Driver Signature Requirements in Windows 11: een beveiligingsfunctie die de vrijheid van gebruikers beperkt en de gebruikerservaring schaadt

Techniek
By Merwan Redha

Het lijdt geen twijfel dat Windows 11, 's werelds meest gebruikte desktopbesturingssysteem, de nodige problemen kent. Ondanks deze problemen is het echter de meest verfijnde versie van het besturingssysteem van het bedrijf, ondanks de ongewenste toevoegingen die veel gebruikers ertoe hebben aangezet om ofwel Blijf zo lang mogelijk trouw aan Windows 10 of zelfs Ga in plaats daarvan naar LinuxEr is echter één aspect van Windows dat mij altijd heeft gestoord, en dat is het beleid dat Microsoft al lange tijd voert om te eisen dat drivers digitaal worden ondertekend voordat het besturingssysteem ze laadt.

Windows 11 Herstelomgeving

Simpel gezegd is een driver een low-level code (die vaak in de kernel van het besturingssysteem draait) die hardware of software in staat stelt te communiceren met Windows. Een ondertekende driver bevat een cryptografische handtekening van een vertrouwde instantie (zoals het eigen certificaat van Microsoft of, in het verleden, een door Microsoft goedgekeurde certificeringsinstantie), die Windows verifieert op authenticiteit en integriteit voordat deze wordt uitgevoerd. Deze implementatie van driverondertekening is in de loop der decennia geëvolueerd en is een verplichte poortwachter geworden, en heeft een dubbel karakter.

Enerzijds verbetert het onmiskenbaar de beveiliging door te voorkomen dat malware op zo'n diep niveau actief wordt (in ieder geval zonder een geldig certificaat, dat gestolen kan worden), maar anderzijds beperkt het de controle van de gebruiker en vereist het naleving van de regels van Microsoft. Het staat haaks op de vrijheid van de gebruiker, maar heeft ook duidelijke voordelen. Het is een van de beste beveiligingsfuncties in Windows, maar het bestaan ​​ervan is inherent anti-consument.

Wat zijn driverhandtekeningen?

Stuurprogrammahandtekeningen zijn digitale certificaten die door Microsoft of een andere vertrouwde instantie aan apparaatstuurprogramma's worden verleend. Deze handtekeningen laten Windows weten dat het stuurprogramma authentiek is en dat er niet mee is geknoeid of dat het is gewijzigd nadat het door de fabrikant is gepubliceerd. Zie het als een digitaal keurmerk dat de integriteit en betrouwbaarheid van het stuurprogramma garandeert.

Met andere woorden, het is een manier om de identiteit van de uitgever van de driver te verifiëren en ervoor te zorgen dat er niet met de software is geknoeid. Dit is uiterst belangrijk, omdat drivers diep in het besturingssysteem actief zijn en een kwaadaardige of onstabiele driver ernstige problemen kan veroorzaken, zoals systeemcrashes of zelfs beveiligingslekken.

Wanneer u een ondertekende driver installeert, controleert Windows de handtekening voordat de driver kan worden geïnstalleerd. Als de handtekening geldig is, betekent dit dat de driver is getest en gecertificeerd door Microsoft of een andere vertrouwde partij en veilig kan worden geïnstalleerd. Als de handtekening ongeldig is of ontbreekt, waarschuwt Windows u dat de driver mogelijk onveilig of niet compatibel is met uw systeem.

Waarom zijn bestuurdershandtekeningen belangrijk?

  1. Veiligheid: Voorkomt de installatie van schadelijke of gewijzigde drivers die een risico voor uw systeem kunnen vormen.
  2. stabiliteit: Zorgt ervoor dat de drivers compatibel zijn met Windows en geen systeemproblemen veroorzaken.
  3. Betrouwbaarheid: Geeft aan dat de driver is getest en gecertificeerd door Microsoft of een andere vertrouwde partij.

Driverhandtekeningen vormen over het algemeen een belangrijk beveiligingsmechanisme dat uw systeem beschermt tegen malware en de stabiliteit en betrouwbaarheid ervan waarborgt. Het is daarom altijd het beste om alleen ondertekende drivers te installeren.

Een lange geschiedenis van bescherming

Controleer driverresultaten in LatencyMon

Driver-ondertekening is een belangrijk onderdeel van de Code Integrity Security-functie van Microsoft, die voor het eerst werd geïntroduceerd in het tijdperk van Windows Vista Het werd verplicht met Windows 10, versie 1607. Het concept is eenvoudig en duidelijk: elke code die in de kernel draait, moet Windows (ook wel "Ring 0" genoemd) Een geldige digitale handtekening van een vertrouwde autoriteit. Volgens de documentatie Microsoft Officieel verbetert code-integriteit ‘de beveiliging van een besturingssysteem door de integriteit van een driver of systeembestand te verifiëren telkens wanneer deze in het geheugen wordt geladen’, en in versies Windows 64-bits, “kernel-mode drivers moeten digitaal ondertekend zijn.” In de praktijk betekent dit dat Windows Elke chauffeur die niet over een erkend certificaat beschikt, wordt de toegang tot de vrachtwagen geweigerd.

Net als in andere besturingssystemen is de kernel (ntoskernel.exe, of kern Windows NT) is de kern van het besturingssysteem met de hoogste privileges, dus het voorkomen dat ongeautoriseerde code in dit gebied wordt uitgevoerd, is cruciaal. Digitale handtekeningen garanderen dat een driver door een specifieke ontwikkelaar is gepubliceerd en dat er sindsdien niet mee is geknoeid. Simpel gezegd: niet-ondertekende of kwaadwillig gewijzigde drivers worden niet geïnstalleerd onder het standaardbeleid, en vanuit beveiligingsperspectief is dit een goede zaak die zowel consumenten als bedrijven beschermt.

In de praktijk betekent dit dat legitieme hardwareleveranciers en ontwikkelaars een proces doorlopen om hun driver te ondertekenen, en in Windows Tegenwoordig houdt dit vaak in dat er een uitgebreid verificatiecertificaat wordt verkregen en de chauffeur naar de Microsoft Om het goed te keuren. Als code zonder deze goedkeuring in de kernel wordt uitgevoerd, ziet u een foutmelding die lijkt op 'Kan niet Windows Controleer de digitale handtekening van de drivers die voor dit apparaat vereist zijn." Hiermee wordt een hele klasse aanvallen voorkomen waarbij malware een rootkit of schadelijke driver kan installeren om volledige controle over het systeem te krijgen. Windows In 64-bit is het laden van een apparaatstuurprogramma in principe de enige ondersteunde manier om willekeurige code in de kernel uit te voeren. Bij niet-ondertekende uitvoerbare bestanden werkt dit helemaal niet.

Hoe zit het met de beheerder? Nou, zelfs accounts met dit niveau van privileges zijn niet vrijgesteld. Ongeacht uw identiteit kunt u geen ongetekende driver laden op Windows 64-bits. De enige manier om dit uit te schakelen is door de opstartoptie "Driver signature enforcement uitschakelen" te gebruiken, die bij de volgende keer opstarten wordt gereset, of door bcdedit Om verificatie volledig uit te schakelen. Het is een vangnet dat ik heb opgezet. Microsoft Zelfs de computerbezitter mag dit niet omzeilen.

Microsoft heeft de eisen in de loop der jaren aangescherpt.

In de loop der jaren heeft Microsoft de vereisten voor zijn Windows-besturingssysteem geleidelijk aangescherpt, met als doel een soepelere en veiligere gebruikerservaring te garanderen. Deze wijzigingen in de vereisten weerspiegelen voortdurende technologische ontwikkelingen, de noodzaak om de prestaties te verbeteren en de bescherming tegen toenemende beveiligingsrisico's te verbeteren. Met elke nieuwe versie van Windows verhoogt Microsoft de minimale specificaties die nodig zijn om het systeem efficiënt te laten werken, met bijzondere aandacht voor de processor, het RAM-geheugen (Random Access Memory) en de opslagruimte, evenals ondersteuning voor de nieuwste technologieën zoals de Trusted Platform Module (TPM).

Deze strengere eisen hebben directe gevolgen voor gebruikers, aangezien sommige gebruikers merken dat hun oudere apparaten de nieuwste versies van Windows niet aankunnen. Deze stap stelt Microsoft echter in staat om nieuwe en verbeterde functies te introduceren, de algehele systeemprestaties te verbeteren en een hoger beveiligingsniveau te bieden. Sommige geavanceerde functies in Windows 11 vereisen bijvoorbeeld moderne processors die bepaalde instructies ondersteunen, evenals de aanwezigheid van een TPM 2.0-module voor verbeterde beveiliging en gegevensbescherming.

Bovendien stelt de strengere eisen Microsoft in staat zich te richten op de ondersteuning van moderne apparaten en het verbeteren van de compatibiliteit met de nieuwste technologieën, wat resulteert in een algehele betere gebruikerservaring. Hoewel dit mogelijk wat ongemak oplevert voor gebruikers van oudere apparaten, zorgt het ervoor dat gebruikers die hun apparaten upgraden of nieuwe kopen, de best mogelijke prestaties en beveiliging van het Windows-besturingssysteem ontvangen.

Het begon met een eenvoudige tool om apparaatstuurprogramma's te controleren.

Grafische gebruikersinterface voor Driver Verifier in Windows 2000

Microsoft begon halverwege de jaren 2000 met het verplicht stellen van digitale handtekeningen voor apparaatstuurprogramma's, te midden van groeiende zorgen over spyware, rootkits en de stabiliteit van het besturingssysteem. Vanaf Windows XNUMX was Driver Verifier een opdrachtregelprogramma dat kon worden gebruikt om apparaatstuurprogramma's te testen op illegale functies en fouten op te sporen, voordat het werd bijgewerkt met een grafische gebruikersinterface die samenviel met de lancering van Windows XP. Destijds bestond driverondertekening wel, maar was niet strikt vereist. Er kon echter een groepsbeleidoptie worden ingesteld om de installatie volledig te voorkomen, de gebruiker te waarschuwen maar de installatie toe te staan, of de installatie gewoon stil te laten verlopen.

Dit veranderde met x64-versies van Windows. Beginnend met Windows Vista (en tot Windows XP x64 Edition in beperkte vorm), Hoewel u een certificaat zelf kunt ondertekenen,), 64-bits Windows-systemen vereisten dat definities in de kernelmodus werden ondertekend, als onderdeel van een breder beveiligingsinitiatief dat ook Kernel Patch Protection omvatte, informeel PatchGuard genoemd. De introductie van verplichte ondertekening in Vista x64 was destijds controversieel, maar Microsofts verklaarde doel was om Hele klassen malware en volgens sommige rapporten destijds ook DRM-beveiliging (Digital Rights Management).

Het is geen geheim dat de vereiste dat apparaatstuurprogramma's ondertekend moeten zijn, in lijn is met de belangen van veel bedrijven. Dit betekende ook dat Microsoft bedrijven destijds in feite kon dwingen te betalen voor een licentie om zijn stuurprogramma's te distribueren. Anders zouden deze stuurprogramma's simpelweg niet op de meeste apparaten worden geïnstalleerd. Sindsdien zijn de eisen strenger geworden en, zoals we al zeiden, legde Windows 10 versie 1607 de eis op dat stuurprogramma's ondertekend moesten zijn. alle De definities zijn ondertekend met een Microsoft-certificaat.

Windows 11, waarvoor nodig is UEFI Secure Boot De TPM, standaard op nieuwe systemen, verdubbelt de garantie op betrouwbare boot- en driverauthenticatie. Met andere woorden: modern Windows heeft een centrale autoriteit (Microsoft) die bepaalt welke low-level code mag worden uitgevoerd. Het resultaat is een veel moeilijker doelwit voor aanvallers om binnen te dringen, waarbij Microsoft (en een paar certificaatleveranciers) handig gepositioneerd zijn als de poortwachters van het Windows-platform.

Microsoft probeert de kernel koste wat kost te beschermen.

Microsoft streeft er voortdurend naar de beveiliging van het Windows-besturingssysteem te verbeteren, en de bescherming van de kernel heeft daarbij de hoogste prioriteit. De kernel vormt het hart van het besturingssysteem en elke inbreuk hierop betekent volledige controle over het apparaat. Daarom investeert Microsoft fors in technologieën en software die ongeautoriseerde toegang tot de kernel voorkomen via meerdere beveiligingslagen.

Deze inspanningen omvatten het gebruik van technologieën zoals Kernel Patch Protection, dat ongeautoriseerde wijzigingen in de kernel voorkomt, en Virtualization-Based Security, dat gevoelige processen isoleert in een beveiligde virtuele omgeving. Microsoft ontwikkelt ook geavanceerde analysetools om pogingen om de kernel te compromitteren in realtime te detecteren.

Kernelbeveiliging is een voortdurende uitdaging, vooral omdat cyberaanvalsmethoden zich ontwikkelen. Daarom streeft Microsoft ernaar zijn beveiligingsmechanismen continu te updaten en te ontwikkelen om ervoor te zorgen dat Windows veilig en betrouwbaar blijft. Deze toezegging weerspiegelt de erkenning door Microsoft van het belang van de kernel voor het handhaven van de integriteit van gebruikersgegevens en apparaten.

Ook al betekent dit dat reguliere ontwikkelaars het niet kunnen gebruiken.

Geeft Windows-gebruikersmap weer op Windows 11

Voor de duidelijkheid: er zijn sterke argumenten dat het afdwingen van driver-ondertekening de beveiliging van het Windows-besturingssysteem aanzienlijk heeft verbeterd. Door niet-ondertekende drivers te blokkeren, worden alle soorten digitale aanvallen, zoals rootkits en malware op kernelniveau, die zich anders voor antivirussoftware zouden kunnen verbergen, tegengegaan. In het verleden probeerden veel van de meest geavanceerde malware zich te vermommen als driver om toegang te krijgen tot het geheugen of het systeem diepgaand te wijzigen. Tegenwoordig kan malware, tenzij er een gestolen of gelekt digitaal certificaat is, simpelweg geen driver laden op een volledig gepatcht 64-bits Windows-systeem – een veel hogere drempel dan in de tijd van Windows XP. Als er bij het opstarten een niet-ondertekende driver wordt gevonden, start het systeem simpelweg niet op.

Moderne anti-cheatsystemen voor online games profiteren ook enorm van de vereisten voor driver signatures van Windows. In veel competitieve games proberen de meest geavanceerde cheatontwikkelaars hun cheats in de kernelmodus uit te voeren om detectie door anti-cheattools in de gebruikersmodus te voorkomen. Daarom zijn Easy-AntiCheat, Faceit en Oproer Voorhoede Veel andere anti-cheatoplossingen installeren allemaal hun eigen kerneldrivers als onderdeel van hun anti-cheatsuite. Deze anti-cheatprogramma's draaien op een nog hoger privilegeniveau dan dat van de beheerder (weet je nog dat zelfs een beheerder geen niet-ondertekende driver kan installeren?) om het systeem te controleren op valsspelen, toegang tot het gamegeheugen te blokkeren en ervoor te zorgen dat er niet met de gamecode is geknoeid. Driverondertekening is een cruciaal onderdeel van deze beschermende greppel die ontwikkelaars rond hun games bouwen. Omdat Windows elke driver die niet correct is ondertekend, afwijst, kunnen cheatontwikkelaars niet zomaar een aangepaste kerneldriver maken en deze willekeurig laden om de anti-cheat te omzeilen, omdat het besturingssysteem dit niet toestaat.

AI-classificatie van modellen op het scherm in Valorant

Als reactie hierop hebben cheatproviders en malwareontwikkelaars gezocht naar kwetsbaarheden die de effectiviteit van brute force-aanvallen op drivers aantonen. Een veelgebruikte techniek staat bekend als BYOVD, oftewel Bring Your Own Vulnerable Driver. Hierbij vinden aanvallers een ondertekende driver met bekende kwetsbaarheden. De legitieme driver wordt geladen, geaccepteerd door Windows, en vervolgens worden de kwetsbaarheden misbruikt om code in de kernel uit te voeren. Een voorbeeld hiervan is Misbruik van Lenovo Mapper-stuurprogramma, implementeert een niet-ondertekende cheat driver en schakelt Riot's Vanguard TPM-controle uit.

Dit heeft ook betrekking op DMA-aanvallen (Direct Memory Access) en vals spelen. DMA stelt hardwareapparaten in staat om rechtstreeks toegang te krijgen tot het systeemgeheugen, waarbij de CPU wordt omzeild en een secundaire computer mogelijk kan lezen van of schrijven naar het gamegeheugen. Windows heeft echter Kernel DMA-beveiliging die de IOMMU gebruikt om te voorkomen dat ongeautoriseerde PCIe-apparaten toegang krijgen tot het geheugen. Alleen apparaten met DMA-hertoewijzingscompatibele drivers Het is hiertoe in staat, en wederom is deze driverfunctie beschermd als onderdeel van Microsofts handtekening. Combineer dit met Secure Boot, dat voorkomt dat malware of cheatloaders zichzelf tijdens het opstarten injecteren voordat Windows start, en TPM-gebaseerde opstartverificatie, en je hebt een zeer veilige omgeving, aangezien het een door de gebruiker bestuurde pc is.

Deze techniek is ook niet uniek voor gamecheating. Er zijn talloze voorbeelden van ransomware die drivers misbruikt om systeembeveiligingsfuncties uit te schakelen en schadelijke code in de kernel te laden, waardoor het aanvalsoppervlak in feite wordt verplaatst van het besturingssysteem naar low-level code die door Microsoft is gecontroleerd en ondertekend. Malwareontwikkelaars moeten gebruikmaken van een bestaande driver die al op het apparaat van de gebruiker is geïnstalleerd. Dit betekent dat ze ofwel een kwetsbaarheid in een zeer populaire driver moeten vinden, ofwel de gebruiker moeten misleiden om software met de kwetsbaarheid te installeren.

Het afdwingen van driverhandtekeningen is slechts één onderdeel van een uitgebreide beveiligingsarchitectuur en is op zichzelf niet voldoende om alles te stoppen. In combinatie met de andere technieken die Microsoft ook gebruikt, legt het de lat echter aanzienlijk hoger. Een gestolen certificaat zal op geleende tijd werken voordat het wordt gedetecteerd en ingetrokken, en hardwarematige oplossingen zijn vaak ook van korte duur.

Waarom wordt het ondertekenen van bestuurdersverklaringen als anti-consumentenbeleid beschouwd?

Driver Signature Enforcement is een beveiligingsmaatregel die besturingssystemen zoals Windows gebruiken om ervoor te zorgen dat de op het systeem geïnstalleerde drivers betrouwbaar zijn en niet zijn gemanipuleerd.

Maar waarom zien sommigen deze stap als ‘anti-consument’?

Het antwoord ligt in verschillende punten:

  • Beperking van de keuzevrijheid: Handtekeningafdwinging kan voorkomen dat gebruikers bepaalde drivers installeren, zelfs als ze deze vertrouwen, omdat ze niet digitaal zijn ondertekend door Microsoft of een andere erkende partij. Dit beperkt de vrijheid van de gebruiker om de hardware en software te kiezen die hij of zij wil gebruiken.
  • Problemen met de ondersteuning van oudere apparaten: Fabrikanten stoppen vaak met het updaten van drivers voor oudere apparaten. Als een driver voor een ouder apparaat niet is ondertekend, kunnen gebruikers deze mogelijk niet gebruiken op nieuwere besturingssystemen die driverondertekening afdwingen. Dit dwingt gebruikers om nieuwe hardware aan te schaffen, zelfs als hun oudere apparaten nog goed werken.
  • Kosten voor het verkrijgen van een handtekening: Het verkrijgen van een digitale handtekening kan duur zijn, vooral voor onafhankelijke ontwikkelaars of kleine bedrijven. Dit kan innovatie ontmoedigen en de ontwikkeling van nieuwe drivers voor gespecialiseerde of zeldzame apparaten belemmeren.
  • Compatibiliteitsproblemen: Soms kunnen ondertekende drivers compatibiliteitsproblemen met andere hardware of software veroorzaken. Het kan lastig zijn voor gebruikers om deze problemen te identificeren en op te lossen, vooral als ze geen IT-experts zijn.
  • Monopolie van grote bedrijven: Men is van mening dat het verplicht stellen van handtekeningen van stuurprogramma's grote bedrijven een oneerlijk voordeel geeft ten opzichte van kleine bedrijven en onafhankelijke ontwikkelaars. Grote bedrijven hebben de middelen om eenvoudig digitale handtekeningen te verkrijgen, terwijl onafhankelijke ontwikkelaars dit lastig kunnen vinden.

Kortom, hoewel het verplicht stellen van driver signing bedoeld is om de veiligheid te verbeteren, kan het negatieve effecten hebben op consumenten doordat het de keuzevrijheid beperkt, het lastig maakt om oudere apparaten te ondersteunen, de kosten verhoogt, compatibiliteitsproblemen veroorzaakt en het monopolie van grote bedrijven versterkt.

Daarom moeten de veiligheidsvoordelen van het verplicht stellen van bestuurdershandtekeningen worden afgewogen tegen de negatieve gevolgen voor consumenten en innovatie.

Het gaat erom wat u wel en niet op uw specifieke apparaat kunt uitvoeren.

tafel-met-veel-pc-en-elektronische-componenten

Als driver signing zo voordelig is voor de beveiliging, wat maakt het dan zo anti-consument? De kritiek komt voort uit het feit dat dit beveiligingsmechanisme de vrijheid en controle van gebruikers over hun eigen systeem ernstig beperkt. Er is een impliciete afweging tussen beveiliging en openheid, en Microsoft vertrouwt sterk op het eerste in plaats van het tweede. Het bedrijf heeft gekozen voor een model waarbij het besturingssysteem alleen low-level code vertrouwt die door Microsoft is gecontroleerd, wat in feite de macht centraliseert op een manier die ook aansluit bij de belangen van de industrie en inkomsten genereert uit certificeringen.

Terugkeren naar het uitschakelen van de verificatie van stuurprogrammahandtekeningen en het ontwikkelen van uw eigen aangepaste stuurprogramma voor persoonlijk gebruik, of het nu voor uw eigen hardware is of een apparaat dat u bezit, is een gedoe. U moet ofwel opstarten met de opstartoptie "Driver Signature Enforcement uitschakelen", waarbij u de integriteitscontroles volledig uitschakelt, of de Windows-modus voor handtekeningverificatie inschakelt, wat beide niet erg handig is. U hoeft niet eigen Uw computer, op dezelfde manier als ‘eigendom’ meestal betekent: op kernelniveau behoudt Microsoft de controle.

Bovendien kunnen alleen grote bedrijven of ontwikkelaars met voldoende middelen gemakkelijk voldoen aan de eisen voor driverondertekening. Om een ​​correct ondertekende driver voor een recente Windows-release te verkrijgen, moet een ontwikkelaar een EV-codeondertekeningscertificaat aanschaffen. Dit vereist strenge identiteits- en hardwarecodeverificatie en kost bovendien honderden dollars per jaar. Notepad++ is een populair voorbeeld. Dit betreft de kwestie van codeondertekening, waarbij software op gebruikersniveau wordt getroffen door de weigering om een ​​jaarlijkse vergoeding aan Microsoft te betalen voor certificering. Hetzelfde concept geldt ook voor drivers.

Schermafbeelding van de opstartinstellingen met verschillende opties om te wijzigen hoe Windows wordt geladen

Deze vereiste kan echter ook voorkomen dat gewone consumenten oudere apparaten gebruiken die nog nooit een ondertekende driverupdate hebben ontvangen. Stel dat u een oud pc-apparaat hebt dat u wilt aansluiten op een Windows 11-pc; als de driver uit het Windows XP-tijdperk komt en nog nooit een digitale handtekening heeft gehad, wordt deze direct geblokkeerd. U kunt de handtekeningshandhaving uitschakelen (met alle problemen van dien) of het apparaat laten staan. Hoewel u de driver vroeger kon aanpassen, zijn doe-het-zelfoplossingen tegenwoordig vrijwel onbekend vanwege de kosten en complexiteit die ermee gepaard gaan.

Sterker nog, zelfs wanneer communityleden het heft in eigen handen nemen, kan het snel averechts werken. Er zijn twee bekende drivers die ontwikkelaars kunnen gebruiken om systeemventilatoren in hun eigen applicaties te regelen: InpOut32 en WinRing0. De eerste botst met Riot's Vanguard, dus velen hebben gekozen voor de laatste, die de ruggengraat vormt van tools zoals Fan Control. Dit werd echter pas in 2020 ontdekt. WinRing0 had een groot beveiligingslek. Een paar jaar later werd het gemeld en geblokkeerd door Windows Defender, waardoor applicaties die ervan afhankelijk waren, buitenspel werden gezet.

Dit probleem wordt verergerd door de kosten die gepaard gaan met het ontwikkelen en onderhouden van een geldige driver die door Microsoft wordt geaccepteerd. Hier is een fragment uit een artikel in The Verge Wat het probleem illustreert:

Timothy Sun, oprichter van SignalRGB, legt uit dat de beveiligingsrisico's complexer zijn. "Omdat WinRing0 systeembreed wordt geïnstalleerd, realiseerden we ons dat we afhankelijk waren van de eerste versie die op het systeem van een gebruiker werd geïnstalleerd. Dit maakte het extreem moeilijk om te verifiëren of andere applicaties potentieel kwetsbare versies hadden geïnstalleerd, waardoor onze gebruikers ondanks onze inspanningen risico liepen", zegt hij.
Daarom investeerde zijn bedrijf in een eigen RGB-interface en stapte uiteindelijk in 0 over van WinRing2023 ten gunste van een eigen SMBus-driver. Maar de ontwikkelaars met wie ik sprak, waaronder Sun, zijn het erover eens dat dit een dure aangelegenheid is.
"Ik zal er geen doekjes om winden: het ontwikkelingsproces was moeilijk en vereiste aanzienlijke technische middelen", zegt Sun. "Kleine open-sourceprojecten hebben niet de financiële draagkracht om deze weg te bewandelen, noch de gespecialiseerde expertise in het ontwikkelen van de Microsoft-kernel om dit te doen", zegt Adam Honsey van OpenRGB.

De ontwikkelaar van WingRing0, OpenLibSys, lijkt momenteel inactief te zijn en het is onwaarschijnlijk dat dezelfde driver, indien bijgewerkt, door Microsoft zou worden goedgekeurd voor ondertekening onder de strengere richtlijnen van het bedrijf. Microsoft wist ook hoeveel applicaties ervan afhankelijk waren (Razer Synapse, SteelSeries Engine en vele anderen gebruikten het ook), waardoor het nog een paar jaar mee kon voordat het in 2025 werd stopgezet.

Hoe zit het met Linux?

Hoewel Linux niet zo populair is als Windows en macOS, blijft het een krachtige en betrouwbare keuze, vooral voor ontwikkelaars en IT-professionals. Linux is zeer flexibel en aanpasbaar, waardoor het ideaal is voor gebruikers die volledige controle over hun besturingssysteem willen. Bovendien wordt Linux beschouwd als een veilig en stabiel besturingssysteem, dat vaak minder vatbaar is voor malware en virussen dan andere besturingssystemen.

Als je overweegt Linux te gebruiken, is het belangrijk om te beseffen dat er veel verschillende distributies beschikbaar zijn, zoals Ubuntu, Fedora en Debian. Elke distributie heeft zijn eigen unieke set functies en tools, dus het is belangrijk om de distributie te kiezen die het beste bij je behoeften en wensen past. Ubuntu is bijvoorbeeld een populaire keuze voor beginners vanwege het gebruiksgemak en de brede beschikbaarheid, terwijl Fedora een goede keuze is voor gebruikers die de nieuwste technologieën willen ervaren.

Over het algemeen is Linux een uitstekend besturingssysteem dat veel voordelen biedt ten opzichte van andere besturingssystemen. Het kan echter in het begin een uitdaging zijn om ermee te leren werken, vooral als je gewend bent aan Windows of macOS. Als je bereid bent om er wat moeite in te steken, zul je merken dat Linux een krachtig en betrouwbaar besturingssysteem is dat aan je behoeften voldoet.

Een totaal andere geest

Linux kernel-update

In tegenstelling tot Windows is Linux een open-source besturingssysteem: er is geen centrale autoriteit die bepaalt wat er in de kernel mag worden uitgevoerd. Linux-distributies kunnen moduleondertekening afdwingen (vooral als Secure Boot is ingeschakeld; sommige distributies vereisen dat kernelmodules met een sleutel worden ondertekend), maar uiteindelijk kan de gebruiker de kernel opnieuw compileren of deze controles uitschakelen. Dit is een van de vele redenen waarom anti-cheat software niet op dezelfde manier op Linux kan worden geïmplementeerd als op Windows.

Op Linux wordt een cheater met root-toegang als almachtig beschouwd. Ze kunnen de kernel opnieuw compileren om anti-cheat hooks te verwijderen, of hun eigen kernelmodule laden zonder centrale ondertekeningsautoriteit om ze te stoppen. Aangezien veel cheaters hun cheats simpelweg als root in de /root-directory uitvoeren om detectie te voorkomen, begrijp je waarom gameontwikkelaars niet zo happig zijn om hun anti-cheat software naar Linux te porteren. Zelfs als een game root-toegang vereist (wat erger zou zijn dan een anti-cheat equivalent op Windows), kun je de game in een "fakeroot"-omgeving draaien, zodat de game denkt root-toegang te hebben, terwijl dat niet zo is.

Dit alles betekent dat de open aard van Linux betekent dat elke verdedigingsmaatregel kan worden tegengegaan door een even bevoorrechte aanval, en deze realiteit wordt weerspiegeld in de huidige stand van zaken in Linux-gaming. Hoewel veel populaire games speelbaar zijn op Linux (vaak zelfs beter dan op Windows), weigeren veel competitieve games daardoor helemaal op Linux te draaien. Dezezelfde concepten gelden ook voor malware, hoewel het landschap op Linux wat betreft malware aanzienlijk verschilt.

Valorant "Cheater gedetecteerd, wedstrijd beëindigd"-scherm

De handhaving van driver signing door Microsoft is aantrekkelijk voor bedrijven. Door de kernel te vergrendelen, biedt Windows een niveau van beveiliging en controle (voor anti-cheat, anti-malware en meer) dat simpelweg niet mogelijk zou zijn op een meer open systeem zonder deze beperkingen. Voor veel gamers en bedrijven is deze afweging vaak de moeite waard, zelfs als het een deel van de gebruikers frustreert. Linux-gebruikers genieten van ongeëvenaarde controle, maar juist deze vrijheid betekent dat elk anti-cheatmechanisme aan de clientzijde meestal nutteloos is. Om de beveiligingsvoordelen te benutten die Windows op dit gebied geniet op een Linux-machine, zouden dezelfde beperkingen opnieuw moeten worden gecreëerd die ervoor zorgden dat je Windows in eerste instantie wilde verlaten.

De vraag waarom Linux-gebruikers veilig blijven, ondanks het ontbreken van een centrale certificeringsinstantie, is te beantwoorden aan talloze redenen. Linux' geavanceerde systeem voor gebruikersrechten, een open-sourcecommunity die snel beveiligingslekken dicht wanneer deze zich voordoen (zelfs wanneer grote exploits, zoals xz-utils, uitlekken), het lage marktaandeel, waardoor het een minder aantrekkelijk doelwit is, en softwarepakketten die grotendeels via gecontroleerde repositories worden geïnstalleerd, maken het minder aantrekkelijk dan een Windows-gebruiker als doelwit.

Vrijheid en veiligheid: een vergelijking die altijd moeilijk te bereiken is

De vraag rijst vaak: is er een evenwicht te vinden tussen vrijheid en veiligheid? Het antwoord is niet eenvoudig. De realiteit dwingt ons te erkennen dat het bereiken van maximale vrijheid soms botst met het garanderen van maximale veiligheid, en vice versa.

Het concept vrijheid omvat vele aspecten, waaronder vrijheid van meningsuiting, bewegingsvrijheid en vrijheid van geloof. Deze vrijheden kunnen echter, indien ongecontroleerd, door individuen of groepen worden misbruikt om de veiligheid en stabiliteit van de samenleving te bedreigen. Zo kan vrijheid van meningsuiting, hoewel een fundamenteel recht, worden omgevormd tot een middel om haat en geweld te verspreiden, of om desinformatie te verspreiden die het vertrouwen in instellingen ondermijnt.

Aan de andere kant kunnen verhoogde veiligheidsmaatregelen, zoals uitgebreide surveillance, beperkingen op de bewegingsvrijheid van individuen en beperkingen op de toegang tot informatie, de persoonlijke vrijheden ondermijnen en de fundamenten van een democratische samenleving ondermijnen. Een te grote nadruk op veiligheid kan een omgeving van angst en zelfcensuur creëren, waarin individuen terughoudend zijn om hun mening te uiten of hun rechten uit te oefenen uit angst voor vervolging.

Hoe kunnen we dus de optimale balans vinden tussen vrijheid en veiligheid? De oplossing ligt in het vaststellen van duidelijke controles en normen die de reikwijdte van vrijheden definiëren en ervoor zorgen dat deze niet worden misbruikt om de veiligheid te bedreigen. Deze controles moeten in verhouding staan ​​tot de omvang van de dreiging en periodiek worden geëvalueerd om te garanderen dat ze niet verder gaan dan nodig is.

Bovendien moeten er transparantie en verantwoordingsplicht zijn bij de implementatie van veiligheidsmaatregelen. Individuen moeten zich bewust zijn van hun rechten en het recht hebben om maatregelen aan te vechten die naar hun mening hun vrijheden schenden. Er moeten ook onafhankelijke toezichtsmechanismen zijn om te voorkomen dat macht wordt misbruikt in naam van veiligheid.

Kortom, de relatie tussen vrijheid en veiligheid is complex en dynamisch. Geen van beide kan volledig ten koste gaan van de ander. Het bereiken van een evenwicht tussen beide vereist voortdurende dialoog en maatschappelijke consensus over de waarden en principes die ons leiden. We moeten altijd onthouden dat vrijheid en veiligheid geen tegenstrijdige doelen zijn, maar essentiële componenten van een welvarende en stabiele samenleving.

De fundamentele verschillen tussen Linux en Windows

Twee Windows 11-laptops, waarvan één een lijst met geëxporteerde apps in Kladblok toont en de andere Winget gebruikt om deze apps te importeren

Het lijdt geen twijfel dat het Driver Signature-beleid van Microsoft uiterst effectief is vanuit beveiligingsoogpunt. Door te eisen dat alle kerneldrivers ondertekend en geverifieerd worden, heeft Microsoft een van de meest robuuste consumentenbesturingssystemen gebouwd tegen low-level malware en malafide tools. Als platform heeft Windows de unieke mogelijkheid om een ​​betrouwbaar besturingssysteem te bieden waarop gebruikers en programma's kunnen vertrouwen. Daarom is het een van de beste beveiligingsfuncties, omdat het werkt. heel goed Het maakte een enorm verschil in de bescherming van de systemen.

Deze beveiliging brengt echter wel kosten met zich mee voor consumenten. Het ontneemt de centrale overheid de controle, en het onvermogen om volledige controle te hebben over wat je besturingssysteem doet, is onaantrekkelijk voor velen die waarde hechten aan open computing. In zekere zin behandelt Windows 11 de gebruiker als een niet-vertrouwde entiteit als het gaat om kernelcode, ervan uitgaande dat iedereen (inclusief jijzelf) iets kwaadaardigs kan doen als er geen controle op wordt uitgeoefend.

Vanuit beveiligingsperspectief is deze specifieke functie een uitstekend voorbeeld van risicobeperking. Het blokkeert een van de gevaarlijkste aanvalsroutes aanzienlijk, maar vanuit het perspectief van consumentenrechten lijkt het misschien alsof we simpelweg... Wij huren klussen in waarbij we onze eigen apparatuur gebruiken.Omdat we onderworpen zijn aan wat Microsoft wel en niet toestaat. Wat als dit concept zou worden uitgebreid met het 'beschermen' van het besturingssysteem? Wat als debloating tools en programma's wijzigingen zouden aanbrengen die Microsoft niet zou goedkeuren, omdat ze het systeem veranderen?

Voor de gemiddelde gebruiker is het afdwingen van driver signatures een grote stap. Daar bestaat geen twijfel over. Het is echter niet goed voor open-sourceontwikkelaars om van het platform te worden uitgesloten vanwege de kosten die gepaard gaan met het ontwikkelen van hun eigen software en het delen ervan met anderen, en het is niet prettig om het gevoel te hebben dat ik er geen eigenaar van ben. echt waar Mijn apparaten, zolang Windows het voornaamste middel is waarmee ik ermee communiceer.

Merwan Redha 2632 berichten 0 reacties
Andere klanten bestelden ook: Meer van auteur

Reacties zijn gesloten.