LINUX

Secure Boot: uma semana para não ficares com o PC a morrer na praia

Três certificados centrais do Secure Boot expiram já a 24 de junho. Se não atualizares Windows ou Linux a tempo, arriscas arranques falhados e mais janelas para malware de firmware.

Secure Boot: uma semana para não ficares com o PC a morrer na praia

Dia 24 de junho três certificados assinados pela Microsoft, que seguram a corrente de confiança do Secure Boot, expiram.
O Secure Boot foi criado como resposta direta à evolução dos bootkits UEFI, aquele tipo de malware teimoso que se instala antes do sistema operativo e dos antivírus. Em vez de confiar cegamente em qualquer firmware que arranque o teu PC, o Secure Boot verifica assinaturas digitais: só carrega o que estiver assinado e confiado pelo fabricante da motherboard ou pelo próprio Microsoft. Isto é o que impede que um bootkit altere a Unified Extensible Firmware Interface e injete código malicioso em cada arranque, mesmo depois de formatares o disco ou reinstalares o Windows.

O problema é que as chaves também envelhecem. As três que expiram agora foram, durante anos, o “passe” que dizia ao firmware que um determinado módulo era legítimo. Quando um certificado destes morre, tudo o que depender exclusivamente dele pode deixar de ser aceite no processo de arranque. Na prática, isto pode ir de “não se passa nada porque já tens updates recentes” até “a máquina recusa-se a arrancar este SO porque a assinatura já não é considerada válida”.

Para quem está em Windows, a história resume-se a manter o sistema devidamente atualizado. A Microsoft anda há meses a distribuir patches que introduzem novas chaves e ajustam a política de Secure Boot. Se andas a adiar reinícios ou tens a máquina presa a uma versão antiga sem suporte, estás a brincar com o fogo. No lado Linux, a situação é mais fragmentada: distribuições recentes já empurraram atualizações de shim e bootloaders assinados com material novo, mas quem usa distros antigas, kernels customizados ou arranques multi-boot arrisca-se a descobrir tarde de mais que a combinação exata de firmware, GRUB e kernel deixou de ser considerada “de confiança”.

Para complicar, o contexto de ameaça não é teórico. Desde o LoJax em 2018, passando por casos como MosaicRegressor, ESpecter, FinSpy e MoonBounce, já vimos UEFI bootkits a operar no mundo real, muitas vezes atribuídos a grupos avançados de espionagem. Estes ataques sobrevivem a formatações, vivem em memória flash da motherboard e conseguem reinstalar malware no sistema operativo a cada reboot. É precisamente este tipo de cenário que o Secure Boot tenta mitigar. Quando as chaves expiram, qualquer falha em acompanhar o novo modelo abre brechas inesperadas ou quebra arranques que antes eram triviais.

Se usas Linux como sistema principal, vale a pena confirmar se a tua distribuição ainda recebe atualizações regulares. Quem anda em versões recentes de kernels, como as que chegaram com melhorias de NTFS em lançamentos tipo o Linux 7.1, está em muito melhor posição do que quem nunca mais tocou na partição desde 2020. E se geres um parque de PCs em contexto empresarial, este é daqueles prazos em que convém ter inventário de firmwares, versões de SO e políticas de Secure Boot na mão, em vez de esperar que a primeira segunda-feira pós-24 de junho se transforme numa fila de máquinas que já não arrancam.

O resumo é pouco glamoroso, mas importante: instala as atualizações de firmware e sistema operativo agora, verifica a configuração de Secure Boot na BIOS/UEFI e não assumas que “se arrancou ontem, arranca amanhã”. O relógio está a contar e os certificados não esperam por ti.

Fonte: Ars Technica

Comentários · 0