“Much ado about nothing”
“Muito barulho por nada”, em tradução literal, é o significado do tema do editorial desta edição, que também é título da comédia do Bardo de Avon, William Shakespeare (1564–1616). A mesma expressão poderia ser usada para descrever a nova celeuma criada em torno de um recurso que considero muito bem-vindo a qualquer sistema que tem a pretensão de manter um nível mínimo de segurança, e ao qual a Microsoft recentemente declarou suportar oficialmente a partir da próxima versão do Windows®.
Resumo da ópera: os PCs e notebooks passariam a poder bloquear a inicialização do Linux ou de qualquer outro sistema operacional, caso o Windows 8 estivesse instalado nesse hardware anteriormente. O responsável pelo bloqueio seria o recurso Secure Boot do firmware UEFI (Unified Extensible Firmware Interface), doravante disponível por padrão em todos os computadores de arquitetura Intel. Assim, de acordo com a versão 2.3.1 da especificação UEFI, publicada em 06 de abril deste ano, caso o recurso Secure Boot esteja ativado, o firmware UEFI permitirá apenas a inicialização de sistemas operacionais que disponham de uma assinatura digital válida, seja ela proveniente do fabricante da placa-mãe ou do firmware UEFI, e que ficaria armazenada em um banco de dados especial.
Que ninguém se engane: a ideia é boa para todo mundo, pois aumenta o nível de segurança dos sistemas e torna mais difícil contornar os mecanismos de proteção de qualquer sistema operacional. Mesmo que esses mecanismos estejam configurados do modo mais seguro possível, se um vírus infectar o setor de boot e carregar um aplicativo malicioso na memória, poderá tranquilamente desativar qualquer configuração de segurança implementada. Caso o computador só inicie gerenciadores de inicialização, sistemas operacionais ou hypervisors de fontes confiáveis, não é mais possível manipular esses sistemas e contornar suas configurações de segurança.
Para iniciar o Linux em uma máquina equipada com esse tipo de mecanismo de segurança, tanto o gerenciador de boot quanto o kernel precisariam ser assinados com uma chave privada, e a chave pública deveria estar disponível no banco de dados do fabricante da placa-mãe, em um esquema mais ou menos semelhante ao que ocorre hoje com os navegadores de Internet. Esses fabricantes provavelmente não terão nenhum problema em armazenar as chaves públicas de sistemas Linux
comerciais, como os da Red Hat, Oracle, SUSE ou Canonical. Para projetos comunitários, tais como Debian, Fedora etc, é improvável que os fabricantes de hardware disponibilizem as chaves públicas dessas distribuições. Para esses casos, entretanto, a especificação publicada pela UEFI prevê a solicitação de senha no item 5 do seu parágrafo 27.7.3.3 caso o firmware se depare com um sistema não assinado. Com isso, evita-se que um agressor manipule ocultamente o processo de boot, sem que seja necessário desativar totalmente o recurso Secure Boot. Desse modo, todos os sistemas operacionais modernos – e não apenas o Windows 8 – adentrariam o Nirvana do nível de segurança adequado à era da computação em nuvem.
Demorou! Não se incomode com o ruído de fundo... ■
AUTOR: Rafael Peregrino da Silva
Diretor de Redação da Revista Linux Magazine
Editorial da Revista Linux Magazine, página 04
Edição: #84
Novembro de 2011