Giải pháp mới của Linux Foundation để khắc phục vấn đề với Secure Boot
Sau nhiều nỗ lực trong việc tìm cách đưa các distro Linux tiếp cận những máy tính bị kiểm soát bởi Microsoft, công sức của các thành viên trong Linux Foundation rốt cuộc cũng được đền đáp. Những ngày vừa qua giới công nghệ đã được tiếp cận một trong những giải pháp tổng quát đầu tiên, hứa hẹn khắc phục được rào cản ngăn cách giữa người dùng Windows 8 và tất cả các distro Linux.
Như chúng ta đã đề cập trong bài viết trước, UEFI nói chung và Secure Boot nói riêng là những tiến bộ công nghệ đã được mong chờ từ lâu, với rất nhiều lợi thế so với hệ thống BIOS cũ kĩ như giúp việc cấu hình máy thân thiện hơn với người dùng, cải thiện độ ổn định và bảo mật của hệ thống. Thế nhưng trên những máy tính được bán kèm với Windows 8, khi mà Microsoft nắm một phần quyền kiểm soát con chip secureboot chứa cơ sở dữ liệu về các thành phần đáng tin cậy (trusted), việc bổ sung thông tin của các distro Linux vào đó để vượt qua được các bước thẩm định của Secure Boot hoàn toàn không dễ dàng. Một khi những cơ sở dữ liệu này chưa được cập nhật và hãng sản xuất phần cứng (OEMs) không cung cấp tùy chọn tắt Secure Boot, việc khởi động được các thành phần của Linux – đặc biệt là đối với những distro kém phổ biến hay do người dùng tự phát triển, sẽ là gần như bất khả thi. Điều này chỉ có vẻ kém quan trọng tại những môi trường mà phần lớn người dùng không cần quan tâm đến chuyện bản quyền hệ điều hành (Windows) khi mua máy tính mới hay chỉ cần sử dụng qua loa các distro Linux phổ biến (Ubuntu, Fedora) như ở Việt Nam. Còn thực chất việc không thể tiếp cận các distro như SUSE, ClearOS – chưa kể đến việc không thể tự phát triển các nền tảng của riêng mình được cộng đồng thế giới đán.h giá khá nghiêm trọng.
Câu chuyện về việc Secure Boot trên các máy tính đời mới cài sẵn Windows 8 sẽ có khả năng gây khó khăn cho việc cài đặt Linux của người dùng là chuyện hoàn toàn không mới. Thực chất đã có những tranh cãi và bài viết xoay quanh vấn đề này từ tận những ngày cuối năm 2011, phần lớn nhắm tới việc chỉ trích Microsoft. Không lâu sau đó các distro nổi bật nhất như Ubuntu hay Fedora đều đã giới thiệu cho người dùng cách vượt qua chướng ngại này, bản thân Linux Foundation hồi tháng 10 vừa qua cũng chỉ tạm thời “chữa cháy” được bằng cách hướng người dùng đến một giải pháp khá phức tạp để khởi động một bootloader “thứ hai”. Cho đến trước những ngày vừa qua, mới chỉ có SHIM bootloader của Matthew Garret là bootloader duy nhất chính thức được Microsoft công nhận và số lượng distro mà Mathew có thể hỗ trợ cũng không phải là vô hạn.
Chính vì vậy tin về việc Linux Foundation đã tìm ra một giải pháp tổng thế cho vấn đề này được đón nhận khá nồng nhiệt, tuy rằng hiện nay các file được cung cấp còn ở dạng thô, chỉ dành cho người dùng PC Linux lâu năm thử nghiệm. Trên blog của mình, James Bottomley, người chỉ đạo dự án cho biết: ” Linux Foundation hi vọng các thế hệ Linux sẽ giữ vững được chỗ đứng của mình trước dòng chảy công nghệ, trước sự xuất hiện của các tiến bộ mới như hệ thống Secure Boot, nhưng cũng đồng thời mong muốn giúp những người dùng hiểu biết có thể giữ lại quyền kiểm soát hệ thống của mình bằng cách hỗ trợ họ đưa thông tin về nền tảng của mình vào cơ sở dữ liệu secure boot”. .
“Khi sử dụng Secure Boot, chỉ những gì nằm trong whitelist của cơ sở dữ liệu của chip UEFI secureboot mới được thực thi” Anh tóm tắt lại vấn đề. Bootloader mới của Linux Foundation (mà theo như Bottemley thì cái tên đúng phải là preloader) đã khắc phục được việc này với sự hỗ trợ từ Microsoft. Các file này được đóng dấu xác nhận bởi Microsoft, sau khi được cài đặt và cấu hình thành công, chúng sẽ hỗ trợ mọi loại Linux bootloader, giúp quá trình boot các distro Linux từ đó được phần nào tách khỏi vòng kiềm tỏa chặt chẽ của Secure Boot (không như khi boot các bản Windows của Microsoft). Nhìn chung, phương pháp mới này khi thực sự hoàn thiện sẽ giúp người dùng – chủ yếu là các nhà phát triển có thể dễ dàng khởi động mọi phiên bản Linux trên một nền tảng phần cứng bất kì. Tuy vậy hiện nay có vẻ vẫn còn một số lỗi bảo mật do Microsoft phát hiện, có thể “bị lợi dụng để tự động xóa đi dữ liệu secure boot”. Các thông tin về việc sửa chữa lổ hổng này sẽ sớm được cập nhật trên blog của James, hi vọng chúng ta sẽ sớm có được một giải pháp hoàn thiện cho việc cài đặt Linux trên các hệ thống với UEFI Secure Boot bị kiểm soát bởi Microsoft.
Video đang HOT
Theo Genk
Windows 8 bảo mật dữ liệu như thế nào?
Windows RT là phiên bản Windows sẽ giúp bạn tránh được nhiều vấn đề về bảo mật, bởi nếu không thể cài đặt được các ứng dụng cũ được viết cho các bản Windows trước, malwave sẽ rất khó khăn trong việc thâm nhập vào hệ thống. (Windows RT là bản Windows 8 chạy trên vi xử lý ARM và không tương thích với các ứng dụng đang chạy trên Windows 7, XP, Vista). Tất nhiên, theo thời gian, Windows RT cũng sẽ là đối tượng tấ.n côn.g của hacker. Rất may, phiên bản này cũng sẽ được trang bị các công nghệ bảo mật giống như trên Windows 8 dành cho vi xử lý x86. Vậy bảo mật trên HĐH mới nhất của Microsoft hoạt động như thế nào, chúng ta hãy cùng tìm hiểu.
Secure Boot và ELAM
Các PC mới chạy Windows 8 được trang bị tính năng Secure Boot trong firmware UEFI - giao diện Firmware mở rộng hợp nhất. Secure Boot yêu cầu tất cả các ứng dụng chạy trong quá trình boot hệ thống phải đạt các tiêu chuẩn bảo mật. Với phương thức này, hệ thống sẽ nhận diện được tất cả các tập tin, tránh các tập tin giả mạo được load trước khi Windows 8 khởi động.
Chương trình diệt virus cũng sẽ bắt đầu chạy khi HĐH đang khởi động (phần mềm diệt virus cần hỗ trợ tính năng ngăn chặn malware từ đầu ELAM - Early Load Anti Malware), giúp cho việc ngăn chặn malware xâm nhập vào hệ thống hiệu quả hơn.
Nếu như phát hiện có rootkit đang "nhăm nhe" thay đổi các thành tố của Windows khi bạn khởi động, HĐH sẽ tìm cách phát hiện các đoạn mã bị thay đổi và thay thế bằng các đoạn mã gốc. Các thay đổi này sẽ được hoạt động khá âm thầm và Windows 8 không hiển thị bất kì khuyến cáo nào về tiến trình này. Các thông tin chi tiết sẽ chỉ được hiển thị trong mục warmings (cảnh báo) trong Action Centre.
Windows Defender
Windows 8 sẽ tích hợp trình diệt virus Windows Defender sẵn vào máy. Phần mềm này hứa hẹn mạnh mẽ hơn so với người tiề.n nhiệm Microsoft Security Essentials - phần mềm chống malware miễn phí mà người dùng có thể tải và cài đặt trên các phiên bản Windows khác. Ứng dụng này sẽ được kích hoạt sẵn, theo mặc định, giúp bảo vệ máy tính người dùng ngay khi họ bật máy. Mặc dù người dùng sẽ không thể gỡ nó ra khởi máy nhưng họ có thể vô hiệu hóa nó nếu như họ muốn cài một phần mềm diệt virus từ hãng khác. Nói rõ ràng hơn, bạn sẽ phải vô hiệu hóa công cụ này nếu muốn cài trình diệt virus của bên thứ 3 vào máy.
SmartScreen
Có nguồn gốc là một tính năng bảo mật trên trình duyệt IE, Microsoft đã đưa SmartScreen lên Windows 8. Khi người dùng tải về 1 chương trình hay 1 tập tin từ internet, bộ lọc SmartScreen sẽ kiểm tra xem có người khác vừa tải về cùng tập tin, chương trình đó hay không. Nếu như có, sẽ có một hệ thống đán.h giá (rating) về tập tin dựa vào mức độ phổ biến của nó, hoặc các phản hồi đây là tập tin có hại hay không. Người dùng nếu download khi đang bật tính năng này sẽ nhận được thông báo cảnh báo nếu tập tin họ đang tải bị đán.h giá thấp về mức độ an toàn. Do được tích hợp vào HĐH nên không chỉ IE mà các trình duyệt khác cũng sẽ được hưởng lợi từ tính năng này.
Cách đăng nhập mới
Đăng nhập bằng hình ảnh (Picture Password) là một trong những tính năng mới trên Windows 8, giúp bạn đăng nhập vào hệ thống bằng hình ảnh khuôn mặt của mình. Sau khi kích hoạt tính năng này, bạn có thể lựa chọn 1 bức ảnh lưu trong máy tính, sau đó, HĐH sẽ yêu cầu bạn xác nhận các cử chỉ sẽ thực hiện trên bức ảnh đó để đăng nhập vào hệ thống.
Bạn cũng có thể chuyển sang chế độ mật khẩu bằng chữ như truyền thống.
Tuy nhiên, Microsoft có lẽ sẽ phải hoàn thiện thêm tính năng này, bởi mới đây, các chuyên gia về mật khẩu của Passcape Software cho biết tính năng này không an toàn và mật khẩu người dùng có thể bị lộ khi bật Picture Password. Sở dĩ điều này xảy ra là do người dùng vẫn cần phải có 1 tài khoản với mật khẩu truyền thống. Mật khẩu này được lưu giữ trong hệ thống và có thể bị giải mã với bất kì người dùng nào có quyền admin.
AppContainer
AppContainer là môi trường sandbox của các ứng dụng trên Windows 8 được thiết kế để ngăn chặn các ứng dụng có ý định phá hoại HĐH. AppContainer sẽ cấp quyền khác nhau cho các ứng dụng khác nhau nhằm đảm bảo an toàn cho người dùng. Các plugin của IE cũng sẽ chạy trong môi trường Sandbox trên Windows 8.
Ngoài ra, người dùng muốn tải và cài ứng dụng trên HĐH này sẽ phải qua Windows Store - chợ ứng dụng của Windows 8 (bên cạnh việc tải ứng dụng một cách tự do như trước đây). Nhờ cơ chế này, Microsoft có thể kiểm tra độ an toàn của các ứng dụng, ngăn chặn các phần mềm độc hại. Tính năng restore cũng giúp người dùng dễ dàng khôi phục lại hệ thống ở thời điểm PC của họ "sạch sẽ".
Bảo mật phần cứng
Nhiều PC chạy Windows 8 sẽ được trang bị vi mạch (microchip) Trusted Platform Module (TPM) để tận dụng các tính năng bảo mật cao cấp như BitLocker Drive Encryption (mã hóa ổ đĩa BitLocker) - cho phép người dùng mã hóa các phần ổ đĩa đang được sử dụng thay vì mã hóa toàn bộ ổ đĩa cùng 1 lúc. Vi mạch TPM có thể tạo ra các key mã hõa có độ an toàn cao bởi các khóa này chỉ có thể được mã hóa bởi cùng một vi mạch TPM. Vi mạch này lưu trữ các key mã hóa ở ngay bộ lưu trữ nội bộ của nó (storage root key) thay vì lưu trữ trong ổ đĩa. Tính năng này giúp bảo vệ người dùng tốt hơn khỏi các cuộc tấ.n côn.g được hacker thiết kế nhằm ăn cắp key mã hóa.
Theo Genk
Atom 'Clover Trail' - chip xử lý cho tablet và máy lai của Intel xung trận Hoàn toàn ngạc nhiên và bất ngờ, khi giới công nghệ vẫn đang xoay quanh các mẫu tablet dùng chip ARM chạy iOS hoặc Android, thì Intel và các "bạn hàng" cùng lúc tung ra một loạt sản phẩm mới dựa trên mẫu chip Atom "Clover Trail" Z2760. Điều đáng chú ý hơn là các mẫu tablet này đều dùng Windows 8 và...