Liepos mėn. Pranešėme, kad „Microsoft“ pavyko pašalinti didelę saugos spragą, kuri įsilaužėliams būtų leidusi atrakinti „Windows RT“ planšetinius kompiuterius ir paleisti ne „Windows“ operacines sistemas. Remiantis naujausiais pranešimais, atrodo, kad saugumo pataisa nebuvo tokia sėkminga, nes pažeidžiamumą vis dar galima išnaudoti.

„Microsoft“ programinėje įrangoje yra funkcija „ Secure Boot“, leidžianti įrenginiams paleisti tik operacines sistemas, kurias kriptografiškai pasirašė technikos milžinas. Ankstyvo paleidimo metu „Windows“ įkrovos tvarkyklė suaktyvina saugaus įkrovimo funkciją. Tačiau yra būdas išjungti saugaus įkrovos tikrinimą naudojant specialią politiką, vadinamą „auksiniu užpakalinio durų raktu“. Jei vartotojams pavyksta įsitvirtinti šioje politikoje ir įdiegti ją savo įrenginiuose, tada „Windows“ įkrovos tvarkyklė įkels bet kurią norimą operacinę sistemą.

Technikos milžinas desperatiškai bando pataisyti šią spragą, tačiau kai kurie įsilaužėliai sako, kad „Microsoft“ neįmanoma panaikinti nutekėjusių raktų.

Bet kokiu atveju, MS praktikoje būtų neįmanoma atšaukti kiekvieno įkrovos tvarkymo įrankio anksčiau nei tam tikru momentu, nes jie sugadins laikmenas, atkūrimo skaidinius, atsargines kopijas ir kt.

Šis didelis pažeidžiamumas taip pat atgaivina diskusijas dėl žvalgybos ir saugumo tarnybų pradėto saugaus aukso rakto ypatybės. Trumpai tariant, saugos tarnybos ilgą laiką pastūmėjo programinės įrangos milžinus įdiegti saugią auksinių raktų sistemą, kuri tyrėjams galėtų suteikti visišką prieigą prie vartotojų kompiuterių. Tačiau tokie universalūs raktai gali lengvai patekti į netinkamas rankas, kaip perspėja etiniai įsilaužėliai:

Galinis durys, kurias MS įdėjo, kad užtikrintų įkrovą, nes nusprendė neleisti vartotojui jos išjungti tam tikruose įrenginiuose, leidžia saugų įkrovimą išjungti visur! Galima įžvelgti ironiją. Taip pat ironija, kad pačios valstybės narės pateikė mums keletą gražių „auksinių raktų“ (kaip FTB pasakytų ???? mums naudoti šiam tikslui ???? Apie FTB: ar jūs skaitote tai? Jei esate, tada tai yra puikus realaus pasaulio pavyzdys, kodėl jūsų idėja atverti kriptosistemas su „saugiu auksiniu raktu“ yra labai bloga! Jūs rimtai dar nesuprantate? „Microsoft“ įdiegė „saugaus auksinio rakto“ sistemą. O auksiniai raktai buvo paleisti iš Valstybėms narėms priklauso kvailumas. Kas nutiks, jei jūs liepsite visiems susikurti „saugaus auksinio rakto“ sistemą?

Kol kas „Microsoft“ kaip visada tyli ir dar neturi paskelbti jokių komentarų šiuo klausimu.

Visą dviejų pažeidžiamumą tyrusių baltųjų skrybėlių įsilaužėlių paskelbtą ataskaitą galima rasti internete.