Stručnjaci zabrinuti zbog funkcije bezbednog boot-ovanja u Windows 8

Vesti, 23.09.2011, 09:38 AM

Kao što je to bio slučaj i sa operativnim sistemima koji su mu prethodili, Windows 7 i Windows Vista, i novi operativni sistem Windows 8, čija je pre-beta verzija javnosti predstavljena pre desetak dana, reklamira se kao najbezbednija verzija Windows-a koja je ikad objavljena. Kada se ista tvrdnja iznosila za ranije verzije Windows-a to i nije bilo daleko od istine jer je svaka nova verzija donela značajna poboljšanja kao što su ASLR (Address Space Layout Randomization) i DEP (Data Execution Protection). Jedna od najvažnijih promena u Windows 8 je dodatak UEFI, koji će zameniti BIOS i koji je zamišljen tako da pomogne u sprečavanju infekcija niskog nivoa.

Način na koji će se pokretati Windows 8 će se prilično razlikovati od načina na koji su to činile dosadašnje verzije ovog operativnog sistema. Umesto BIOS-a, računari sa Windows 8 operativnim sistemom će imati UEFI (Unified Extensible Firmware Interface) koji je fleksibilniji i lakši za programiranje od BIOS-a. UEFI će se nalaziti između firmware-a i Windows-a i Microsoft će zahtevati da svaki računar koji radi pod operativnim sistemom Windows 8 ima zaštitnu boot sekvencu uključenu u osnovnom podešavanju. Ta sekvenca će zahtevati od svakog programa koji se učitava tokom pokretanja sistema da ima odgovarajući ključ koji je sadržan u firmware. Ukoliko firmware ili software nema odgovoarajući digitalni sertifikat, Windows 8 neće biti učitan.

Pokretački motiv za ovu promenu u procesu boot-ovanja Microsoft-u su dali napadači koji se izveštili tokom prethodnih godina u pronalaženju metoda za učitavanje malware-a u BIOS i firmware, u nivou nižem od operativnog sistema. Tako je u nekim slučajevima infekciju rootkit-ovima, bootkit-ovima i malware-ima koji napadaju MBR (Master Boot Record) bilo nemoguće ukloniti bez reinstalacije operativnog sistema. Microsoft i proizvođači antivirusnih programa nekoliko godina unazad nastoje da pronađu načine za odbranu Windows-a i zaokret ka UEFI i bezbednom boot-ovanju je jedan od rezultata tih zajedničkih napora.

Bio je to dug put za Microsoft kako bi najzad stigao do željenog cilja. Kompanija je i ranije objavljivala različite verzije zaštitnog sistema koje su se oslanjale na hardver. Ranija verzija, nazvana Windows Next Generation Secure Computing Base i kasnije Palladium, bile su predmet kontroverzi u vreme kada su bile aktuelne. Mnogi elementi Palladium sistema su primenjeni kod nekih laptop računara i u Windows 8 UEFI: hardverski zaštitni moduli, bezbedno boot-ovanje, sertifikovanje softvera, kodiranje uskladištenih fajlova. I dok nešto od onoga što je Microsoft primenio u Windows 8 neće zahtevati korišćenje TPM (Trusted Platform Module), podrška za kodirane hard diskove, na primer, hoće.

Ovi zaštitni mehanizmi imaju, pored očiglednih benefita, i neke nedostatke. Jedan od njih je monopol Microsoft-a nad hardverom koji će smanjiti mogućnost izbora za korisnike ali i ograničiti prostor za inovacije.

Pored ovoga, zajednica koja podržava softver otvorenog koda zabrinuta je zbog toga što će ove promene u Windows 8 onemogućiti korisnike da koriste alternativne operativne sisteme na računarima koji se oslanjaju na Windows. Možda će i biti nekog načina za zaobilaženje UEFI i učitavanje zasebnog operativnog sistema, ali to će biti prilično teško.

“Nema indicija da će Microsoft sprečavati proizvođače firmware podrške da isključuju ovu funkciju i koriste nesertifikovani kod. Međutim, iskustvo govori da su mnogi firmware i OEM proizvođači zainteresovani da obezbede samo minimum funkcionalnosti fimrware-a koju zahteva njihovo tržište. Skoro je izvesno da će neki sistemi biti isporučivani sa isključenom funkcijom. Isto tako, skoro je sigurno da to neće biti tako kod nekih drugih sistema. Verovatno još uvek nema mesta panici. Ali ima razloga za zabrinutost,” kaže Matju Geret, Red Hat programer, u tekstu na svom blogu komentarišući promene u Windows 8.