Integrata nel BIOS UEFI, Secure Boot è una funzionalità di sicurezza che viene attivata di default all’accensione di qualunque sistema di recente fattura e che si incarica di controllare quali software debbono essere eseguiti e quali, invece, vanno bloccati.
Secure Boot controlla ad esempio che il sistema operativo disponga di una firma digitale autorizzata e, attingendo alle informazioni contenute in un database, concede o meno il permesso per l’avvio.
Non tutti i sistemi operativi (ad esempio non tutte le distribuzioni Linux) che si eseguono al boot (si pensi ai casi in cui si ricorre ad una chiavetta USB avviabile) dispongono di una firma riconosciuta: su PC, quindi, talvolta si rende necessaria la disattivazione della funzionalità Secure Boot.
Nell’articolo Secure Boot e Windows: a cosa serve e come si disattiva abbiamo analizzato nel dettaglio il funzionamento di Secure Boot.
La notizia di queste ore è che la cosiddetta golden key di Secure Boot, ossia la chiave principale utilizzata dalla funzionalità di protezione è stata pubblicata sul web.
Utilizzandola chiunque può sbloccare un dispositivo protetto da Secure Boot senza intervenire su UEFI.
Grazie alla “golden key“, poi, si possono sbloccare quei dispositivi (si pensi a Windows RT, HoloLens, Windows Phone, Surface Hub, device IoT Core,…) che non permettono la disattivazione del Secure Boot come accade invece su PC.
In tali situazioni, sarà possibile ad esempio installare un sistema operativo differente, sostituendo quello preinstallato. Basterà possedere i diritti di amministratore o comunque disporre dell’accesso fisico al dispositivo.
Tra luglio e agosto (con le patch MS16-094 e MS16-100), Microsoft è corsa ai ripari. Gli aggiornamenti, però, non risolverebbero il problema alla radice perché si limiterebbero a impedire l’accesso da parte di alcuni boot manager specifici.