Secure Boot یک ویژگی امنیتی استاندارد برای دستگاه های مبتنی بر ویندوز است که برای محافظت از سیستم در طول فرآیند بوت طراحی شده است. اگر به تازگی ویندوز 11 را نصب کرده اید، احتمالاً با این قسمت از تنظیمات سیستم آشنا هستید. اگر سخت افزاری که استفاده می کنید شامل Secure Boot نباشد، نمی توانید ویندوز 11 را نصب و اجرا کنید.
MSI در 18 ماه گذشته بیش از 300 مدل مادربرد تولید کرده است. اگر شما یکی از کاربران این مادربردها هستید، ممکن است سیستم شما نیز در معرض آسیب قرار گیرد.
Secure Boot در سال 2011 تقریباً همزمان با ویندوز 8 معرفی شد. قبل از آن دستگاه ها از نرم افزاری به نام BIOS استفاده می کردند. بایوس بر روی یک تراشه کوچک نصب می شود که اجزای مختلف سیستم مانند هارد، سی پی یو، حافظه و سایر قطعات را در هنگام بوت شناسایی می کند و سپس مراحل بارگذاری ویندوز را طی می کند. این نرم افزار هنوز در بسیاری از کامپیوترهایی که از سخت افزار قدیمی استفاده می کنند موجود است. اما در سیستم های جدید مبتنی بر AMD و Intel جای خود را به بوت امن داده است.
مشکل بایوس این بود که هر بوت لودری را که در دایرکتوری مناسب قرار دارد بارگیری می کرد و به آن اجازه نصب می داد. عدم سختگیری فوق به هکرها این امکان را می دهد که بوت لودرهای نامناسب یا ناامن را با دسترسی کوتاه به یک دستگاه نصب کنند. مشکلی که می تواند همچنان باعث اجرای سیستم عامل مخرب شود.
حدود یک دهه پیش، BIOS با UEFI (Integrated Extensible Firmware Interface) جایگزین شد. سیستم عاملی که به تنهایی می تواند از بارگیری درایورهای سیستم یا بوت لودرها جلوگیری کند و به صورت دیجیتالی توسط سازندگان مورد اعتماد امضا نشده است. UEFI به پایگاه های داده امضاهای قابل اعتماد و لغو شده متکی است. امضاهایی که OEM ها در زمان ساخت در حافظه غیر فرار بارگذاری می کنند.
دیوید پوتوکی، دانشجوی فناوری اطلاعات و محقق امنیت سایبری، اخیراً کشف کرده است که بیش از 300 مدل از مادربردهای MSI در تایوان به طور پیش فرض Secure Boot را اجرا نمی کنند و به هر بوت لودری اجازه اجرا می دهند. همان کاری که بایوس قبلا انجام می داد و آسیب های امنیتی داشت. این محقق هنگام تلاش برای امضای دیجیتالی اجزای مختلف سیستم خود به طور تصادفی متوجه این نقص امنیتی شد.
پوتوکی نوشت:
به گفته پوتوکی، این نقص تنها در لپ تاپ های MSI مشاهده شد و هیچ نشانه ای از آن در مادربردهای سازندگانی مانند Asus، Ezrak و Biostar مشاهده نشد. علاوه بر این، محقق گزارش داد که خرابی Secure Boot نتیجه تغییر تنظیماتی است که MSI به طور پیش فرض روی سیستم ها اعمال می کند.
کاربرانی که می خواهند Secure Boot را پیاده سازی کنند باید به تنظیمات مادربرد آسیب دیده خود دسترسی داشته باشند. برای ورود به تنظیمات این قسمت در هنگام بوت شدن سیستم کلید دل را نگه داشته و سپس گزینه Security یا Secure Boot را انتخاب کنید. در نهایت وارد منوی Image Execution Policy شوید. اگر مادربرد سیستم تحت تأثیر قرار گرفته باشد، تنظیمات Removable Media و Fixed Media روی «همیشه اجرا شود» تنظیم میشوند.
Secure Boot را می توان بطور فعال روی Enabled و Always Execute به عنوان تنظیمات پیش فرض تنظیم کرد. چنین کاری محیطی کاربرپسند و انعطاف پذیر ایجاد می کند. محیطی که به کاربران نهایی اجازه می دهد رایانه های شخصی خود را بر اساس هزاران مؤلفه، از جمله گزینه های ROM داخلی و تصاویر سیستم عامل بسازند.
کاربرانی که به شدت نگران امنیت هستند همچنان می توانند به صورت دستی سیاست اجرای تصویر را روی Deny Execute یا گزینه های دیگر برای رفع نیازهای امنیتی خود تنظیم کنند.
طبق گزارش ها، MSI در حال انتشار نسخه های سفت افزار جدیدی است که تنظیمات پیش فرض را به Deny Execute تغییر می دهد. همانطور که گفتیم، Secure Boot برای جلوگیری از حملاتی طراحی شده است که در آن شخص ناآگاه به طور مخفیانه به دستگاه دسترسی پیدا کرده و سیستم عامل و نرم افزار آن را دستکاری می کند.