A napokban egy furcsa esetre derült fény, amely miatt veszélyben lehetnek a Secure Boot funkciót használó számítógépek, okostelefonok és táblák, ugyanis kiszivárgott egy úgynevezett „aranykulcs”, ami segít a Secure Boot funkció megkerülésében. Ez több szempontból is rossz hír, viszont a jelek szerint mégsem akkora a baj, mint elsőre tűnt – ennek részletezése előtt azonban néhány dolgot feltétlenül tisztázni kell Secure Boot ügyben.
Mint ismeretes, a Secure Boot az UEFI (Universal Extensible Firmware) részét képezi, bevezetése pedig a Windows 8 megjelenésével egy időben kezdődött meg. A Secure Boot funkció lényege, hogy segítségével biztosítható az adott operációs rendszer biztonságos indítása, így a kártékony kódok alacsony szintű telepítése megakadályozható, cserébe viszont nincs mód másfajta OS telepítésére sem. A funkció összességében hasznosnak tekinthető, igaz, egyes készülékeknél bosszúságot is okozhat, ugyanis Windows helyett nem lehet Androidot vagy Linuxot telepíteni, mert a rendszer le van zárva.
Igen ám, de van egy kiskapu, amit eredetileg a fejlesztők számára készítettek: ennek segítségével megkerülhető a Secure Boot védelem, így bármilyen operációs rendszer kerülhet az adott rendszerre, nem muszáj Windowst használni, cserébe viszont rootkitek és egyéb kártékony szoftverek bekerülésére is lehet esély. A fejlesztőknek szánt kiskapu kinyitásához megfelelő kulcsra van szükség, ami egy ideig titkos volt, ám sajnos kiszivárgott.
A problémát két biztonságtechnikai kutató vette észre, akik március és április folyamán már jelezték a Microsoft szakembereinek, hogy jó lenne bezárni a veszélyes kiskaput, ám a cég első körben nem mutatott különösebb érdeklődést az ügy iránt. A helyzet később változott, ennek eredményeként már két frissítés is érkezett annak érdekében, hogy a biztonsági rést befoltozzák, ám sem a júliusi, sem az augusztusi frissítés nem jelent 100%-os gyógyírt a problémára – majd csak a szeptemberben érkező javítás hozhat megnyugtató eredményt.
A Microsoft azóta hivatalosan is reagált a problémára. A szóvivő elmondása szerint a kiszivárgott kulcs nem jelent veszélyt az asztali- és üzleti számítógépekre. Az ARM és RT eszközök esetében sem túl nagy a probléma, mert a „sebezhetőség” kiaknázásához fizikailag is hozzá kell férnie a támadónak az eszközhöz, valamint adminisztrátori jogkört kell szereznie – az adattitkosítással kapcsolatos védelem pedig ezzel a módszerrel sem iktatható ki.
Így vagy úgy, az ügy remek példája annak, miért nem feltétlenül érdemes egy efféle rendszerbe hátsó ajtót építeni – vagy legalábbis jobban kell vigyázni a kulcsra, ha már elengedhetetlenül szükséges az ilyesmi.
