Τα πιστοποιητικά ασφαλούς εκκίνησης (Secure Boot certificates) που διέθεσε αρχικά η Microsoft το 2011 για τις συσκευές με Windows θα λήξουν τον επόμενο μήνα. Η εταιρεία κυκλοφορεί αυτήν τη στιγμή νέα πιστοποιητικά ασφαλούς εκκίνησης σε επιλέξιμες συσκευές και έχει προειδοποιήσει ότι οι υπολογιστές που δεν έχουν ενημερωθεί με το τελευταίο firmware θα μπορούσαν να γίνουν ευάλωτοι σε κακόβουλο λογισμικό και απειλές σε επίπεδο εκκίνησης.
Σε μια ζωντανή μετάδοση του Ask Microsoft Anything στο YouTube, ο Κύριος Μηχανικός Ασφαλείας της Microsoft Arden White, ο Κύριος Αρχιτέκτονας Λογισμικού Scott Shell και ο Διευθυντής Μηχανικής Ομάδας Richard Powell απάντησαν σε μια σειρά ερωτήσεων σχετικά με το Secure Boot, την σημασία του για τις συσκευές των Windows, του τρόπου ενημέρωσης στην πιο πρόσφατη έκδοση και του τι θα μπορούσε να συμβεί εάν οι χρήστες δεν το κάνουν.
Το Secure Boot είναι μια λειτουργία ασφαλείας των Windows που έχει σχεδιαστεί για να προστατεύει τους υπολογιστές αποτρέποντας τη φόρτωση κακόβουλου λογισμικού κατά τη διαδικασία της εκκίνησης. Δημιουργεί μια “αλυσίδα εμπιστοσύνης” επαληθεύοντας τις ψηφιακές υπογραφές όλου του λογισμικού εκκίνησης, συμπεριλαμβανομένων των UEFI firmware drivers, των εφαρμογών EFI και του ίδιου του λειτουργικού συστήματος. Αυτό διασφαλίζει ότι η συσκευή εκκινείται μόνο με λογισμικό και υπηρεσίες που εμπιστεύεται ο κατασκευαστής του υπολογιστή.
Καθώς τα παλαιότερα πιστοποιητικά Secure Boot του 2011 θα λήξουν τον επόμενο μήνα, οι μηχανικοί της Microsoft αποκάλυψαν ότι η εταιρεία ξεκίνησε την κυκλοφορία των νέων πιστοποιητικών UEFI CA 2023 σε όλες τις υποστηριζόμενες συσκευές μέσω του Windows Update. Πρόσθεσαν ότι όλες οι συσκευές Windows 11 που κατασκευάστηκαν από το 2024 είτε διαθέτουν τα νέα πιστοποιητικά ή έχουν ήδη λάβει την ενημέρωση.
Οι χρήστες των Windows με παλαιότερες συσκευές μπορούν να ελέγξουν τη συμβατότητα στην εφαρμογή Ασφάλεια των Windows. Σύμφωνα με τη Microsoft, όλες οι υποστηριζόμενες συσκευές θα λάβουν αυτόματα τα νέα κλειδιά, αν και ορισμένα συστήματα μπορεί να απαιτούν πρόσθετες ενημερώσεις firmware από τους αντίστοιχους OEM.
Οι ειδικοί επιβεβαίωσαν ότι οι συσκευές που δεν έχουν ενημερωθεί ακόμη στα νέα πιστοποιητικά θα συνεχίσουν να λειτουργούν κανονικά και να λαμβάνουν τυπικές ενημερώσεις ασφαλείας. Ωστόσο, δεν θα μπορούν να υποστηρίξουν νεότερες προστασίες ασφαλείας για τη διεργασία πρόωρης εκκίνησης (early boot), γεγονός που ενδεχομένως θα τις κάνει ευάλωτες σε bootkits, firmware rootkits, και boot-sector viruses.
Να αναφέρουμε ότι οι παλαιότερες συσκευές που χρησιμοποιούν παλαιότερο BIOS firmware δεν είναι σύμβατες με το Secure Boot, επομένως τα Windows θα παραλείψουν εντελώς την ενημέρωση. Ωστόσο, εάν ένας υπολογιστής χρησιμοποιεί το Compatibility Support Module για να μιμηθεί το παλαιότερο BIOS ενώ εξακολουθεί να τρέχει σύγχρονο UEFI firmware συμβατό με το Secure Boot, θα λάβει την ενημέρωση κανονικά.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
