze allemaal onderling contracten sluiten voor het leveren en beheren van sleutels maar in praktijk is dat natuurlijk volkomen onrealistisch.

Ik weet zeker dat ze dat bij MS hebben geweten want in het begin stond in de regels dat er een oplossing moest zijn voor andere besturingssystemen zoals het uitschakelen van deze chip. In latere versies van het systeem zijn die eisen echter vervallen. Volkomen voorspelbaar zijn de meeste moederbordfabrikanten toen gestopt met de mogelijkheid om het uit te schakelen, dat is een feature waar ze niet genoeg aan verdienen.

Alle fabrikanten hebben daar zelf voor gekozen, in die zin is het dus niet de schuld van MS, maar omdat ze met open ogen hier voor hebben gekozen houd ik ze wel verantwoordelijk. Ik vind het zeer ironisch dat MS nu zelf in de problemen komt omdat ze verzaakt hebben om het sleutelbeheer te regelen.
Blokker_1999
@CAPSLOCK200010 augustus 2016 18:10
Het grootste probleem voor mij is dat Microsoft de enige is (was?) die bootcode kan ondertekenen voor gebruik icm met secure boot. Dat geeft hen te veel macht.
sfranken @Blokker_199910 augustus 2016 20:01
Red Hat heeft toch ook een aantal secure boot keys? Zover ik weet kun je RHEL booten zonder secure boot uit te zetten op de meeste moederboarden (nog nooit geprobeerd trouwens)
Armin
@sfranken10 augustus 2016 23:45
Klopt, er zijn 3 mogelijkheden om dat te doen:

1) Sign je eigen bootloader en laat de gebruiker zelf het betreffende root-certificaat als trusted aanmerken.
2) Laat Microsoft je bootloader ondertekenen (of gebruik een 3rd party bootloader waar dat al is gebeurd) omdat diens certificaat standaard al geaccepteerd wordt. Microsoft heeft hiervoor een website opgesteld.
3) Overtuig de hardware fabrikant jouw root-certificaat net als die van Microsoft standaard te accepteren. Je hebt dan niets met Microsoft te maken.

Bij mijn weten doen de meeste Linux fabrikanten (2), maar ik sluit niet uit dat in bijvoorbeeld server-omgevingen dat (3) ook gebeurd.

De letterlijke en figuurlijke 'sleutel' is bij secure boot in handen bij de moederbord fabrikant, en niet zoals vaak gedacht Microsoft. Microsoft's key is echter standaard geaccepteerd bij alle moederborden gezien de dominatie van dat platform.
Ultraman Moderator VB @sfranken11 augustus 2016 00:03
Klopt. Ik installeer regelmatig Fedora en CentOS. Die werken keurig met ingeschakelde Secure Boot tot nu toe. Of daarvoor een Red Hat of een MS key gebruikt wordt weet ik niet zeker. Zou een Red Hat vermoeden. Morgen eens spieken...
Armin
@CAPSLOCK200010 augustus 2016 23:39
MS heeft hardwarefabrikanten min of meer gedwongen om dit systeem toe te passen en daarbij hebben ze geen rekening gehouden met andere besturingssystemen.

Lijkt me een beetje kort door de bocht.

Immers EUFI werkt met sleutels en jij kunt elke sleutel toevoegen aan de key-root, en zo elke bootloader geheel buiten Microsoft om draaien, ook al zou UEFI niet uit te zetten zijn. Dat laatste vergeet men wel eens. Microsoft heeft enkel verplicht gesteld dat a) secure boot default aan moet staan en b) de Microsoft key standaard geaccepteerd wordt.

Overigens doe je dit niet gebeurd er nog steeds niets, maar kun je enkel het "Designed for Windows" logo niet krijgen. Het is niet zo dat Windows weigert te booten of zo.

Het gevaar is dus veel meer dat gezien de dominantie van Microsoft op de markt, dat moederbord fabrikanten voor de consumentenmarkt simpelweg die opties niet (makkelijk) beschikbaar stellen en die minder dan 1% Linux gebruikers gewoon als verlies accepteren. Zeker in de low-cost consumenten segmenten. (Voor servers is het een ander verhaal uiteraard.)

Microsoft heeft daarom als extra eis ten tijde van Windows 8.1 gesteld dat het verplicht geheel uit te zetten moet zijn. Maar dat staat dus los van de mogelijkheid je eigen sleutels te kunnen toevoegen.

Ik snap de angst van bedrijven op zich wel, zeker gezien het verleden van Microsoft. Maar niet alles is altijd een complot. In dit geval heeft het er alle schijn van dat Microsoft oprecht was IMHO.
CAPSLOCK2000
@Armin11 augustus 2016 11:08
Immers EUFI werkt met sleutels en jij kunt elke sleutel toevoegen aan de key-root, en zo elke bootloader geheel buiten Microsoft om draaien, ook al zou UEFI niet uit te zetten zijn. Dat laatste vergeet men wel eens. Microsoft heeft enkel verplicht gesteld dat a) secure boot default aan moet staan en b) de Microsoft key standaard geaccepteerd wordt.
In theorie heb je helemaal gelijk maar de praktijk is anders. Ik zeg niet dat het een complot is, dat zijn jouw woorden. Ik noem het nalatig of onverschillig. Zoiets bouwvakkers die om 8 uur 's ochtends harde muziek draaien. Er zitten geen kwade bedoelingen achter maar het is wel vervelend.

In praktijk is het gewoon een enorme drempel om zelf een OS te installeren als je eerst keys moet toevoegen. 99% van de mensheid kan dat niet. Als ze al op het idee komen dat er een key moet worden verandert dan is het te ingewikkeld en te eng om daadwerkelijk uit te voeren.

Ons ervaren IT'ers zal het wel lukken, maar die jongen van 13 die op de PC van z'n vader zit te klooien niet. Op dit moment is het nog geen probleem, nu zijn er nog redelijk wat alternatieven, maar ik wil niet wachten tot het te laat is.

Ik ben namelijk bang dat de "shim bootloader" die nu door Linux gebruikt wordt in de toekomst niet meer ondersteunt wordt. Dat ding ondermijnt immers het hele secure boot. Na het laden van die bootloader kun je alles booten wat je wil en dat mag eigenlijk niet volgens de specificatie. Ik ben bang dat er een dag komt dat MS weigert om daar nog aan mee te doen.
Dat heeft niks met een complot tegen Linux te maken maar gewoon omdat het voor 99% van hun gebruikers inderdaad de beste keuze is. Ondertussen zijn alternatieve systemen wel de pineut.

Bovenstaande is allemaal speculatie, dat weet ik ook wel, maar het is in mijn ogen wel de meest waarschijnlijke uitkomst. Expect the best, prepare for the worst.
Verwijderd @Loller110 augustus 2016 17:05
Microsoft verplicht je anders wel Secure Boot ingeschakeld mee te leveren en gaat steeds meer regels opstellen mbt het helpen met het uitschakelen ervan tegen te gaan.
Armin
@Verwijderd10 augustus 2016 23:15
Standaard ingeschakeld is dan ook een goede zaak aangezien het beschermt tegen rootkits. EUFI secure boot is een van de redenen waarom rootkits bijna uitgestorven zijn sinds de komst van EUFI.

Kunnen uitschakelen is uiteraardw el een goede zaak. Echter zijn er veel machines die dat niet kunnen? Windows RT/Phone is de enige die ik kan bedenken, en dat is mede vanwege de limitaties van de secure boot implementatie van ARM die anders dan op PC zelden tot nooit de noodzaak heeft tot user-toggle van deze feature.
Armin
@dmantione10 augustus 2016 18:41
Het risico op een bootsectorvirus staat in geen verhouding tot de vrijheid die het de eindgebruiker ontneemt een besturingssysteem naar keuze te installeren

Helaas wordt ook disk encryptie zo mogelijk omzeilt. En dat is wel serieus.
dmantione @Armin10 augustus 2016 18:48
Kan je dat eens nader toelichten? Ik zie namelijk niet in hoe.
Armin
@dmantione10 augustus 2016 19:51
Secure boot kan uitgezet worden zodat je malware in de bootloader plaatsen en zo de keys omzeilen/uitlezen. Je hebt echter wel gelijk dat dit niet makkelijk is, en er bovendien meer voor nodig is. Maar Mirosoft's eigen advisory van gisteren merkt het gevaar wel degelijk ook al op:

"Furthermore, the attacker could bypass Secure Boot Integrity Validation for BitLocker and Device Encryption security features"

Ik had deze update gisteren al gezien, en was al op zoek naar details. Nu echter snap ik waarom Microsoft zo schaars was met details wat nu precies het probleem was, en waarom deze patch nodig was, want ze zijn in feite gewoon met hun broek naar benden betrapt _/-\o_ Wat dat betreft jammer dat Microsoft niet meer informatie geeft in haar bulletin, want dit is een serieuze zaak. Verzwijgen van de achtergrond is een kwalijke zaak!

Om je vraag te beantwoorden, het gevaar is drieledig:
1) het wijzigen van de bootloader zal igv de TPM een recovery screen tonen. Minder paranoide gebruikers kloppen die echter zo in.
2) het wijzigen van de bootloader zal igv het niet gebruiken van de TPM mogelijk geen beveiligingen triggeren en het systeem zal zo opstarten met de malafide firmware. Ik zeg mogelijk omdat de secure boot niet werkt, en het systeem terugvalt op de trusted boot, welke minder krachtig is. Ik denk dat deze aanval vooral extreem theoretisch is en trusted boot ook een firmware wijziging detecteerd, maar het is wel een theoretische reductie van security.
3) malware op de PC kan malafide firmware installeren, Bitlocker suspenden en bij de eerste reboot zal de Bitlocker (met TPM of niet) zich 'resealen' waarna de rootkit geinstalleerd is.

Dat laatste merkte jij op, maar die eerste twee aanvallen moet je niet onderschatten.
Aanval (1) en (2) zijn niet te voorkomen, dus mensen zijn theoretisch vastbaar voor 'Evil Maid' aanvallen.

Dat deze aanvallen vooral theoretisch zijn, beaam ik overigens mocht dat je vraag zijn.
dmantione @Armin10 augustus 2016 20:07
Volgens mij is de voornaamste nut van technieken als Bitlocker het beschermen van situaties als: Oké, ik ben inbreker, wandel een serverruimte binnen, haal een berg schijven uit de servers want alles is hot-swap, en probeer ze thuis te lezen. Lukt me niet, want ze zijn beschermd met Bitlocker. In dat geval boeit de bootloader niet: De sleutels om de schijven te ontcijferen zitten nog altijd veilig in de TPM van de oorspronkelijke server(s).

Ik begrijp uit jouw verhaal dat het de bedoeling is bescherming te bieden tegen een situatie dat iemand de hele machine in handen heeft en de gegevens van de schijven wil lezen door middel van fysieke toegang tot de hele machine. Ik begrijp dat een aangepaste bootloader dan als "man in het midden" kan fungeren om de sleutel af te tappen en als die bekend is extern te gebruiken.

Echter stel ik me dan de vraag, hoe effectief zou dit zijn? Als je toegang hebt tot de fysieke machine kun je de BIOS-instellingen aanpassen, als daar een wachtwoord op zit een CMOS-reset uitvoeren e.d. en alsnog je aangepaste bootloader installeren die met de TPM kan babbelen.

Met fysieke aanvallen kun je erg ver gaan: Tot op het aftappen en manipuleren van de bussen in de computer aan toe. Uiteindelijk bezwijkt iedere beveiliging onder een afdoende geavanceerde fysieke aanval.

[Reactie gewijzigd door dmantione op 27 juli 2024 20:32]

Armin
@dmantione10 augustus 2016 20:23
Je hebt gelijk dat met fysieke aanvallen heel erg veel mogelijk is.

Toch beschermt secure boot met een TPM nog heel veel. BIOS/UEFI instellingen wijzigen kan bijvoorbeeld niet, want de TPM zal 'locken'. Idem bij booten van USB/CDROM/etc. Deze aanval voorkotm dit gelukkig niet.

Maar bij non-TPM, is er enkel secure boot zelf. En deze stap valt dan weg.

Maar je hebt ook gelijk dat het traditionele/hoofd beschermingsmodel van Bitlocker inderdaad niet dit soort aanvallen zijn.
svenslootweg @dmantione10 augustus 2016 19:27
Het gaat hier naar mijn weten om Bitlocker, die op de een of andere manier vertrouwt op Secure Boot. Ik ben echter niet bekend met de details.
svenk91 10 augustus 2016 16:32
Jailbreaks voor windows RT en misschien ook Windows phone/mobile :*)
Trommelrem @svenk9110 augustus 2016 16:50
Gek genoeg denk ik dat als de codes eerder waren uitgelekt, dat Windows RT ineens heel populair zou zijn geweest.
arjan1995 10 augustus 2016 17:20
Op bepaalde apparaten kan Secure Boot niet uitgeschakeld worden, bijvoorbeeld op telefoons, tablets, in Windows RT en bij de HoloLens
Dat is niet altijd waar. Ik heb pas voor €50 een trekstor Windows 10 tablet gekocht (okay, is misschien niet representatief, maar toch...) en daar heeft nooit secure boot op gezeten! Ik kon via Efi "gewoon" Android-x86 en Ubuntu vanaf USB-stick of sd-kaart opstarten. Dit alles zonder ook maar iets in de bios / firmware te hoeven aanpassen...
Blokker_1999
@arjan199510 augustus 2016 18:14
Met de tablets worden eigenlijk de WinRT tablets bedoeld. Deze zijn door MS verplicht voorzien van Secure Boot en een vergrendelde bootloader. De tablet die jij gekocht hebt is in essentie een gewone PC met een standaard PC UEFI.
arjan1995 @Blokker_199910 augustus 2016 22:38
Aha, dat zal het inderdaad wel wezen. Het is er inderdaad een met de volledige 32-bits versie van Windows 10. Alle programma's (Java, Flash, CMD) werken er inderdaad op ook al is het zeer lastig the besturen. Het is trouwens best een geinig ding om mee te spelen / klooien en dat voor erg weinig geld.
CriticalHit_NL 10 augustus 2016 18:20
Als iemand interesse heeft in het muziekje welke afgespeeld wordt op de site https://rol.im/securegoldenkeyboot/:

https://rol.im/securegoldenkeyboot/bzl-zeroplex.xm

Afspelen van .xm bestand is mogelijk in Winamp/VLC/xmplay.
SiGNe 10 augustus 2016 18:26
Hmm da's misschien een voordeel voor mij, ik kan nu steeds win10 niet updaten naar de Aniversary update ivm The installation failed in the SAFE_OS phase with an error during BOOT operation".
mutley69 10 augustus 2016 22:07
Dit is geen bug maar een feature - eindelijk terug baas over onze zelfbetaalde hardware - zo moet 't!
kameleon20 10 augustus 2016 16:31
Zie ik hier nou o.a. android mogelijkheden voor windows phone toestellen in? Kunnen ze toch nog Pokemon Go en Ingress spelen bijvoorbeeld xD
ManIkWeet @kameleon2010 augustus 2016 16:34
Nee, een unlocked bootloader is allang beschikbaar voor Windows Phone toestellen, dat is dan ook niet het enige dat je nodig hebt... (drivers etc)
Armin
@ManIkWeet10 augustus 2016 18:40
een unlocked bootloader is allang beschikbaar voor Windows Phone toestellen

Is beschikbaar voor enkel een heel beperkte oudere set toestellen.
ManIkWeet @Armin10 augustus 2016 20:25
En ook toen is er geen Android versie gemaakt voor Windows Phone (een Lumia 920 kan prima Android draaien in theorie).
Armin
@ManIkWeet10 augustus 2016 20:30
Volgens mij zijn die 'unlocked' bootloaders dan ook enkel gelekte bootloaders :) Het woord 'beschikbaar' is dan ook relatief.

Het enige toestel wat zowel als Android als Windows Phone uitgekomen is is de HTC M8.

Er zijn er wel een paar die met minimale wijzigingen qua model als semi-tweeling uitgekomen zijn. Vooral in low-cost Azie.
killerbie @kameleon2010 augustus 2016 16:39
windows RT tablet met android 6 (of7) op kan wel interessant zijn :)
bramseltje @killerbie10 augustus 2016 20:55
Dan toch vooral als dual boot. In mijn ervaring kan een android tablet niet op tegen een surface rt voor mijn wensen met betrekking tot beheerbaarheid en productiviteit.

Als je behoefte hebt aan meer spelletjes is een Android dual boot natuurlijk wel interessant. (Kun je natuurlijk ook in china prima krijgen, voor iets meer dan de prijs van een tweedehands Surface RT...)

Grootste winst zit bijvoorbeeld in het kunnen laden van geschikte binaries die normaliter door het OS worden tegengehouden. Met de jailbreak voor WindowsRT 8.0 kan die controle omzeild worden, maar dat is mij nog niet gelukt op WinRT8.1.
Ik zou best graag Python erop willen hebben bijvoorbeeld...
Jorgen Moderator Beeld & Geluid 10 augustus 2016 16:46
Hoe lekt zoiets nou weer uit? Is er weer een of andere klungel die dit soort belangrijke dingen gewoon even op reddit post, of op een forum voor ontwikkelaars, ofzo? Als dit zo belangrijk is voor de veiligheid van je systeem én ervoor zorgt dat je apparaten een behoorlijke vendor-lock-in hebben, dan is het belachelijk dat dit zomaar op en bloot op straat kan komen te liggen. Vraag me altijd af hoe zoiets gebeurt.
CAPSLOCK2000
@Jorgen10 augustus 2016 17:11
Hoe lekt zoiets nou weer uit? Is er weer een of andere klungel die dit soort belangrijke dingen gewoon even op reddit post, of op een forum voor ontwikkelaars, ofzo? Als dit zo belangrijk is voor de veiligheid van je systeem én ervoor zorgt dat je apparaten een behoorlijke vendor-lock-in hebben, dan is het belachelijk dat dit zomaar op en bloot op straat kan komen te liggen. Vraag me altijd af hoe zoiets gebeurt.
Mensen maken nu eenmaal fouten. Dat gebeurt voortdurend. We weten het allemaal maar vrijwel niemand houdt er rekening mee. Zo zou het verstandig zijn om al je e-mail te versleutelen, dan is er niks aan de hand als je een mail per ongeluk aan de verkeerde doorstuurt, maar in praktijk doet vrijwel niemand dat. Beveiliging is over het algemeen nogal onhandig en daarom is er een sterke neiging om daar niet aan te doen.
De uitdaging voor de IT is om een systeem te bedenken dat prettiger werkt met beveiliging dan zonder.
arjan1995 @CAPSLOCK200010 augustus 2016 17:19
--

[Reactie gewijzigd door arjan1995 op 27 juli 2024 20:32]

Ed Vertijsment @Jorgen10 augustus 2016 17:20
De vraag is niet of dit ging uitlekken maar wanneer dit ging uitlekken. Zoals in het artikel staat is het gebruiken van een golden/master key een gapend gat in je beveiliging omdat deze vroeg of laat een keer uitlekt.

Mensen zijn vrij goed in het maken van dingen maar een stuk minder goed in het bewaren/onderhouden ervan. Dat blijkt niet alleen uit software (keys/backdoors etc.) maar ook uit andere dingen (bijvoorbeeld kerncentrales, waarvan werd beweerd dat zo veilig zijn dat, dat nooit mis kon gaan..).

Security through obscurity != security blijkt maar weer een al te goed, in principe is natuurlijk een wachtwoord ook security through obscurity maarja, anders had https://haveibeenpwned.com/ niets te doen.
Verwijderd @Jorgen10 augustus 2016 17:02
Zoals je leest was Microsoft eerst niet van plan dit op te lossen, daardoor werd dit naar buiten gebracht.
Iblies @Jorgen10 augustus 2016 17:11
Misschien een aluminium hoedje,
maar kan me voorstellen dat ze vlucht naar voren hebben genomen omdat er gebruik is gemaakt van de zwakte dat niet is opgemerkt door Windows/Microsoft/security-packs.

Oa de verkiezingen in de US zie je om de haverklap beweringen dat er info boven tafel is gekomen waarbij zo nu en dan beweringen worden gedaan over hacks maar echt duidelijk is het allemaal niet.

http://m.hln.be/hln/m/nl/...er-Clinton-mails-is.dhtml
Donald trump wordt onder de loep genomen.

Beide partijen schreeuwen daarbij heel hard dat Russen achter 'aanvallen' zitten,
maar deze optie(feature), want dat is het eigenlijk, is dusdanig vanzelfsprekend maar het was niet bekend bij het grote publiek.

Met de bekendmaking is het hek van de dam waarbij de mededeling ook gelijk duidelijk is,
let goed op je apparatuur en laat die niet zomaar slingeren. Risico's waren groot en zijn nog groter geworden.
Armin
@Jorgen10 augustus 2016 23:04
Hoe lekt zoiets nou weer uit?

De titel van Tweakers doet vermoeden dat het lekken van de policy iets tastbaars is. Dat is echter niet zo.

Het is dan ook geen 'lek' van een policy als tatsbaar iets, maar een bug in de bootloader die je in staat stelt zelf een policy in te stellen. Deze bug is hersteld, maar het is in sommige gevallen nog mogelijk de oude bootloaders te installeren op een nieuw systeem.
Daniel. 10 augustus 2016 16:30
Zou deze bug/fout betekenen dat we andere software kunnen installeren op o.a. De Surface RT apparaten?

Edit: Allemaal leuk en aardig waarom dit een -1 is. Ik doe helemaal geen bashing of iets dergelijks en stel gewoon normaal een vraag.

Ik en een heleboel andere mensen zijn denk ik blij als dit zo is, want voor degene die nu een Windows RT apparaat hebben doen er naar mijn idee nu niet zoveel mee, omdat het gewoon net te traag is. Voor zo'n duur en prachtig apparaat zou dit echt weer een boost kunnen zijn.

[Reactie gewijzigd door Daniel. op 27 juli 2024 20:32]

sourcecode @Daniel.10 augustus 2016 16:32
Op bepaalde apparaten kan Secure Boot niet uitgeschakeld worden, bijvoorbeeld op telefoons, tablets, in Windows RT en bij de HoloLens.
skip-5 @sourcecode10 augustus 2016 16:35
Volgens mij heeft ShittyNL gewoon gelijk, mede door lek zou dit nu juist wel kunnen, althans zo haal ik het uit de tekst.
ocwil @sourcecode10 augustus 2016 16:35
En dit kan er dus voor zorgen dat dit wel mogelijk word, als ik het artikel goed heb begrepen want het is inderdaad wel wat apart verwoord.
nelizmastr @sourcecode10 augustus 2016 16:36
Omzeilen en uitschakelen zijn twee verschillende zaken.
RADRIGUZ @sourcecode10 augustus 2016 16:37
Bedoelen ze dan juist niet dat het daar juist wel op kan dmv die policy?
Viince1 @sourcecode10 augustus 2016 16:39
SecureBoot hoeft nu ook niet meer uitgeschakeld te worden, je kan het namelijk met behulp van deze Golden Key omzeilen..
MrFax @sourcecode10 augustus 2016 16:47
Als je het kon uitschakelen had je deze leak helemaal niet nodig gehad
Ramon @MrFax10 augustus 2016 19:28
Zal aan de efi liggen. De surface pro heeft gewoon een setting ervoor.
MrFax @Ramon10 augustus 2016 19:36
Ja maar als je het kan uitzetten heb je hier niks aan, want dan kan je doen wat je wilt met wat voor OS dan ook.

[Reactie gewijzigd door MrFax op 27 juli 2024 20:32]

roy-t @sourcecode11 augustus 2016 12:17
Bedoel je hiermee dat het alleen op de Windows RT tablets niet kan?

Ik kan iig vertellen dat op de Surface Pro 3 en Surface Pro 4 je secure boot kunt uitzetten. (Het bootscherm met het surface logo wordt dan wel rood, maar alles werkt gewoon prima).
Barryke @Daniel.10 augustus 2016 16:39
Zou deze bug/fout betekenen dat we andere software kunnen installeren op o.a. De Surface RT apparaten?
De eerste zin van het artikel luidt:
Microsoft heeft per ongeluk een Secure Boot-policy laten uitlekken, waarmee het mogelijk is om Windows-apparaten te voorzien van andere besturingssystemen door Secure Boot te omzeilen.
En zoals later benoemd, kan Secure Boot niet uitgezet worden bij Windows RT. Ik krijg de indruk dat deze "golden key" dus ook voor dat apparaat gaat werken..

[Reactie gewijzigd door Barryke op 27 juli 2024 20:32]

Armin
@Barryke10 augustus 2016 23:11
En zoals later benoemd, kan Secure Boot niet uitgezet worden bij Windows RT. Ik krijg de indruk dat deze "golden key" dus ook voor dat apparaat gaat werken..

Niet 'gaat', maar eerder 'ging' :)

Het artikel van de register linkte al naar een sript waarmee Windows RT unlocked kon worden. Maar Microsoft heeft inmiddels al twee pacthes uitgebracht (eentje vorige maand, en de tweede gisteren) die het merendeel van de 'exploits' dichtgooid. Je moet nu al handmatig zelf een oude bootloader herinstalleren, hetgeen lastig is met de default-on TPM van Windows RT.
Tha @Daniel.10 augustus 2016 16:42
Ik kan ook niet wachten bijvoorbeeld AndroidX86 te gaan draaien op mijn windows tablet met windows 10 en 1GB ram en 32GB MMC geheugen.

Het is niet te doen, windows 10 draaien hierop.
zonde.

Het zou echter een prima Android tablet zijn, alhoewel 1GB nog steeds marginaal is. :D
Chinco @Tha11 augustus 2016 14:40
Dat heb ik juist andersom. Zoveel mooie (tablet)hardware en dan Google's Android erop. Zo zonde... Ultiem zou voor mij een iPad met W10 erop zijn, denk ik. Dromen mag, he? ;-)

Maar daar helpt dit lek niet voor. Sowieso snap ik niet dat MS dat niet mogelijk maakt voor het brede publiek. Ik heb op een Teclast X98 (eerste versie) al eens een Android-tablet geflasht naar W8, dus mogelijk is het zeker. Zelfs een ARM-versie zou moeten kunnen, ook al verlies je dan x86-programma's.
Jay47 @Daniel.10 augustus 2016 16:44
Damn dat was mijn eerste gedachte ook.
Heb nog een Nokia 2520 in de kast liggen.
winos @Daniel.10 augustus 2016 16:56
Dat zou zo ongelovelijk fijn zijn! Dual boot android + Windows :)
Armin
@Daniel.10 augustus 2016 18:39
Zou deze bug/fout betekenen dat we andere software kunnen installeren op o.a. De Surface RT apparaten?

Als je bedoeld, Linux of zo. Wellicht ja.

Als je bedoelt, nu niet doro Microsoft ondertekende software, nee niet direct. Indirect kun je wellicht die beveiliging proberen te verwijderen, maar het omzeilen van secure boot maakt het nog niet mogelijk om bijvoorbeeld je met gcc gecompileerde ARM32 applicatie te draaien op Windows RT.
m_snel @Daniel.10 augustus 2016 19:07
Ja ik snap dat ook niet, goede site maar van die mod begrijp ik niks.
HollowGamer @Daniel.10 augustus 2016 16:35
Precies, zo slecht lijkt me deze fout niet. Dit hele gebeuren met rare sleutels, is puur om de markt te overspoelen met Microsoft spul. Het veiliger maken is meer een dekmantel, want waarom zou je op een Windows gecertificeerd geen ander OS mogen installeren, puur om de veiligheid? Laat me niet lachen.
MadEgg @HollowGamer10 augustus 2016 16:44
Ubuntu is net zo goed ondertekend, dus deze kun je zonder problemen installeren op een Windows PC. Ongetwijfeld vele andere Linux-distributies ook.

Ben op zich geen fan van het systeem met preloaded keys, maar het verhindert andere besturingssystemen niet. Zolang ze maar ondertekend zijn.

[Reactie gewijzigd door MadEgg op 27 juli 2024 20:32]

CAPSLOCK2000
@MadEgg10 augustus 2016 17:08
Ubuntu is net zo goed ondertekend, dus deze kun je zonder problemen installeren op een Windows PC. Ongetwijfeld vele andere Linux-distributies ook.
Dat is een vrij penibele situatie. Er is een bootloader die door MS is ondertekent. Daar doen alle Linux-versies het mee. Als die bootloader een keertje moet worden geupdate en MS heeft daar geen zin meer in dan houdt het heel snel op.
Als die Linux-distributies zijn dus volledig afhankelijk van de goede wil van Microsoft. Dat is geen fijne gedachte als je MS als concurrent ziet.
MadEgg @CAPSLOCK200010 augustus 2016 17:19
Is die ondertekend door Microsoft? Dat wist ik niet. Ik dacht dat Canonical een eigen key had laten registreren. Dat is wel een slechte constructie dan. Kan Canonical (of Red Hat, of een van de anderen) niet zelf een key laten registreren?

Sowieso zet ik Secure Boot uit, het zint mij niets dat Microsoft carte blanche heeft om te installeren wat ze willen terwijl ik juist Microsoft niet vertrouw. Dan kan ik het net zo goed helemaal uitzetten, en dat doe ik dan ook.

Beter zou zijn om geen pre-loaded keys te doen en bij een onbekende ondertekening deze aan de gebruiker voor te leggen en te laten controleren. Maar ja, dat zal wel weer te ongebruikersvriendelijk zijn. Men zou toch eens iets moeten doen voor de eigen beveiliging.. 8)7

[Reactie gewijzigd door MadEgg op 27 juli 2024 20:32]

Blokker_1999
@MadEgg10 augustus 2016 18:16
Microsoft is de enige die een key heeft die door alle moederborden vandaag wordt ondersteund. Dat is net het absurde van heel het verhaal.

Het probleem met onbekende keys te laten goedkeuren door de gebruiker is dezelfde als alle waarschuwingen die vandaag op je PC verschijnen. De meeste gebruikers klikken die gewoon weg.
MadEgg @Blokker_199910 augustus 2016 18:40
Klopt, maar de meeste gebruikers zetten alles ook op Facebook, beveiligd met wachtwoord 1234 en installeren alles wat maar met knipperende banners aangeprezen wordt, dus voor hen heeft secure boot ook zo geen meerwaarde. De bootloader hoeft daar helemaal niet geinfecteerd te worden om volledige toegang te krijgen.

Elke key goedkeuren is wel de enige manier om het echt veilig te maken. Helemaal als Microsoft zoals hier keys gaat lekken zodat elke PC met preloaded microsoft keys kwetsbaar is. Dat was zonder die preload niet mogelijk geweest.
dmantione @MadEgg10 augustus 2016 17:44
Voor zover ik weet zijn er een bootloader van Red Hat en eentje van de Linux Foundation. Beiden zijn door Microsoft ondertekend.
Verwijderd @MadEgg10 augustus 2016 17:00
Wat als jij een eigen distro gemaakt hebt of iets hebt aangepast of een nieuwe onbekende Linux versie gebruikt of MS besluit ineens die sleutel in te trekken?
sspiff @HollowGamer10 augustus 2016 16:40
Door te vereisen de bootloader en het OS te signen verhinder je wel dat er ongemerkt kwaadaardige rootkits of aangepaste kernels op een apparaat geplaatst worden.
Verwijderd @sspiff10 augustus 2016 17:08
Maar ook dat je zelf gekozen OS geinstalleerd kan worden.
Zelfs een installatie van W7 kan hierdoor lastiger worden.
sspiff @Verwijderd10 augustus 2016 17:13
Dat besef ik als Linux gebruiker maar al te goed. Ik vermelde het gewoon om aan te duiden er weldegelijk argumenten zijn die in het voordeel van een versleutelde bootloader/UEFI firmware spreken, waar de bovenstaande comment beweerde dat het enkel en alleen diende om mensen te verplichten Windows 10 te gebruiken.
Loller1
@HollowGamer10 augustus 2016 16:38
Niemand die zegt dat je geen ander OS mag installeren op een Windows PC, ook niet met Secure Boot permanent aan. Daarbij is Secure Boot geen Microsoft technologie maar onderdeel van de UEFI standaard.
MrFax @Loller110 augustus 2016 16:48
Maar Microsoft past wel de firmware zo aan dat je normaal gesproken niks anders dan Microsoft-signed OS's kan installeren.
jimzz @MrFax10 augustus 2016 17:00
Ik kan gewoon linux installeren hoor, secure boot betekent niet dat je niks anders mag installeren. En nogmaals zoals hierboven al aangegeven is uefi een standaard en als je onderdelen los koopt zit windows er gewoonlijk niet bij.

Edit: nice demods omdat een ander os installeren gewoon kan, awesome.

[Reactie gewijzigd door jimzz op 27 juli 2024 20:32]

Verwijderd @jimzz10 augustus 2016 17:07
Ow jawel.. voldoende laptops soort van gemold omdat het OS geen geldige sleutel had.
OrangeTux @Verwijderd10 augustus 2016 17:13
Ik heb ook op verschillende apparaten geprobeert Linux naast Windows 8/10 te installeren en dat lukte vaak niet. Uiteindelijk is dat de reden het laatste duwtje geweest om geen dualboot te draaien (en dus gewoon helemaal geen Windows meer te gebruiken).
sfranken @OrangeTux10 augustus 2016 20:09
hm, het gaat hier prima. Secure boot uitzetten in Windows 10 (Windows bootloader), Linux installeren en klaar.
jimzz @Verwijderd10 augustus 2016 17:49
Gemold? Zul je flink wat moeite gedaan hebben dan. Maarre:

New Windows PCs come with UEFI firmware and Secure Boot enabled. Secure Boot prevents operating systems from booting unless they’re signed by a key loaded into UEFI — out of the box, only Microsoft-signed software can boot.

Microsoft mandates that PC vendors allow users to disable Secure Boot, so you can disable Secure Boot or add your own custom key to get around this limitation. Secure Boot can’t be disabled on ARM devices running Windows RT.

Ik heb laptops gezien inderdaad waar deze optie niet uit te schakelen valt en daar heb je dan gelijk in, maar mensen stellen hier op tweakers dat dat de schuld van Microsoft is en dat is totaal niet het geval. Ook dual boot is gewoon mogelijk al dan niet met secure boot (althans daar ga ik van uit). Ik weet niet of volgend artikel werkt op alle computers, maar dat is wat je moet doen om secure boot uit te schakelen.

http://www.howtogeek.com/...uefi-pc-with-secure-boot/

Ps: thumbs up voor de downvotes op feiten en het feit is dat het mogelijk is, of het eenvoudig is is een ander verhaal.
rbr320 @MrFax10 augustus 2016 16:54
Inderdaad. SecureBoot had een soort van open standaard moeten worden waarbij iedere OS leverancier zijn bootloader en/of kernel zou kunnen laten ondertekenen door een onafhankelijke instantie. Nu Microsoft dat echter heeft overgenomen is het meer een extra methode om vendor lock-in te forceren. Persoonlijk vind ik het belachelijk dat Linux distributies hun bootloader door Microsoft moeten laten ondertekenen om SecureBoot te kunnen ondersteunen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq