2015 年微軟發(fā)布 Windows 10 時(shí)�,微軟開(kāi)發(fā)人員 Jerry Nixon 曾稱(chēng) Windows 10 將會(huì)是 Windows 最后一個(gè)版本,未來(lái)微軟將只會(huì)在 Windows 10 平臺(tái)上新增功能和修補(bǔ)漏洞��。
在 Windows 10 之前�,Windows 的版本更新周期基本維持在 3-4 年左右���,像 Windows 10 這樣運(yùn)營(yíng) 6 年仍未迎來(lái)大更新的版本實(shí)屬少見(jiàn)�����。
就在大家都以為�����,微軟已為 Windows 畫(huà)上句號(hào)時(shí)����,微軟突然宣布了 Windows 11 的來(lái)臨。
無(wú)論微軟是不是在打自己過(guò)去的臉�����,Windows 11 還是給與 Windows 10 朝夕相處 6 年之久的老用戶(hù)們帶來(lái)很多新鮮感���,并且這次升級(jí)是免費(fèi)的�,很多用戶(hù)在正式版發(fā)布后便紛紛打算升級(jí)體驗(yàn)�。
然而,一些電腦硬件比較舊的用戶(hù)卻發(fā)現(xiàn)����,自己的電腦不滿(mǎn)足 Windows 11 的升級(jí)要求。
更奇葩的是���,這并不是因?yàn)槠潆娔X的 CPU 性能不足��,或者硬盤(pán)����、內(nèi)存的容量不夠,而是因?yàn)橐活w從來(lái)沒(méi)聽(tīng)過(guò)的芯片——TPM 2.0 安全芯片��。
「啥 TPM 芯片���,Intel 的還是 AMD 的�?」
由于 Windows 系統(tǒng)的安全性一直飽受詬病����,微軟在 2011 年聯(lián)合了多家 PC 廠(chǎng)商一起推廣 TPM 安全芯片,以提高 Windows 系統(tǒng)的防御力�,從此開(kāi)始基本上每臺(tái)電腦出廠(chǎng)時(shí)都會(huì)內(nèi)置 TPM 1.2 芯片。
簡(jiǎn)單來(lái)說(shuō)�����,TPM 芯片專(zhuān)門(mén)用于處理電腦的加密密鑰���,可以起到安全認(rèn)證、密鑰儲(chǔ)存等作用��,相比起軟件的安全防護(hù)����,TPM 提供的硬件級(jí)防護(hù)要封閉得多��,所以更不易遭到病毒等惡意軟件入侵和篡改��。
新的 CPU 已經(jīng)集成了 TPM 2.0 芯片
2016 年�,TPM 2.0 芯片開(kāi)始推廣����,不少?gòu)S商也跟上了更新的步伐,不過(guò)當(dāng)時(shí)的用戶(hù)們基本察覺(jué)不到這種「細(xì)枝末節(jié)」的升級(jí)����,直到 Windows 11 的推出。
一些還在使用 TPM 1.2 時(shí)代硬件的用戶(hù)指責(zé)微軟借 Windows 11 升級(jí)強(qiáng)推 TPM 2.0 芯片的目的�����,其實(shí)是為了刺激老用戶(hù)更換新的硬件��,加速硬件淘汰的速度�����。
因此他們研究出了很多能夠繞過(guò) TPM 芯片檢測(cè)的方法強(qiáng)行升級(jí) Windows 11�����,這些方法被形象地稱(chēng)之為「偷渡」。
微軟為此解釋稱(chēng)�����,推廣 TPM 2.0 芯片的目的����,其實(shí)是為了應(yīng)對(duì)越來(lái)越嚴(yán)峻的信息安全問(wèn)題。
微軟的安全研究人員發(fā)現(xiàn)�,利用硬件固件漏洞(CPU、內(nèi)存�����、硬盤(pán)等)攻擊系統(tǒng)的行為正在日益漸增����,并且這種惡意代碼很難被檢測(cè)或者清除,一旦感染�����,用戶(hù)只能重裝系統(tǒng)或者更換硬盤(pán)�。
這些漏洞不僅會(huì)威脅用戶(hù)的信息安全��,還會(huì)間接地對(duì)現(xiàn)實(shí)世界造成嚴(yán)重的影響,例如前些年讓全球陷入信息安全恐慌的勒索軟件一度讓醫(yī)院�����、加油站等重要機(jī)構(gòu)的電腦癱瘓��,造成了難以挽回的損失�����。
為了更直觀(guān)地解釋 TPM 2.0 芯片的重要性����,微軟決定親自化身「黑客」,演示 Windows 11 在遭到入侵時(shí)是如何抵御的�。
到底安不安全,入侵一下便知道
微軟首席「內(nèi)鬼」
微軟請(qǐng)出了微軟企業(yè)和操作系統(tǒng)的安全主管 David Weston 來(lái)演示這場(chǎng)入侵��。
David 在微軟建立了專(zhuān)業(yè)的黑客隊(duì)伍����,他的工作就是要比黑客更快一步找到威脅系統(tǒng)的安全問(wèn)題,因此在攻擊 Windows 這塊��,他可以說(shuō)是個(gè)專(zhuān)家�。
David 首先演示的是遠(yuǎn)程入侵一臺(tái)沒(méi)有開(kāi)啟 TPM 保護(hù)或安全啟動(dòng)的 Windows 10 電腦�����,然后在這臺(tái)傀儡機(jī)上安裝勒索軟件��,鎖定其硬盤(pán)����。
入侵的過(guò)程非常簡(jiǎn)單�����,David 找到了一個(gè)開(kāi)放的 RDP 端口����,在遠(yuǎn)程強(qiáng)制登陸了這臺(tái)電腦。
而攻破其系統(tǒng)密碼的過(guò)程也很粗暴����,就是檢索各種已泄露的密碼本來(lái)不斷嘗試解鎖,經(jīng)過(guò)幾分鐘或幾天的時(shí)間暴力破解就能攻破�。
一旦被黑客成功進(jìn)入系統(tǒng),那么傀儡機(jī)基本上就喪失了控制權(quán)���,黑客可以隨意植入勒索軟件等木馬��,更改系統(tǒng)的引導(dǎo)文件�����,這時(shí)即使用 WinPE 或 WinRE 修復(fù)硬盤(pán)��,也不能保證能夠完全恢復(fù)系統(tǒng)分區(qū)�。
想要解鎖重要的數(shù)據(jù)��,用戶(hù)就不得不用比特幣等加密貨幣向黑客支付高昂的贖金�。
Windows 11 能夠怎么保護(hù)這些重要文件免受「綁架」呢?David 稱(chēng)解決的辦法并不復(fù)雜�����,那就是使用自帶的「安全啟動(dòng)模式」�。
?
在 Windows 11 的安全模式下,系統(tǒng)在啟動(dòng)時(shí)會(huì)檢查啟動(dòng)程序的代碼與密鑰是否與 TPM 芯片的信息一致���,確認(rèn)其是否被修改���。
再根據(jù)運(yùn)行的健康引導(dǎo)日志,以正確的引導(dǎo)文件運(yùn)行,拒絕勒索軟件的修改�,使你可以正常登陸 Windows 備份文件,從而將勒索入侵的損失降到最低�。
演示完遠(yuǎn)程控制后,David 接著演示了另一種面對(duì)面的安全破解——用小熊軟糖破解指紋識(shí)別���。
由于偽造一個(gè)完全相同的指紋非常困難����,在大多數(shù)人固有印象里指紋識(shí)別非常安全�����。
想要強(qiáng)行破開(kāi)指紋識(shí)別這道安全大門(mén)確實(shí)是個(gè)難題�����,但繞開(kāi)它直接進(jìn)入系統(tǒng)卻是有可能的����。
David 準(zhǔn)備了一個(gè)名為 PCI leech 的設(shè)備,它能夠通過(guò)雷電接口直接訪(fǎng)問(wèn)電腦內(nèi)存的信息����,只要給電腦打上一個(gè)「任何信息都能解鎖」的補(bǔ)丁�����,那么就能成功繞開(kāi)指紋信息進(jìn)入電腦���。
這時(shí)候,用任何有導(dǎo)電性的物體(手指���、鼻子或者小熊軟糖等)都能解開(kāi)電腦,從而訪(fǎng)問(wèn)所有隱私內(nèi)容����。
這種針對(duì)內(nèi)存的攻擊并不罕見(jiàn),因?yàn)楹芏喑绦蛟谶\(yùn)行時(shí)數(shù)據(jù)都會(huì)儲(chǔ)存短暫地在內(nèi)存之中����,攻擊者就會(huì)利用這個(gè)契機(jī)乘機(jī)修改數(shù)據(jù)。
如果你的電腦落入了懂得相關(guān)技術(shù)的不法分子手里���,那么你收藏夾里的「機(jī)密文件」大概率是兇多吉少了����。
不過(guò)如果你恰好使用了 TPM 芯片防護(hù)入侵�����,那么一切都將另當(dāng)別論。
David 隨之在一臺(tái) Windows 11 系統(tǒng)電腦上做了相同的入侵演示���,結(jié)果發(fā)現(xiàn)指紋識(shí)別依然能正確工作��。
這是因?yàn)?,這時(shí)指紋識(shí)別的信息已經(jīng)不再是簡(jiǎn)單地儲(chǔ)存在內(nèi)存中�����,而是被隔離出來(lái)����,鎖定在一個(gè)獨(dú)立、安全的虛擬區(qū)域�����,每次讀取都需要密鑰的校驗(yàn)���。
而密鑰則儲(chǔ)存在與外界隔絕的 TPM 芯片之中��,安全性大大提高����。
David 稱(chēng)目前 Windows 11 中很多安全功能也能夠在 Windows 10 中使用,只是在上一個(gè)版本這些功能還只是可選功能�,而現(xiàn)在為了提高 Windows 11 的安全性能而默認(rèn)啟用。
因此��,無(wú)論你是否打算從 Windows 10 升級(jí)到 Windows 11���,微軟都建議你檢查自己的 TPM 版本�,并在 BIOS 將其啟用����。
是時(shí)候該重視安全芯片了
除了能進(jìn)行系統(tǒng)級(jí)安全防護(hù)以外�,TPM 2.0 芯片的保護(hù)措施還有很多,最為常見(jiàn)的應(yīng)該就是從 Windows Vista 時(shí)期加入的 Bitlocker�����。
對(duì)于企業(yè)級(jí)用戶(hù)而言����,Bitlocker 驅(qū)動(dòng)加密已經(jīng)變得不可或缺。Bitlocker 是一種全卷加密技術(shù)�����,簡(jiǎn)單來(lái)說(shuō)就是能給你的硬盤(pán)上一把鎖,即使硬盤(pán)被盜���,小偷也不能從中讀取信息�。
保護(hù)信息的關(guān)鍵�,就是 TPM 2.0 芯片。當(dāng)你為你的磁盤(pán)進(jìn)行加密時(shí)�����,加密的部分密鑰會(huì)儲(chǔ)存在主板的 TPM 芯片之中��。
這樣不僅能夠提供安全性更高的加密保護(hù)���,而且當(dāng)你的硬盤(pán)不幸落入他人之手����,也會(huì)因?yàn)槿鄙?TPM 芯片上的密鑰而無(wú)法使用����,提供了強(qiáng)有力的脫機(jī)保護(hù)。
在數(shù)字貨幣和虛擬資產(chǎn)流行的當(dāng)下�,很多「數(shù)字大亨」價(jià)值數(shù)十萬(wàn)美元的 NFT 資產(chǎn)��、數(shù)字錢(qián)包密鑰可能就保存在電腦硬盤(pán)之中�,一旦遺失后果不堪設(shè)想����。
因此對(duì)于個(gè)人用戶(hù)來(lái)說(shuō),利用類(lèi)似 Bitlocker 等硬件級(jí)加密技術(shù)保護(hù)自己的重要數(shù)據(jù)也很有必要���。
TPM 芯片除了可以數(shù)據(jù)安全���,還有一些你意想不到的用途,例如用于游戲防作弊���。
近年來(lái)我們見(jiàn)證了不少現(xiàn)象級(jí)游戲突然爆火,例如《絕地求生》《APEX》《糖豆人》等����,它們爆火的原因各不相同,但「涼掉」的理由大多一致——外掛太多了���。
游戲開(kāi)發(fā)者與作弊者的斗爭(zhēng)��,從游戲誕生的一日起便從未停止�,而現(xiàn)在,有些開(kāi)發(fā)者決定用更嚴(yán)苛的手段對(duì)付作弊者�,其中就包括了《英雄聯(lián)盟》的開(kāi)發(fā)商拳頭游戲。
拳頭游戲新作《無(wú)畏契約》的防作弊系統(tǒng) Vanguard 會(huì)檢測(cè) Windows 11 的玩家是否啟用 TPM 2.0����,如果未啟用將不能進(jìn)入游戲。
有安全專(zhuān)家分析��,拳頭游戲是打算通過(guò) TPM 2.0 芯片確認(rèn)作弊者的硬件信息���,并對(duì)設(shè)備進(jìn)行永久封禁�����。
《無(wú)畏契約》的措施是激進(jìn)且大膽的���,這可能會(huì)為其他網(wǎng)游公司帶來(lái)啟發(fā),用物理封禁拉高作弊者的成本��,但同時(shí)也有人這種更嚴(yán)格的監(jiān)管是對(duì)個(gè)人隱私的進(jìn)一步侵犯����。
不過(guò)在 Windows 11 的推動(dòng)下,類(lèi)似《無(wú)畏契約》這種需要調(diào)用 TPM 2.0 芯片的游戲或應(yīng)用也許會(huì)變得越來(lái)越多��。屆時(shí),更高標(biāo)準(zhǔn)的信息安全防護(hù)需求�����,可能會(huì)成為人們更換設(shè)備的新理由�����。
本文來(lái)自微信公眾號(hào)“愛(ài)范兒”(ID:ifanr)��,作者:黃智健���,36氪經(jīng)授權(quán)發(fā)布���。
