Secure Boot em contagem decrescente: o prazo que não deves ignorar
Certificados base do arranque seguro em Windows e Linux começam a expirar a 24 de junho. Não atualizares pode abrir a porta a malware que vive abaixo do sistema operativo.
Certificados base do arranque seguro em Windows e Linux começam a expirar a 24 de junho. Não atualizares pode abrir a porta a malware que vive abaixo do sistema operativo.
A 24 de junho não é só mais uma segunda-feira de patches da Microsoft. É o dia em que três certificados que sustentam o Secure Boot começam a expirar. Esses certificados, assinados pela Microsoft, são a cola criptográfica que garante que o que arranca no teu PC, antes sequer do Windows ou do Linux acordarem, é legítimo. Se a cola falha, o que se segue pode ser bonito para quem faz malware, não para ti.
Secure Boot é a cadeia de confiança que vive no firmware UEFI e decide quem entra em campo no arranque. Cada pedaço de firmware e software que carrega é verificado com assinatura digital. Se algo não encaixa no que o fabricante definiu como “de confiança”, a máquina simplesmente recusa arrancar. Em teoria isto trava bootkits UEFI, aquela classe de malware particularmente desagradável que se instala abaixo do sistema operativo, sobrevive a formatações e reaparece mesmo depois de pensares que limpaste tudo.
Convém perceber porque é que isto importa agora. Os certificados têm prazo de validade. A expiração obriga a rodar chaves e atualizar a infraestrutura de confiança. Para o utilizador comum isto traduz-se em firmware de motherboard e atualizações de Windows e de distribuições Linux que precisam de chegar a tempo. Se o teu hardware ficar preso numa combinação de chaves antigas com políticas novas, podes ter desde avisos irritantes até um PC que não arranca com Secure Boot ligado. Pior: janelas de compatibilidade mal geridas são terreno fértil para exceções e atalhos que acabam a enfraquecer a segurança.
O drama aqui não é teórico. Bootkits existem desde os tempos do Apple II e das disquetes com jogos pirateados, mas a coisa ficou séria quando passaram a atacar UEFI. Em 2018 surgiu o LoJax, ligado a grupos russos de espionagem, a reprogramar firmware remotamente. Em 2020 apareceu o MosaicRegressor a reinstalar automaticamente malware no Windows sempre que o dispositivo ligava. Desde então surgiram nomes como ESpecter, FinSpy ou MoonBounce. São operações cirúrgicas, não “vírus de pen USB”, e é precisamente este nível de ameaça que o Secure Boot tenta bloquear.
Do lado Linux, há uma ironia: a mesma comunidade que com razão desconfia do controlo da Microsoft sobre a cadeia de arranque depende, na prática, desses certificados para que distribuições arranquem em portáteis modernos sem ginástica extra. Quem acompanha o desenvolvimento do kernel sabe que o esforço de endurecer a base do sistema, seja com novas linguagens como Rust ou com reforço da superfície de ataque UEFI, não serve de muito se a fundação criptográfica for negligenciada. Não é por acaso que já vimos distribuições a correr para publicar instruções específicas sobre este limite de tempo.
Para quem está em Portugal, o resumo é prosaico: se tens um PC relativamente recente com Secure Boot ativo, precisas das atualizações de firmware e de sistema agora, não “quando houver tempo”. Isso significa ir ao site da marca da motherboard ou do portátil, aplicar BIOS/UEFI recentes e garantir que Windows Update ou o gestor de pacotes da tua distro não estão em pausa eterna. Não seguir o calendário desta vez não é só ficar uns dias sem o último driver, é brincar com a zona cinzenta onde o malware gosta de viver, entre o botão de power e o logótipo do sistema operativo no ecrã.
Fonte: Wired
Comentários · 0