By: mk 
on 12 October 2021 - 16:33
Tags:
Topics:
จากประเด็นเรื่องสเปกขั้นต่ำของ Windows 11 ที่ต้องการชิป TPM 2.0 และซีพียูที่รองรับ Virtualization-Based Security (VBS) ทำให้เครื่องพีซีจำนวนมากไม่ผ่านเกณฑ์ และนำไปสู่คำถามว่าทำไมไมโครซอฟท์ถึงต้องกำหนดฟีเจอร์เหล่านี้ไว้ในสเปกขั้นต่ำ
ล่าสุดไมโครซอฟท์ออกมาอธิบายเรื่องนี้ผ่านคลิป โดย Dave Weston หัวหน้าทีมเจาะระบบของไมโครซอฟท์ ("hacker-in-chief") เป็นคนมาสาธิตการเจาะพีซี Windows 11 ที่ไม่เปิด TPM, Secure Boot และไม่มี VBS ให้ดูด้วยตัวเอง
เดโมของ Weston มีอยู่ 2 ตัวคือ
- เจาะเครื่องที่เปิด RDP จากระยะไกลด้วยวิธี brute force เดารหัสผ่าน เมื่อเข้ามาได้แล้วสามารถทำอะไรกับเครื่องก็ได้ เช่น การเขียน Master Boot Record (MBR) เพราะเครื่องไม่มี TPM/Secure Boot ป้องกันที่ระดับฮาร์ดแวร์
- เจาะเครื่องที่เข้าถึงได้ทางกายภาพ โดยสามารถปลอมข้อมูล biometric ลายนิ้วมือได้ (เขาใช้เยลลี่ Gummy Bear สแกนแทนนิ้วมือ) เพื่อล็อกอินไปควบคุมเครื่องได้ เพราะไม่ได้เปิด VBS
จากนั้น Weston ก็อธิบายว่าฟีเจอร์ความปลอดภัยทั้ง 3 ตัวคือ TPM, Secure Boot และ VBS ทำงานร่วมกันแล้วสามารถช่วยป้องกันการโจมตีลักษณะนี้ได้ จึงเป็นเหตุผลว่าทำไม Windows 11 ถึงกำหนดว่าต้องมีฟีเจอร์ทั้งสามอย่างนี้
ที่มา - NeoWin
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ก็ถ้าจะกำหนดสเปคขั้นต่ำแบบนี้ จนทำใหหลายๆ เครื่องบนโลก กลายเป็นขยะโลกเจริญรอยตามโทรศัพท์มือถือแบบนี้ ทำไมไม่ซัปพอร์ต Windows 10 ควบคู่กับไปกับ Windows 11 ซะเลยล่ะ? ..คือไม่ต้องกำหนดวันหมดอายุซัปพอร์ต ได้อัปเดตเรื่อยๆ ทั้งฟีเจอร์อัปเดตหรือซีเคียวอัปเดตควบคู่กันไปทั้ง 2 OS เลยนี่ล่ะ ..ตอนนี้ยิ่งแต่เจอปัญหาชิปขาดแคลน แร่ขาดแคลนกันอยู่ด้วย
..แล้วการสาธิตการแฮ็ก มันจะไม่เป็นการชี้โพรงให้กระรอกหรือ? โดยเฉพาะพวกแฮ็กเกอร์หน้าใหม่
เขาซัพพอร์ตขนานไปจนถึงปี 2025 นะครับ เครื่องที่ไม่ซัพพอร์ตนี่ก็กลุ่มที่ออกปี 2017-2018 แล้ว ใช้งานถึงตอนนั้นอายุใช้งานรวมก็ 7-8 ปีแล้ว ซึ่งเป็นเครื่องกลุ่มใหม่สุดที่หมดซัพพอร์ต เครื่องเก่ากว่านั้นอายุรวมคือจะมากกกว่านั้น
กระบวนการดูแลซอฟต์แวร์มันมีค่าใช้จ่าย และไม่มีใครซัพพอร์ตตลอดไปได้
lewcpe.com, @wasonliw
มันก็ซัพพอร์ทถึง 2025 แล้วนะครับ
เมื่อถึง 2025 เครื่องที่ไป Windows 11 ไม่ได้ ก็น่าจะมีอายุอย่างน้อย 8 ปีขึ้นไปแล้ว (ซึ่งก็เป็นอายุซัพพอร์ตก็พอๆกันกับ Mac นั่นแหละ)
ถ้ามันยังไม่พอ... ต้องกี่ปีถึงจะพอเหรอครับ? หรือต้องซัพพอร์ทตลอดกาลเลย?
Windows 10 ก็ยังใช้ได้อีกหลายปี เมื่อ Windows 10 หมดอายุ ก็ซื้อเครื่องใหม่ ส่วนเครื่องเก่าถ้ายังไม่พังก็อาจจะก็ลง Linux ได้ หรือขายให้คนอื่นไป ดีกว่าทิ้งลงถังขยะ
linux นี้ก็เก่งเรื่องเรื่อง Server ซะมากกว่าใช้งานทั่วไป
องค์กรที่ต้องการประหยัดค่าใช้จ่ายก็มักจะเลือกใช้ linux server
และก็เอา linux เก่งเรื่องของการพัฒนาต่อ ต่ออย่างเช่น android Google Chrome OS เหล่านั้นล้วนแม้แต่พื้นฐานของ liux ทั้งนั้น
คอมที่ลง android ก็มีนะครับ
ที่บอกว่า เครื่องที่ไม่รองรับ ต้อง 8 ปี up อันนี้ตลกหรือเปล่า CPU INTEL เจน 7 บางตัว แค่ 4-5 ปี ก็ไม่ได้ไปต่อแล้ว ไม่ต้องถึง 8 ปี UP หรอกนะ
8 ปี ณ ปี 2025 ที่ Windows 10 สิ้นอายุครับ
win 11 ไม่ได้ปล่อย ตอนปี 2025 ฉะนั้น จะเริ่มนับ HW จากปีนี้ ถึงปี 2025 ไม่ได้ เขาปล่อย ปี 2021 ต้องนับ HW ในช่วงเวลาก่อนหน้านี้
แล้ว windows 10 หยุด support แล้วเหรอครับ ความจำเป็นที่ต้องไป windows 11 คืออะไร?
ควรนับ HW ตอนที่ OS ออก ไม่ใช่ นับ HW ตอนที่ OS เก่าหมดอายุ
ส่วนไอ้เรื่อง win 10 ยังไม่หมดอายุ ทำไมต้องเปลี่ยน มันคือความต้องการ
จะมาบอกมันยังไม่หมดอายุ ไม่เห็นต้องเปลี่ยนก้ได้ งั้นไปออก win 11 หลังปี 2025 สิ ออกทำไมปีนี้
ถ้าคุณเปลี่ยนเพราะความต้องการไม่ใช่เพราะความจำเป็น ก็แปลว่าปัญหามันอยู่ที่ "ตัวคุณ" ไม่ได้อยู่ที่ไมโครซอฟท์ครับ
ถ้างั้นมันก็เป็นปัญหาของคุณ ไม่ใช่ปัญหาของ MS แล้วละครับ
คนด่า win 11 เยอะกว่าชมนะ นั่นบอกให้เห็นว่า ไอ้การที่มานับ CPU ใหม่ที่ไปต่อ มันไม่ใช่การตลาดที่คนชอบ
ผมว่ามันไม่ใช่การตลาดนะ มันเป็นเรื่องทางเทคนิคมากกว่า
ทุกคนมีสิทธิไม่ชอบไม่พอใจการตัดสินใจของ Microsoft ครับ แต่ก็ต้องอยู่บนพื้นฐานความเป็นจริงด้วย ไม่ใช่สักแต่ด่า Microsoft ด้วยข้อมูลที่ไม่ถูกต้องครับ
กรณีนี้ความเห็นแรกเขาไม่พอใจเรื่องขยะอิเล็กทรอนิค ซึ่งในความเป็นจริงแล้วมันไม่มีทางซัพพอร์ทตลอดไปได้ และการซัพพอร์ทของ Microsoft ก็ยังลากยาวไปอีก 4 ปีทำให้อุปกรณ์ที่จะกลายเป็นขยะอิเล็กทรอนิคจริงๆคืออุปกรณ์ที่อายุอย่างน้อยราวๆ 8 ปี ซึ่งก็ถือว่าเป็นระยะเวลาปกติเมื่อเทียบกับคู่แข่งอย่าง macOS
ถ้าคิดว่าการตัดสินใจของ Microsoft หรือ 8 ปีมันยังยาวไม่พอก็มาถกกันได้ครับ แต่จะเอาปัญหาของตัวเอง (เช่น ตัวเองอยากเปลี่ยนไปใช้ของใหม่เองทั้งที่ไม่จำเป็น ทำให้จาก 8 ปีกลายเป็นขยะกลายเป็น 4 ปีเป็นขยะเอง) มาโบ้ยให้เป็นความผิดของ Microsoft ผมว่ามันไม่ถูกต้องครับ
ความจำเป็นที่ทำให้ต้องเปลี่ยนของที่ใช้อยู่คืออะไรครับ? เมื่อของใหม่ออก? หรือเมื่อของเก่าใช้ไม่ได้?
ลองมองกลับกัน ถ้าเลื่อนวันปล่อย Windows 11 ไปเป็นปี 2025 แทน คิดว่ามันจะต่างตอนนี้ยังไงครับ?
ถ้าเป็น Server ผมอาจจะสนใจนะ
แต่ถ้าเป็นเครื่องคอมทั่วไป เล่นเน็ท ฟังเพลง ใช้งานขำๆ อยู่ในบ้าน อยู่ในวง Local Area Network
I don’t care
ดูแล้วแปลกๆ เดโมแรกก็ช่วยกันได้แค่การฝังมัลแวร์ข้ามบูต (แบบเดียวกับโทรศัพท์ ไม่บูตก็ยังมีมัลแวร์ต่อไป)
มันช่วยในบางกรณีที่ผู้ใช้โดนแฮกไปแล้ว ด้วยช่องทางเบื้องต้นอื่นๆ เท่านั้น
lewcpe.com, @wasonliw
ดูพรีเซนต์แล้วงงเช่นกัน
เคสแรกสรุป ก็คือ ป้องกันไม่ให้ไวรัสเขียนลง MRB ได้ แต่เทคนิคนี้มันนานมากแล้วน่ะ แปกติแอนตี้ไวรัสต่อให้กากแค่ไหนส่วนใหญ่ก็ป้องกันพวกนี้ได้และอีกอย่างโปรแกรมที่จะ Flash Bios
พวกนี้มันก็ต้องการสิทธิ์ Admin ขึ้น Consent ก่อนเสมอ หรือจะพยายามสื่อไปในแง่ที่ว่า ผู้ผลิตคอมป้องกันไม่ให้ BIOS โดนฝังโค้ดระหว่างทาง ก็ดูแล้วไม่น่าใช่ เพราะเห็นสื่อไปยังพวก Ransomware
เคสสองยิ่งไปกันใหญ่ พยายามจะบอกว่าปกติโปรเซสของ Biometric จะถูกแยกไปใน TPM จากเดิมที่อยู่ในแรมซึ่งพอเปิดใช้ DMA มันสามารถข้ามไปอ่านหรือแก้ไข Memory
ของโปรเซสอื่นๆ ได้ (อ่ะ จริงดิ ? ปกติมันหน้าที่พื้นฐานของ OS ไม่ใช่หรอในการป้องกันไม่ให้อ่านหรือแก้ไขเมโมรี่ข้ามโปรเซสได้)
จริงๆ ถ้าจะป้องกันก็ปิด DMA ซะ ซึ่งส่วนใหญ่มันก็ปิดเป็น Default อยู่แล้ว
นี่ยังไม่คิดกรณีที่เอาทุกอย่างไปรวมไว้ใน TPM ถ้าเกิด TPM Module มันเจ๊ง แล้วต้องทำไง แล้วปกติ TPM มันเป็นยังไงกันแน่ หรือ TPM = CPU + RAM ขนาดเล็ก ทำงานแค่ตอนเปิดเครื่อง
แต่เวลาปิดเครืองพวกคีย์ SSH, Biometric ก็ยังเก็บเป็นโลคอลไฟล์ไว้ใน NV memory พวก HDD เหมือนเดิม
ไม่ใช่หรอก นี่ไม่ใช่เป้าหมายหลักที่ไมโครซอฟต์ต้องการ ประเด็นหลักคือ ต้องการแก้ปัญหาเรื่องวินโดส์ละเมิดลิขสิทธิ์มากกว่า เพราะว่าพี่แกคงคิดจะย้ายโค้ดหรือพวกคีย์ไปเก็บไว้ใน TPM ด้วยอีกแน่นอน
เพราะก่อนหน้านี้ Lock HDD ก็แล้ว, Lock Bios ก็แล้ว ก็ยังบายพาสกันได้
แบบนี้แสดงว่า Windows 10 ที่ไม่เปิด 3 อย่างนี่ก็จะโดนเหมือนกัน
มีความสงสัยว่าที่กำหนดสเปก CPU เป็นรุ่นใหม่ขนาดนี้เป็นเพราะเหตุการณ์ Spectre/Meltdown หรือเปล่า?
I need healing.
คิดว่าเกี่ยวกับ Spectre/Meltdown ด้วย
ใช่ครับ คนอาจเข้าใจผิดว่า งั้น win10 จะปลอดภัยกว่า (โดยไม่ต้องการ 3 อย่างนี้)
ในขณะ Win11 ต้องทำ 3 อย่างนี้ ถ้าไม่ทำจะโดยแฮ็ก
ดังนั้นก็ใช้ Win10 ต่อไปปลอดภัยกว่า โดยไม่ enable TPM, bootsecure
จริงๆ การสาธิต มันก็ทำได้ง่ายและทำได้ยากนะครับ เช่น brute force password จะต้องใช้ Password Dict (ตามคลิปที่ใช้ Password.txt) ดังนั้น ถ้าไม่มีใน Dict มันก็ยากอยู่
ฟันธงว่า Windows 11 ไม่เกิด
ไปตัด TPM เป็น Windows 11SE มาก่อนเดี่ยวขายดี ยอดใช้พุ่งแน่
จะต่างกันขนาดนั้นเลยเหรอครับ คนวางแผนก็น่าจะประเมินคนไม่ยอมอัปเพราะอะไรพวกนั้นมาแล้ว?
คนที่มีปัญหาเรื่องอัพเดทไม่ได้ คือคนที่ใช้คอมเครื่องเดิมอย่างน้อย 8 ปี (จนถึงวันที่ Windows 10 ไม่ได้รับซัพพอร์ท) โดยไม่เปลี่ยน คนกลุ่มนี้มีจำนวนเยอะขนาดทำให้ยอดพุ่งอย่างชัดเจนเลยเหรอครับ?
เอาจริงไม่น่าตัดเพราะองค์กรอนาคต้องกำหนดเป็นพื้นฐานแน่นอน
บางคนเพิ่งได้ลองเล่น Windows 10 ไม่กี่ปีมานี้ จะอัพเป็น Windows 11 อีกแล้ว ตามไม่ทัน
Windows 10 initial release date July 29, 2015
ดูไป เกาหัวแกรกๆไป
ถ้าเกิดว่า bruteforce rdp ด้วยสิทธิ์ Administrator ได้มันก็เท่ากับยึดทั้งเครื่องได้(ตกกะปินิ?) แต่ความต่างคือด้วย Secure Boot+TPM 2.0 จะ exploit ได้ยากขึ้น แบบนี้เหรอ?
สงสัย windows 12 คงบังคับให้ทำ TrueCrypt แหงๆ
Windows จะใช้ TrueCrypt ทำไม เค้ามี BitLocker มาตั้งแต่ Windows Vista แล้ว
แล้วเอาจริงๆ ใน Windows รุ่นหน้าจะบังคับก็ไม่แปลกอยู่ดี
ไม่นับว่าเว็บไซต์ TrueCrypt ขึ้นเตือน "เลิกพัฒนาแล้ว ไม่ปลอดภัย"
อยากขายของซะมากกว่า ถ้าห่วงใยขนาดนี้นะ ก็ลดราคาขายลงมาเยอะๆ
เขาให้อัพเกรดจาก Windows 10 ฟรีนะ
อนาคตจะทำให้การลง Windows 11 คู่กับ Linux ลำบากขึ้นกว่าเดิมนะผมว่า
ปกติตอนนี้ก็ปิดโน่นปิดนี้เพื่อจะลง Linux ubuntu แล้วให้บูตเข้า Windows ได้
(อยากให้เหมือนสมัย XP ใช้บูตของ Windows บูตเข้า Linux ได้เลย)
Microsoft บอก เรามี Windows Subsystem for Linux มาให้แล้วนะ
MS ตั้งใจปิดตายทางลง Linux มานานช้านานแล้ว แต่เผอิญว่า Secure Boot มันเป็นผลพลอยได้เพราะต้นตำรับไม่ใช่ MS แต่เป็นเพราะว่าแต่ละ vendor ต่างก็ implement ตัว setup mode ไม่เหมือนกันเลยสักเจ้า user ธรรมดาไม่มีทางติดตั้ง Linux บนเครื่องคอมพิวเตอร์ที่ติด Secure Boot เองสำเร็จเป็นแน่แท้ ยิ่งกับตอนนี้ คอมพิวเตอร์ส่วนใหญ่ก็ลง Windows OEM กันหมด ผมเองก็กว่าจะติดตั้ง Linux แล้วถอนรากถอนโคน Windows Boot Manager ออกเองได้ยังใช้เวลาโข
ส่วนตัวผมเองก็เห็นด้วยกับ MS (แม้ว่าส่วนหนึ่งของชีวิตตัวเองจะเป็น Linux) เพราะฝั่ง Windows ภัยคุกคามมันเยอะกว่าด้วยธรรมชาติของความนิยมของ OS + social engineering ป้องกันไว้ตั้งแต่แรกก็ย่อมเหมาะสมสำหรับ user ทั่วไปมากกว่า สำหรับฝั่งของ Linux ถ้า social engineering เปิดสิทธิ์ root อาการหนักกว่า Windows เสียอีก
พวกโน๊ตบุ๊คที่มี Ubuntu certificate ลงแบบเปิด secure boot ได้อยู่นะครับ boot ด้วย UEFI ก็ยังได้
ผมเชื่อว่าต่อไปก็จะใช้ TPM ได้ด้วย
แต่ต้องเป็นเครื่องที่มี Ubuntu certificate เท่านั้นก่อน
ส่วนโน๊ตบุ๊คแบรนด์ไต้หวันนี่น่าจะฝันร้ายสำหรับชาวลีนุกซ์
คอมพิวเตอร์ทุกรุ่นที่สามารถเข้า EFI setup mode ได้ หลังจากติดตั้งเสร็จสิ้น สามารถเปิด secure boot กลับมาเหมือนเดิมได้
เขาก็ทำให้มันใช้ Linux บน Windows ได้แล้วครับ
https://mspoweruser.com/graphical-linux-apps-run-out-of-the-box-on-windows-11/
ประเด็นไม่ได้อยู่ตรงนี้ เขาหมายถึงการปิดกั้นการติดตั้ง Linux บนเครื่องตรง ๆ
ปกติเวลา MS ปล่อย Windows desktop version ใหม่ออกมา
ก็จะมีแต่คนออกมาบอกว่าไม่น่าใช้ ยังไม่อัพ รอไปก่อน หรือไม่ก็ยังใช้ Win7 อยู่
แต่ทำไมรอบนี้มีแต่คนบ่นว่า upgrade เป็น Win11 ไม่ได้ ยุ่งยาก ... ตั้งแต่ day1 เลยหว่า
เดาว่าโดนรัฐบาลสหรัฐกดดันมาครับ :)
เครื่องผมมี secure boot, TPM 2.0 แต่เป็น CPU Intel gen 6 ก็ไม่ผ่าน อันนี้คือเพราะไม่มี VBS นั่นรึเปล่า แถมมีข่าวทู้ก่อนหน้าว่าเปิดฟังค์ชันนี้เฟรมเรตเกมลดตั้ง 25%
CPU intel gen 6th ตัว Windows 11 ไม่สนับสนุนครับ
ps4 ก็ใช้ระบบคล้ายtpmหรือเปล่า มันปลอดภัยแฮคยากอยู่นะ
ใน PS4 ก็มีใช้ security chip เหมือนกัน
แบบนี้ หมายความว่า windows 10 ที่ไม่มีและไม่ได้เปิดทั้ง 3 อย่างนี้ ก็สามารถโดนแฮ็กได้ง่าย ๆ เลยใช่ไหมครับ