O Secure Boot, implementação da UEFI da Microsoft, tem sido motivo de preocupação para os usuários de Linux desde que foi anunciado em janeiro de 2012. Já analisamos isso algumas vezes, mas como a poeira ainda está se estabilizando, decidimos revisitá-lo.

Mas antes de nos anteciparmos, vamos voltar ao começo e descobrir exatamente o que é o Boot Seguro..

Antes de 2012, todos os PCs inicializaram usando o BIOS. Essa foi uma relíquia dos anos 80 que muitos fabricantes não implementaram, o que levou a um tipo de sistema que era mantido em conjunto pelo equivalente digital da fita gaffa. Funcionou, mas apenas por causa do trabalho árduo de desenvolvedores que poderiam ter gastado seu tempo com coisas muito mais legais do que interfaces de inicialização se não estivessem mexendo por aí tentando fazer as coisas mais legais funcionarem mais suavemente.

Então, quando a Microsoft começou a conversar com os fabricantes sobre a possibilidade de substituir o sistema antigo, todos ficaram muito contentes com a morte iminente do BIOS.

A UEFI é, em muitos aspectos, um sistema muito superior. Ele dá aos programas de inicialização mais espaço para trabalhar e pode suportar melhor o hardware mais moderno. Se tudo tivesse sido deixado lá, a maioria das pessoas teria ficado feliz.

No entanto, não foi. Eles consertaram. Eles tiveram que ir um passo além e adicionaram o Secure Boot. Essa é uma extensão do UEFI que restringe a inicialização apenas a sistemas que foram assinados criptograficamente usando uma chave confiável. E a picada na cauda: a Microsoft controla a chave mestra. Astuto.

É claro que, como sabemos, essa pequena adição não torna completamente impossível para o Linux inicializar em sistemas Secure Boot, isso apenas torna um pouco complicado.

Risco de segurança

É claro que seria fácil afirmar que tudo é apenas uma tentativa cínica da Microsoft de aumentar ainda mais sua participação na indústria de PCs - e há muitas pessoas que têm essa visão em particular..

No entanto, é baseado em um risco de segurança genuíno que pode ser encontrado no Windows: vírus do setor de inicialização. Essa é uma classe de malware que infecta o registro mestre de inicialização (MBR) que fica no início de um disco. Quando o usuário inicia, o BIOS executa o código no MBR. Se tudo estiver bem, em um sistema corretamente em execução, isso inicializa o sistema operacional. No entanto, um vírus do setor de inicialização pode seqüestrar esse processo e executar alguma ação mal-intencionada antes de inicializar o sistema operacional.

Sob o sistema Secure Boot, o sistema só inicializará o código assinado, portanto, em princípio, esses vírus não poderão ser inicializados. Soa bem, certo? Bem, há alguns problemas não insignificantes.

Em primeiro lugar, ele se baseia em uma única chave e, historicamente, as únicas chaves não puderam permanecer em segredo por muito tempo (lembre-se de quando as chaves PlayStation e Blu-ray eram secretas?). Em segundo lugar, e talvez mais importante, os vírus do setor de inicialização eram comuns nos dias do MS-DOS. O mundo mudou um pouco desde então, e os criadores de malware não são exceção.

Inicialização segura é uma grande reviravolta para resolver um problema que estava morrendo por conta própria. Francamente, existem preocupações de segurança muito mais prementes para o Windows que não são afetadas por ele..

Microsoft fala

Desativar o UEFI pode ser uma tarefa complicada, mas vale a pena incomodar a longo prazo

Portanto, não é provável que tenha impacto no mundo dos softwares mal-intencionados no Windows. Também não é particularmente eficaz em bloquear outros sistemas operacionais de PCs. Nas Diretrizes de Certificação de Hardware do Windows 8, a Microsoft declara:

"17. Obrigatório. Em sistemas não-ARM, a plataforma DEVE implementar a capacidade de um usuário fisicamente presente para selecionar entre dois modos de Inicialização Segura na configuração de firmware:" Personalizado "e" Padrão ". O Modo Personalizado permite mais flexibilidade conforme especificado em o seguinte: a) O usuário fisicamente presente deve poder usar a opção de configuração de firmware do Modo Personalizado para modificar o conteúdo dos bancos de dados de assinatura de Inicialização Segura e da PK. Isso pode ser implementado simplesmente fornecendo a opção Limpar Inicialização Segura. bases de dados (PK, KEK, db, dbx), que coloca o sistema no modo de configuração.