Imaju li smisla novi Secure Boot certifikati za Windowse 10?

Već smo ranije pisali na temu novih Secure Boot certifikata jer se radi o vrlo delikatnoj stvari za Windows računala. Stari Secure Boot certifikati istječu u lipnju i potrebno ih je zamijeniti novima, a Microsoft je na svojim službenim stranicama naveo kako će se sve automatski riješiti putem preuzimanja novih ažuriranja koja nas očekuju u naredno vrijeme. Windowsi 11 su po ovom pitanju sigurni, no kod Windowsa 10 zaista možemo pokušati naći objašnjenje ako Secure Boot certifikati uopće imaju neko značenje za ovaj operativni sustav.   Istek certifikata slabi sigurnost računala Secure Boot je sigurnosna značajka u UEFI-ju koja se nalazi na modernim Windows računalima i njena je funkcija zaštita od malwarea. Postoje sigurnosni certifikati koji su pohranjeni u UEFI-ju te ih koriste računala kako bi provjerila bootanje Windowsa i osigurala da je ovaj proces legitiman te da nema potencijalne uljeze. Istek kriptografskih certifikata je nešto što se događa kod raznih uređaja i aplikacija te se kod njih također moraju provesti ažuriranja. Dakle, radi se o procesu koji je korisnicima već poznat pa vjerojatno znaju da se uređaj sa starim certifikatima može nastaviti koristiti, no razina sigurnosti će znatno pasti. Računalo u takvom stanju neće više moći preuzimati nova sigurnosna ažuriranja koja su vezana uz bootanje Windowsa ili zakrpe za Windows Boot Manager, a takvo okruženje otvara sustav brojnim prijetnjama. Microsoft je reagirao na vrijeme U domeni Secure Boot certifikata Microsoft je pravovremeno reagirao i već je započeo s prosljeđivanjem Windows ažuriranja koja će u sebi sadržavati instalaciju potrebnih sigurnosnih nadogradnji. Korisnici za dobivanje novih certifikata ne moraju u većini slučajeva poduzimati nikakve manualne radnje i vlasnici svih podržanih uređaja mogu biti mirni. Pod podržanim uređajima mislimo na računala s Windowsima 11 koja mogu biti mirna, no što je s Windowsima 10? Što ako ste vlasnik Windows 10 računala i možete li biti sigurni?   Windowsi 11 rade tranziciju, kod Windowsa 10 kratkoročna Windows 10 operativni sustav došao je svom kraju u listopadu prošle godine, a to je značilo da neće više dobivati nova ažuriranja, nema tehničku podršku i održavanja i, što je u ovom trenutku važno, neće participirati u objavi novih certifikata. Doduše, postoje neke iznimke. Windows 10 računala koja su se prijavila za korištenje produžene (ESU) jednogodišnje pretplate vjerojatno će dobiti podršku za nove certifikate, no ovdje se radi o parcijalnom i kratkoročnom rješenju. Edicije Windowsa 10 vezane uz poslovni i edukacijski sektor imaju produženu pretplatu koja uz plaćanje može trajati do 3 godine. Ovdje dobivanje novih Secure Boot certifikata ipak može nešto značiti na duži rok ako se korisnici odluče na plaćanje pretplate. Kod redovnih korisnika Windowsa 10 situacija je drugačija jer se radi o kratkoročnom rješenju. Iako će ovi korisnici potencijalno dobiti nove Secure Boot certifikate, produžena (ESU) pretplata završava u listopadu. To znači da ova Windows 10 računala završavaju s Microsoftovom podrškom te svake nove nadogradnje certifikata izostaju i na njima nema više sigurnog okruženja. Nova Windows 11 računala već imaju sve potrebne certifikate, a ona stara će nove certifikate dobiti putem nadolazećih ažuriranja. Dugoročni sigurnosni problemi Treba reći da ažuriranje Secure Boot certifikata nije samo promjena na razini Windowsa. Ono itekako ovisi o firmware ažuriranjima od strane proizvođača vašeg računala, kompatibilnosti s novim lancima certifikata te pažljivoj koordinaciji među različitim komponentama. Vaše računalo trebalo bi imati kompletirane sve spomenute razine kako bi Secure Boot značajka osigurala optimalni rad. U suprotnom postajete izloženi ciljanim napadima jer će nove vrste malwarea lako probiti bilo koji oblik verifikacije, a hakeri upravo ciljaju ranjiva računala koja nemaju mogućnost nadogradnje. Nažalost, Windows 10 računala ubrzo ćemo moći svrstati pod ovu kategoriju. Radi li se o stvarnom problemu? Dio računala na Windowsima 10 još uvijek ima mogućnost nadogradnje na Windowse 11. Iz tog razloga se može reći da dio uređaja već sada ima šansu napraviti nadogradnju i uloviti priliku za dobivanje ključnih Secure Boot certifikata. Ostala Windows 10 računala koja nemaju uvjete prelaska na Windowse 11 su, nažalost, ostavljena po strani i Microsoft nema nikakvu namjeru u njih ulagati financijska sredstva i resurse. Iako produžena (ESU) pretplata potencijalno garantira dobivanje novih Secure Boot certifikata, pitanje je što privatni korisnici s tim dobivaju pošto će Microsoftova podrška završiti u listopadu ove godine. Poslije toga Windows 10 računala definitivno ostaju bez bilo kakvih sigurnosnih ažuriranja i zakrpa, a Secure Boot certifikati koje ste ranije dobili neće više dobivati daljnje nadogradnje. Ona svakako najvažnija je ažuriranje tzv. DBX liste (Secure Boot Forbidden Signature Database) koja predstavlja svojevrsnu crnu listu datoteka koje Secure Boot mora blokirati. Izostanak ažuriranja ove liste predstavlja veliki sigurnosni problem koji Windowsi 10 nakon završetka produžene (ESU) pretplate više neće moći zakrpati. Možemo zaključiti da su novi Secure Boot certifikati još jedno područje Windows sustava koje prisilno smješta Windows 10 računala u kategoriju zastarjelih uređaja s nesigurnim radnim okruženjem. Windows 10 računala bez produžene (ESU) podrške neće ni dobiti nove Secure Boot certifikate pa su ona već u samoj početnoj poziciji otpisana. Windows 10 računala koja koriste produženu (ESU) pretplatu treba bi dobiti nove Secure Boot certifikate, no za njih Microsoftova podrška završava u listopadu ove godine. To znači da nakon tog razdoblja dobiveni certifikati neće više biti ažurirani tj. DBX liste više se neće obnavljati. Drugim riječima, dobiva se nesigurno radno okruženje gdje su izgledni razni oblici malware napada pa nove Secure Boot certifikate možemo vidjeti samo kao prividnu nadogradnju koja ima vijek trajanja od 6 mjeseci. Jasno je vidljivo da korisnici moraju napraviti nadogradnju na Windowse 11 ili potražiti alternativu u drugim operativnim sustavima kao što su Linux ili ChromeOS Flex jer sigurnosni aspekt Windowsa 10 postaje sve lošiji.   Ervin MičetićThe post Imaju li smisla novi Secure Boot certifikati za Windowse 10? first appeared on PC CHIP.