❌ Secure Boot does NOT help:
Threat Secure Boot? Why not Malware from phishing / malicious websites ❌ No Happens after OS boots Credential theft (keyloggers, browser) ❌ No Happens in user space Ransomware / spyware ❌ No Runs at app or kernel level Privilege escalation (exploiting bugs) ❌ No Secure Boot doesn't harden OS or apps Remote access trojans ❌ No Secure Boot doesn’t filter network activity Attacks on browsers, Office, or drivers ❌ No Outside Secure Boot’s scope
Mert nem ezekre van. (nem kiabálás, csak én is kiemeltem. :))
Ez egy kiegészítő védelem, és ami ellen véd:
- Megakadályozza a boot környezet megfertőződését: bootkit, rootkit - Bootloader szintű malware-t nem fog elindítani a géped, ha használod.
- Biztosítja, hogy csak ellenőrzött, aláírt rendszerindító kód fut.
- Persistent malware-ek ellen véd - amit semmilyen oprendszer újratelepítéssel nem szednél le, így egy átlag user főleg nem - nem is értené mi van.
- Hasznos védelem kompromitált USB vagy recovery image-ek ellen is.
Pont ez a gond, hogy ez egy félreértett dolog, nem feladata mindent kivédeni, csak egy építőkocka, ez egy réteg a védelemben. Például érdemes a TPM-mel együtt használni. ami észreveszi ha valaki kikapcsolja a secure boot-ot, vagy nem ad ki kulcsokat, ha a boot image vagy a kernel megváltozik (ha jól van beállítva).
Én örülök neki, hogy a gépem nem indít el akármit, szerintem ez fontos.
Erről beszéltem, hogy félreértések övezik, és ezért nem népszerű. Ráadásul senki "nem vette el" a kontrollt a gépeden, még ki is kapcsolhatod, de nem találkoztam olyan géppel, ami ha támogatja, akkor ez igazából bonyodalmat, vagy tényleges nehézséget okozott volna. Annyi, hogy
- Alá van írva amit futtatni akarsz, pl kernel
- Nincs aláírva, de tudod hogy mi az, és Te írod alá + a tanúsítványodat enroll-olod a bios/uefi-be. Tehát szerintem nem bonyolult.
Azzal érvelni, hogy a secure bootnak nincs értelme, mert nem véd meg a malicious website-ok ellen, az kb. olyan, mintha azt mondanád, hogy a számzáras széf semmit nem ér, mert attól még be fognak törni hozzád - miközben a széf célja nem az, hogy megvédje a házat, hanem hogy ne tudjanak könnyen belenyúlni a széfbe, és annak elvinni a tartalmát.
-
Én nem vagyok egy microsoft párti, szerintem a világ minden pénze nem elég nekik. Az Ő megoldásuk és én is tartok attól, hogy valami ügyeskedésre használják majd. Ezt mondanám a secure boot legnagyobb hibájának. Jobban örülnék, ha valaki független szervezet kezében lennének ezek a kulcsok, de lehet hogy technikai oka van (pl a visszavonási listák gyorsabb kezelése), hogy a microsoft kezeli közvetlen. De eddig szerintem nem éltek vissza semmivel ami a secure boottal kapcsolatos, ezt senki nem mondhatja.