Requisiti per la firma del driver in Windows 11: una funzionalità di sicurezza che limita la libertà dell'utente e ne compromette l'esperienza

Tecnica
By Merwan Redha

Non c'è dubbio che Windows 11, il sistema operativo desktop più utilizzato al mondo, abbia la sua parte di problemi. Tuttavia, nonostante questi problemi, è la versione più raffinata del sistema operativo dell'azienda, nonostante le aggiunte indesiderate che hanno spinto molti utenti a... Impegnati con Windows 10 il più a lungo possibile o anche Passa invece a LinuxTuttavia, c'è un aspetto particolare di Windows che mi ha sempre dato fastidio: la politica consolidata di Microsoft di richiedere che i driver siano firmati digitalmente prima che il sistema operativo li carichi.

Ambiente di ripristino di Windows 11

In parole povere, un driver è un codice di basso livello (spesso eseguito nel kernel del sistema operativo) che consente all'hardware o al software di interagire con Windows. Un driver firmato include una firma crittografica proveniente da un'autorità attendibile (come il certificato Microsoft o, in passato, un'autorità di certificazione approvata da Microsoft), la cui autenticità e integrità Windows verifica prima di consentirne l'esecuzione. Questa implementazione della firma del driver si è evoluta nel corso dei decenni, diventando un elemento di controllo obbligatorio nel processo, e ha una duplice natura.

Da un lato, migliora innegabilmente la sicurezza impedendo al malware di operare a un livello così profondo (in ogni caso, senza un certificato appropriato, che può essere rubato), ma dall'altro limita il controllo dell'utente e impone il rispetto delle regole Microsoft. È ostile alla libertà dell'utente, ma presenta anche chiari vantaggi. È una delle migliori funzionalità di sicurezza di Windows, ma la sua stessa esistenza è intrinsecamente anti-consumatore.

Cosa sono le firme dei driver?

Le firme dei driver sono certificati digitali concessi da Microsoft o da un'altra autorità attendibile ai driver dei dispositivi. Queste firme indicano a Windows che il driver è autentico e non è stato manomesso o modificato dopo la pubblicazione da parte del produttore del dispositivo. Consideratele come un sigillo di approvazione digitale che garantisce l'integrità e l'affidabilità del driver.

In altre parole, è un modo per verificare l'identità dell'autore del driver e garantire che il software non sia stato manomesso. Questo è estremamente importante perché i driver operano in profondità all'interno del sistema operativo e, se un driver è dannoso o instabile, può causare gravi problemi come crash di sistema o persino vulnerabilità di sicurezza.

Quando si installa un driver firmato, Windows verifica la firma prima di consentirne l'installazione. Se la firma è valida, significa che il driver è stato testato e certificato da Microsoft o da un'altra società attendibile ed è sicuro da installare. Se la firma non è valida o mancante, Windows avviserà che il driver potrebbe non essere sicuro o compatibile con il sistema.

Perché le firme dei conducenti sono importanti?

  1. Sicurezza: Impedisce l'installazione di driver dannosi o modificati che potrebbero mettere a rischio il sistema.
  2. stabilità: Garantisce che i driver siano compatibili con Windows e non causino problemi al sistema.
  3. Affidabilità: Indica che il driver è stato testato e certificato da Microsoft o da un'altra parte attendibile.

In generale, le firme dei driver rappresentano un importante meccanismo di sicurezza che aiuta a proteggere il sistema dai malware e ne garantisce stabilità e affidabilità. Pertanto, è sempre meglio installare solo driver firmati.

Una lunga storia di protezione

Controlla i risultati del driver in LatencyMon

La firma del driver è una parte fondamentale della funzionalità di sicurezza dell'integrità del codice di Microsoft, che è stato introdotto per la prima volta nell'era di Windows Vista Divenne obbligatorio con Windows 10, versione 1607. Il concetto è semplice e diretto: qualsiasi codice che viene eseguito nel kernel deve portare Windows (noto come "Ring 0") Una firma digitale valida da un'autorità attendibile. Secondo la documentazione Microsoft Ufficialmente, l'integrità del codice "migliora la sicurezza di un sistema operativo verificando l'integrità di un driver o di un file di sistema ogni volta che viene caricato in memoria", e nelle versioni Windows I driver in modalità kernel a 64 bit devono essere firmati digitalmente. In pratica, ciò significa che Windows A qualsiasi autista sprovvisto di certificato riconosciuto verrà rifiutato il carico.

Come in altri sistemi operativi, il kernel (ntoskernel.exe, o nucleo Windows NT) è il cuore del sistema operativo con i privilegi più elevati, quindi impedire l'esecuzione di codice non autorizzato in quest'area è fondamentale. Le firme digitali garantiscono che un driver sia stato pubblicato da uno sviluppatore specifico e non sia stato manomesso da allora. In parole povere, i driver non firmati o modificati in modo dannoso non verranno installati in base alla policy predefinita e, dal punto di vista della sicurezza, questo è un vantaggio che protegge sia i consumatori che le aziende.

In pratica, ciò significa che i fornitori e gli sviluppatori di hardware legittimi passano attraverso un processo di firma del loro driver e, in Windows Moderno, questo spesso comporta l'ottenimento di un certificato di verifica esteso e l'invio del conducente a Microsoft Per approvarlo. Se il codice tenta di essere eseguito nel kernel senza questa approvazione, verrà visualizzato un errore simile a "Impossibile Windows Verifica la firma digitale dei driver richiesti per questo dispositivo." Ciò impedisce un'intera categoria di attacchi in cui il malware potrebbe installare un rootkit o un driver dannoso per assumere il controllo completo del sistema. Windows Nei sistemi a 64 bit, caricare un driver di dispositivo è essenzialmente l'unico modo supportato per eseguire codice arbitrario nel kernel, e questo non è possibile per gli eseguibili non firmati.

E l'amministratore? Beh, anche gli account con questo livello di privilegi non sono esenti. Indipendentemente dalla tua identità, non puoi caricare un driver non firmato su Windows 64 bit. L'unico modo per disabilitarlo è utilizzare l'opzione di avvio "Disabilita l'applicazione della firma del driver", che verrà reimpostata al successivo avvio, oppure utilizzare bcdedit Per disattivare completamente la verifica. È una rete di sicurezza che ho messo in atto. Microsoft Nemmeno il proprietario del computer dovrebbe ignorarlo.

Nel corso degli anni Microsoft ha inasprito i requisiti.

Nel corso degli anni, Microsoft ha gradualmente inasprito i requisiti del sistema operativo Windows, con l'obiettivo di garantire un'esperienza utente più fluida e sicura. Queste modifiche ai requisiti riflettono i continui progressi tecnologici, la necessità di migliorare le prestazioni e di potenziare la protezione contro le crescenti minacce alla sicurezza. Con ogni nuova versione di Windows, Microsoft aumenta i requisiti minimi richiesti per un funzionamento efficiente del sistema, con particolare attenzione al processore, alla memoria ad accesso casuale (RAM) e allo spazio di archiviazione, nonché al supporto per le tecnologie più recenti come il Trusted Platform Module (TPM).

Questo inasprimento dei requisiti ha implicazioni dirette per gli utenti, poiché alcuni potrebbero scoprire che i loro dispositivi più vecchi non sono in grado di eseguire le ultime versioni di Windows. Tuttavia, questa mossa consente a Microsoft di introdurre funzionalità nuove e migliorate, migliorare le prestazioni generali del sistema e fornire un livello di sicurezza più elevato. Ad esempio, alcune funzionalità avanzate di Windows 11 richiedono processori moderni che supportino determinate istruzioni, nonché la presenza di un modulo TPM 2.0 per una maggiore sicurezza e protezione dei dati.

Inoltre, i requisiti più stringenti consentono a Microsoft di concentrarsi sul supporto dei dispositivi moderni e sul miglioramento della compatibilità con le tecnologie più recenti, con conseguente miglioramento complessivo dell'esperienza utente. Sebbene ciò possa causare qualche disagio agli utenti con dispositivi più datati, garantisce che gli utenti che aggiornano i propri dispositivi o ne acquistano di nuovi possano usufruire delle migliori prestazioni e sicurezza possibili dal sistema operativo Windows.

Tutto è iniziato con un semplice strumento per controllare i driver dei dispositivi.

Interfaccia utente grafica per Driver Verifier in Windows 2000

Il percorso di Microsoft verso l'obbligo di firma digitale per i driver di dispositivo è iniziato a metà degli anni 2000, in un contesto di crescenti preoccupazioni relative a spyware, rootkit e stabilità del sistema operativo. A partire da Windows XNUMX, Driver Verifier era un programma da riga di comando che poteva essere utilizzato per testare i driver di dispositivo alla ricerca di funzioni illegali e rilevare errori, prima di essere aggiornato con un'interfaccia utente grafica in concomitanza con il lancio di Windows XP. A quel tempo, la firma dei driver esisteva ma non era strettamente necessaria, sebbene fosse possibile impostare un'opzione di Criteri di gruppo per impedire completamente l'installazione, avvisare l'utente ma consentire l'installazione o semplicemente eseguire l'installazione in modalità invisibile all'utente.

La situazione è cambiata con le versioni x64 di Windows. A partire da Windows Vista (e fino a Windows XP x64 Edition in versione limitata), Sebbene sia possibile autofirmare un certificato,), i sistemi Windows a 64 bit richiedevano che le definizioni in modalità kernel fossero firmate, come parte di un'iniziativa di sicurezza più ampia che includeva anche Kernel Patch Protection, informalmente noto come PatchGuard. L'introduzione della firma obbligatoria in Vista x64 fu controversa all'epoca, ma l'obiettivo dichiarato di Microsoft era quello di eliminarla. Intere classi di malware e, secondo alcuni rapporti dell'epoca, la protezione della gestione dei diritti digitali (DRM).

Non è un segreto che richiedere la firma dei driver di dispositivo sia in linea con gli interessi di molti settori. Ciò significava anche che, all'epoca, Microsoft poteva essenzialmente obbligare le aziende a pagare una licenza per distribuire i propri driver. Altrimenti, questi driver semplicemente non sarebbero stati installati sulla maggior parte dei dispositivi. Da allora, i requisiti sono diventati più rigorosi e, come accennato, Windows 10 versione 1607 ha imposto l'obbligo per i driver di essere جميع Le definizioni sono firmate con un certificato Microsoft.

Windows 11, che richiede UEFI Secure Boot Il TPM, di default sui nuovi sistemi, raddoppia la garanzia di un avvio affidabile e di un'autenticazione affidabile dei driver. In altre parole, i sistemi Windows moderni dispongono di un'autorità centrale (Microsoft) che determina quale codice di basso livello può essere eseguito. Il risultato è un bersaglio molto più difficile da penetrare per gli aggressori, con Microsoft (e alcuni fornitori di certificati) opportunamente posizionati come guardiani della piattaforma Windows.

Microsoft cerca di proteggere il kernel a tutti i costi.

Microsoft si impegna costantemente per migliorare la sicurezza del sistema operativo Windows e la protezione del kernel è una priorità assoluta. Il kernel è il cuore del sistema operativo e qualsiasi violazione implica il controllo completo del dispositivo. Per questo motivo, Microsoft investe molto in tecnologie e software volti a prevenire l'accesso non autorizzato al kernel attraverso molteplici livelli di protezione.

Questi sforzi includono l'uso di tecnologie come Kernel Patch Protection, che impedisce modifiche non autorizzate al kernel, e Virtualization-Based Security, che isola i processi sensibili in un ambiente virtuale sicuro. Microsoft sta inoltre sviluppando strumenti di analisi avanzati per rilevare in tempo reale qualsiasi tentativo di compromissione del kernel.

La sicurezza del kernel è una sfida continua, soprattutto con l'evoluzione dei metodi di attacco informatico. Pertanto, Microsoft si impegna ad aggiornare e sviluppare costantemente i propri meccanismi di sicurezza per garantire che Windows rimanga sicuro e affidabile. Questo impegno riflette il riconoscimento da parte di Microsoft dell'importanza del kernel nel mantenimento dell'integrità dei dati e dei dispositivi degli utenti.

Anche se ciò significa che nemmeno gli sviluppatori tradizionali possono utilizzarlo.

Mostra la cartella utente di Windows su Windows 11

Per essere chiari, c'è una forte argomentazione secondo cui l'applicazione della firma dei driver ha migliorato significativamente la sicurezza del sistema operativo Windows. Bloccando i driver non firmati, vengono sventati tutti i tipi di attacchi digitali, come rootkit e malware a livello kernel, che altrimenti potrebbero nascondersi ai software antivirus. In passato, molti dei malware più avanzati tentavano di camuffarsi da driver per accedere alla memoria o alterare il sistema a un livello profondo. Oggi, a meno che un malware non abbia un certificato digitale rubato o trapelato, non può semplicemente caricare un driver su un sistema Windows a 64 bit completamente patchato: una barriera molto più alta rispetto ai tempi di Windows XP. Se all'avvio viene trovato un driver non firmato, il sistema semplicemente non si avvia.

Anche i moderni sistemi anti-cheat per i giochi online hanno tratto grandi benefici dai requisiti di firma dei driver di Windows. In molti titoli competitivi, molti degli sviluppatori di cheat più avanzati tentano di eseguire i propri cheat in modalità kernel per evitare il rilevamento da parte degli strumenti anti-cheat in modalità utente. Per questo motivo, Easy-AntiCheat, Faceit e Avanguardia antisommossa Molte altre soluzioni anti-cheat installano i propri driver kernel come parte della suite anti-cheat. Questi programmi anti-cheat funzionano con un livello di privilegio persino superiore a quello dell'utente amministratore (ricordate che nemmeno un amministratore può installare un driver non firmato?) per monitorare il sistema alla ricerca di cheat, bloccare l'accesso alla memoria di gioco e garantire che il codice di gioco non sia stato manomesso. La firma dei driver è una parte cruciale di questa trincea protettiva che gli sviluppatori costruiscono attorno ai loro giochi. Poiché Windows rifiuterà qualsiasi driver non firmato correttamente, gli sviluppatori di cheat non possono semplicemente creare un driver kernel personalizzato e caricarlo casualmente per aggirare l'anti-cheat, poiché il sistema operativo non lo consente.

Classificazione AI dei modelli sullo schermo in Valorant

In risposta, i provider di cheat e gli sviluppatori di malware hanno cercato vulnerabilità che dimostrassero l'efficacia degli attacchi brute force sui driver. Una tecnica comune è nota come BYOVD, ovvero Bring Your Own Vulnerable Driver, in cui gli aggressori trovano un driver firmato con vulnerabilità note. Il driver legittimo viene caricato, accettato da Windows e quindi le vulnerabilità vengono sfruttate per eseguire codice nel kernel. Un esempio di questo tipo è: Uso improprio del driver Lenovo Mapper, distribuisce un driver cheat non firmato e disabilita il controllo Vanguard TPM di Riot.

Ciò riguarda anche gli attacchi DMA (Direct Memory Access) e gli imbrogli. Il DMA consente ai dispositivi hardware di accedere direttamente alla memoria di sistema, bypassando la CPU e potenzialmente consentendo a un computer secondario di leggere o scrivere nella memoria di gioco. Tuttavia, Windows dispone di una protezione Kernel DMA che utilizza l'IOMMU per impedire ai dispositivi PCIe non autorizzati di accedere alla memoria. Solo i dispositivi con Driver compatibili con DMA Remapping È in grado di farlo e, ancora una volta, questa funzionalità del driver è protetta come parte dell'applicazione delle firme Microsoft. Combinando questo con Secure Boot, che impedisce a malware o cheat loader di iniettarsi prima dell'avvio di Windows, e con la verifica di avvio basata su TPM, si ottiene un ambiente altamente sicuro, considerando che si tratta di un PC controllato dall'utente.

Questa tecnica non è esclusiva dei cheat nei videogiochi. Esistono numerosi esempi di ransomware che hanno utilizzato in modo improprio i driver per disabilitare le funzionalità di sicurezza del sistema e caricare codice dannoso nel kernel, spostando di fatto la superficie di attacco dal sistema operativo al codice di basso livello che Microsoft ha verificato e firmato. Gli sviluppatori di malware devono sfruttare un driver già installato sul dispositivo dell'utente, il che significa trovare una vulnerabilità in un driver molto diffuso o indurre l'utente a installare un software con la vulnerabilità.

L'applicazione della firma del driver è solo un tassello di un'architettura di sicurezza completa e, da sola, non è sufficiente a bloccare tutto. Tuttavia, in combinazione con queste altre tecniche, utilizzate anche da Microsoft, alza innegabilmente l'asticella. Un certificato rubato funzionerà con un certo ritardo prima di essere rilevato e revocato, e anche le soluzioni hardware alternative sono spesso effimere.

Perché la firma del conducente è considerata un atto anti-consumatore?

Driver Signature Enforcement è una misura di sicurezza adottata dai sistemi operativi come Windows per garantire che i driver installati sul sistema siano affidabili e non siano stati manomessi.

Ma perché alcuni considerano questa mossa come “anti-consumatore”?

La risposta sta in diversi punti:

  • Limitare la libertà di scelta: L'imposizione della firma potrebbe impedire agli utenti di installare determinati driver, anche se considerati attendibili, perché non sono stati firmati digitalmente da Microsoft o da un'altra società riconosciuta. Ciò limita la libertà dell'utente di scegliere l'hardware e il software che desidera utilizzare.
  • Difficoltà nel supportare dispositivi più vecchi: Spesso i produttori interrompono l'aggiornamento dei driver per i dispositivi più vecchi. Se un driver per un dispositivo più vecchio non è firmato, gli utenti potrebbero non essere in grado di utilizzarlo sui sistemi operativi più recenti che richiedono la firma dei driver. Questo costringe gli utenti ad acquistare nuovo hardware anche se i loro dispositivi più vecchi funzionano ancora bene.
  • Costo per ottenere una firma: Ottenere una firma digitale può essere costoso, soprattutto per gli sviluppatori indipendenti o le piccole imprese. Questo può scoraggiare l'innovazione e impedire lo sviluppo di nuovi driver per dispositivi specializzati o rari.
  • Problemi di compatibilità: A volte, i driver firmati possono causare problemi di compatibilità con altri hardware o software. Può essere difficile per gli utenti identificare e risolvere questi problemi, soprattutto se non sono esperti IT.
  • Monopolio delle grandi aziende: Si ritiene che l'obbligo di firmare i driver offra alle grandi aziende un vantaggio ingiusto rispetto alle piccole imprese e agli sviluppatori indipendenti. Le grandi aziende dispongono delle risorse per ottenere facilmente firme digitali, mentre gli sviluppatori indipendenti potrebbero avere difficoltà.

In breve, sebbene l'applicazione della firma del driver sia intesa a migliorare la sicurezza, può avere effetti negativi sui consumatori, limitando la libertà di scelta, rendendo difficile il supporto di dispositivi più vecchi, aumentando i costi, causando problemi di compatibilità e rafforzando il monopolio delle grandi aziende.

Pertanto, i vantaggi in termini di sicurezza derivanti dall'obbligo di firmare i cartelli da parte dei conducenti devono essere bilanciati con i suoi impatti negativi sui consumatori e sull'innovazione.

Riguarda ciò che puoi e non puoi eseguire sul tuo dispositivo specifico.

tavolo-con-molti-pc-e-componenti-elettronici

Se la firma dei driver è così vantaggiosa per la sicurezza, cosa la rende anti-consumatore? Le critiche derivano dal fatto che questo meccanismo di sicurezza limita fortemente la libertà e il controllo dell'utente sul proprio sistema. Esiste un compromesso implicito tra sicurezza e apertura, e Microsoft fa molto affidamento sulla prima piuttosto che sulla seconda. L'azienda ha optato per un modello in cui il sistema operativo si fida solo del codice di basso livello verificato da Microsoft, centralizzando essenzialmente il potere in un modo che si allinea anche con gli interessi del settore e genera ricavi dalle certificazioni.

Tornando alla disattivazione della verifica della firma del driver, sviluppare un driver personalizzato per uso personale, sia per il proprio hardware che per un dispositivo di proprietà, è un'impresa. È necessario avviare il sistema con l'opzione di avvio "Disattiva imposizione della firma del driver", disabilitando completamente i controlli di integrità, oppure abilitare la modalità di verifica della firma di Windows, nessuna delle due soluzioni è particolarmente comoda. Non è necessario Possedere Il tuo computer nello stesso modo in cui di solito si intende la "proprietà": a livello di kernel, Microsoft mantiene il controllo.

Inoltre, solo le grandi aziende o gli sviluppatori con risorse adeguate possono soddisfare facilmente i requisiti di firma dei driver. Per ottenere un driver correttamente firmato per una recente versione di Windows, uno sviluppatore deve ottenere un certificato di firma del codice EV, che richiede una rigorosa verifica dell'identità e del codice hardware, e costa anche diverse centinaia di dollari all'anno. Notepad++ è un esempio popolare. Ciò riguarda la questione della firma del codice, che vede il software a livello utente interessato dal rifiuto di pagare una quota annuale a Microsoft per la certificazione. Lo stesso concetto si applica anche ai driver.

Screenshot delle impostazioni di avvio che mostrano varie opzioni per modificare il modo in cui Windows si carica

Tuttavia, questo requisito può anche impedire ai consumatori comuni di utilizzare dispositivi più vecchi che non hanno mai ricevuto un aggiornamento driver firmato. Supponiamo di avere una vecchia periferica PC che si desidera collegare a un PC Windows 11; se il suo driver è dell'era di Windows XP e non ha mai avuto una firma digitale, verrà bloccato immediatamente. È possibile disattivare l'applicazione della firma (con tutti i problemi che ciò comporta) o abbandonare il dispositivo. Mentre in passato era possibile modificare il driver, oggigiorno le soluzioni fai da te sono in gran parte sconosciute, dati i costi e la complessità associati.

Infatti, anche quando i membri della community prendono in mano la situazione, la situazione può rapidamente ritorcersi contro. Esistono due driver ben noti che gli sviluppatori possono utilizzare per controllare le ventole di sistema nelle proprie applicazioni: InpOut32 e WinRing0. Il primo è in conflitto con Vanguard di Riot, quindi molti hanno optato per il secondo, che è stato la spina dorsale di strumenti come Fan Control. Tuttavia, questo problema è stato scoperto nel 2020. WinRing0 presentava una grave vulnerabilità di sicurezza. Fu segnalato e bloccato da Windows Defender qualche anno dopo, mettendo fuori gioco le applicazioni che si basavano su di esso.

Questo problema è aggravato dai costi associati allo sviluppo e al mantenimento di un driver valido e accettato da Microsoft. Ecco un estratto da un articolo in La Verge Il che illustra il problema:

Timothy Sun, fondatore di SignalRGB, spiega che i rischi per la sicurezza sono più complessi. "Poiché WinRing0 è installato a livello di sistema, ci siamo resi conto di dipendere dalla prima versione installata sul sistema di un utente. Questo ha reso estremamente difficile verificare se altre applicazioni avessero installato versioni potenzialmente vulnerabili, mettendo a rischio i nostri utenti nonostante i nostri sforzi", afferma.
Ecco perché la sua azienda ha investito in una propria interfaccia RGB, abbandonando infine WinRing0 nel 2023 a favore di un driver SMBus proprietario. Ma gli sviluppatori con cui ho parlato, tra cui Sun, concordano sul fatto che si tratti di una proposta costosa.
"Non voglio indorare la pillola: il processo di sviluppo è stato difficile e ha richiesto ingenti risorse ingegneristiche", afferma Sun. "I piccoli progetti open source non hanno la capacità finanziaria per percorrere questa strada, né le competenze specialistiche nello sviluppo del kernel Microsoft per farlo", afferma Adam Honsey di OpenRGB.

Lo sviluppatore di WingRing0, OpenLibSys, sembra essere inattivo al momento, ed è improbabile che lo stesso driver, se aggiornato, venga approvato da Microsoft per la firma secondo le linee guida più severe dell'azienda. Microsoft sapeva anche quante applicazioni lo utilizzavano (anche Razer Synapse, SteelSeries Engine e molte altre lo utilizzavano), il che gli ha concesso ancora qualche anno di vita prima della sua dismissione nel 2025.

E Linux?

Sebbene Linux non sia diffuso quanto Windows e macOS, rimane una scelta potente e affidabile, soprattutto per sviluppatori e professionisti IT. Linux è altamente flessibile e personalizzabile, il che lo rende ideale per gli utenti che desiderano un controllo completo sul proprio sistema operativo. Inoltre, Linux è considerato un sistema operativo sicuro e stabile, spesso meno suscettibile a malware e virus rispetto ad altri sistemi operativi.

Se state pensando di usare Linux, è importante sapere che sono disponibili molte distribuzioni diverse, come Ubuntu, Fedora e Debian. Ogni distribuzione ha il suo set unico di funzionalità e strumenti, quindi è importante scegliere quella più adatta alle proprie esigenze e necessità. Ad esempio, Ubuntu è una scelta popolare per i principianti grazie alla sua facilità d'uso e alla sua ampia disponibilità, mentre Fedora è un'ottima scelta per gli utenti che desiderano sperimentare le tecnologie più recenti.

Nel complesso, Linux è un sistema operativo eccellente che offre molti vantaggi rispetto ad altri sistemi operativi. Tuttavia, imparare a usarlo può essere un po' impegnativo all'inizio, soprattutto se si è abituati a Windows o macOS. Se siete disposti a impegnarvi, scoprirete che Linux è un sistema operativo potente e affidabile in grado di soddisfare le vostre esigenze.

Uno spirito completamente diverso

Aggiornamento del kernel Linux

A differenza di Windows, Linux è un sistema operativo open source: non esiste un'unica autorità centrale che stabilisca cosa può essere eseguito nel kernel. Le distribuzioni Linux hanno la possibilità di imporre la firma dei moduli (soprattutto se è abilitato Secure Boot; alcune distribuzioni richiedono che i moduli del kernel siano firmati con una chiave), ma in ultima analisi, l'utente può ricompilare il kernel o disabilitare questi controlli. Questo è uno dei tanti motivi per cui il software anti-cheat non può essere distribuito su Linux allo stesso modo in cui può essere distribuito su Windows.

Su Linux, un cheater con accesso di root è considerato onnipotente. Può ricompilare il kernel per rimuovere gli hook anti-cheat o caricare il proprio modulo kernel senza un'autorità di firma centrale che lo impedisca. Dato che molti cheater eseguono i loro cheat come root nella directory /root come metodo sufficiente per evitare di essere scoperti, si può capire perché gli sviluppatori di giochi non siano troppo propensi a portare il loro software anti-cheat su Linux. Anche se un gioco richiede l'accesso di root (il che sarebbe peggio di un semplice equivalente anti-cheat su Windows), è possibile eseguirlo in un ambiente "fakeroot" in modo che il gioco creda di avere accesso di root quando non ce l'ha.

Tutto ciò significa che la natura aperta di Linux implica che qualsiasi misura difensiva possa essere contrastata da un attacco altrettanto privilegiato, e questa realtà si riflette nell'attuale stato del gaming su Linux. Mentre molti titoli popolari sono giocabili su Linux (spesso anche meglio di quanto lo fossero su Windows), molti giochi competitivi si rifiutano di funzionare su Linux. Questi stessi concetti si applicano anche al malware, sebbene il panorama su Linux in termini di malware sia piuttosto diverso.

Schermata "Rilevato imbroglione, partita terminata" di Valorant

L'applicazione della firma dei driver da parte di Microsoft è interessante per le aziende. Bloccando il kernel, Windows offre un livello di sicurezza e controllo (per anti-cheat, anti-malware e altro) che semplicemente non sarebbe possibile su un sistema più aperto senza queste restrizioni. Per molti giocatori e aziende, questo compromesso spesso vale la pena, anche se frustra una parte di utenti. Gli utenti Linux godono di un controllo senza pari, ma proprio questa libertà significa che qualsiasi meccanismo anti-cheat lato client è solitamente inutile. Per ottenere i vantaggi di sicurezza di cui Windows gode in quest'area su una macchina Linux, si dovrebbero ricreare le stesse restrizioni che hanno spinto gli utenti ad abbandonare Windows in primo luogo.

Per quanto riguarda il motivo per cui gli utenti Linux rimangono al sicuro, nonostante la mancanza di un'autorità di certificazione centrale, la risposta risiede in una miriade di ragioni. Tra il sistema avanzato di permessi utente di Linux, una comunità open source che corregge rapidamente le vulnerabilità di sicurezza quando emergono (anche quando alcuni exploit importanti, come xz-utils, trapelano), la sua bassa quota di mercato, che lo rende un bersaglio meno attraente, e i pacchetti software che vengono in gran parte installati tramite repository controllati, Linux non è così attraente come prendere di mira un utente Windows.

Libertà e sicurezza: un'equazione sempre difficile da raggiungere

Spesso ci si chiede: è possibile raggiungere un equilibrio tra libertà e sicurezza? La risposta non è semplice. La realtà ci costringe a riconoscere che il raggiungimento della massima libertà può talvolta entrare in conflitto con la garanzia della massima sicurezza, e viceversa.

Il concetto di libertà comprende molti aspetti, tra cui la libertà di espressione, la libertà di movimento e la libertà di credo. Tuttavia, queste libertà, se non controllate, possono essere sfruttate da individui o gruppi per minacciare la sicurezza e la stabilità della società. Ad esempio, la libertà di espressione, pur essendo un diritto fondamentale, può trasformarsi in un mezzo per diffondere odio e violenza o per promuovere disinformazione che mina la fiducia nelle istituzioni.

D'altro canto, misure di sicurezza rafforzate, come una sorveglianza estesa, restrizioni alla libertà di movimento individuale e restrizioni all'accesso alle informazioni, possono minare le libertà personali e le fondamenta di una società democratica. Un'eccessiva enfasi sulla sicurezza può creare un clima di paura e autocensura, in cui gli individui sono riluttanti a esprimere le proprie opinioni o a esercitare i propri diritti per timore di persecuzioni.

Come possiamo quindi trovare l'equilibrio ottimale tra libertà e sicurezza? La soluzione sta nell'istituire controlli e standard chiari che definiscano la portata delle libertà e garantiscano che non vengano utilizzate impropriamente per minacciare la sicurezza. Questi controlli devono essere proporzionati all'entità della minaccia e soggetti a revisione periodica per garantire che non eccedano quanto necessario.

Inoltre, devono esserci trasparenza e responsabilità nell'attuazione delle misure di sicurezza. Gli individui devono essere consapevoli dei propri diritti e avere il diritto di contestare qualsiasi misura che ritengano violi le loro libertà. Devono inoltre essere istituiti meccanismi di controllo indipendenti per garantire che non si abusi di potere in nome della sicurezza.

In breve, il rapporto tra libertà e sicurezza è complesso e dinamico. Nessuna delle due può essere pienamente raggiunta a scapito dell'altra. Raggiungere un equilibrio tra loro richiede un dialogo continuo e un consenso sociale sui valori e sui principi che ci guidano. Dobbiamo sempre ricordare che libertà e sicurezza non sono obiettivi in ​​conflitto, ma piuttosto componenti essenziali di una società prospera e stabile.

Le differenze fondamentali tra Linux e Windows

Due laptop Windows 11, uno mostra un elenco di app esportate in Blocco note e l'altro utilizza winget per importare tali app

Non c'è dubbio che la policy di Microsoft in materia di firma dei driver sia estremamente efficace dal punto di vista della sicurezza. Richiedendo che tutti i driver del kernel siano firmati e verificati, Microsoft ha creato uno dei sistemi operativi consumer più robusti contro malware di basso livello e strumenti non autorizzati. Come piattaforma, Windows ha la capacità unica di mantenere un sistema operativo affidabile, di cui utenti e programmi possono fidarsi. Ecco perché è una delle migliori funzionalità di sicurezza, così come funziona. davvero bene Ha fatto un'enorme differenza nella protezione dei sistemi.

Tuttavia, questa sicurezza ha un costo per i consumatori. Toglie il controllo all'autorità centrale e l'impossibilità di controllare completamente le azioni del sistema operativo risulta poco attraente per molti che apprezzano l'open computing. In un certo senso, Windows 11 tratta l'utente come un'entità non attendibile quando si tratta di codice kernel, dando per scontato che chiunque (incluso l'utente) possa fare qualcosa di dannoso se non controllato.

Dal punto di vista della sicurezza, questa particolare funzionalità è un ottimo esempio di mitigazione del rischio. Blocca in modo significativo una delle vie di attacco più pericolose, ma dal punto di vista dei diritti dei consumatori, potrebbe sembrare che stiamo semplicemente Assumiamo personale per utilizzare le nostre attrezzature.Perché siamo soggetti a ciò che Microsoft consente e non consente. Cosa succederebbe se questo concetto venisse esteso fino a includere la "protezione" del sistema operativo? Cosa succederebbe se gli strumenti e i programmi di debloating apportassero modifiche che Microsoft non approverebbe, perché alterano il sistema?

Per l'utente medio, l'applicazione delle firme dei driver è un passo importante. Non c'è dubbio. Tuttavia, non è positivo che gli sviluppatori open source vengano esclusi dalla piattaforma a causa dei costi associati allo sviluppo del proprio software e alla sua condivisione con altri, e non è bello sentirsi come se non ne fossi il proprietario. Oh veramente I miei dispositivi, purché Windows sia il modo principale con cui interagisco con essi.

Merwan Redha 2632 messaggi 0 commenti
Ti potrebbe piacere anche Altri di autore

I commenti sono chiusi.