Windows 11

จากประเด็นเรื่องสเปกขั้นต่ำของ Windows 11 ที่ต้องการชิป TPM 2.0 และซีพียูที่รองรับ Virtualization-Based Security (VBS) ทำให้เครื่องพีซีจำนวนมากไม่ผ่านเกณฑ์ และนำไปสู่คำถามว่าทำไมไมโครซอฟท์ถึงต้องกำหนดฟีเจอร์เหล่านี้ไว้ในสเปกขั้นต่ำ

ล่าสุดไมโครซอฟท์ออกมาอธิบายเรื่องนี้ผ่านคลิป โดย Dave Weston หัวหน้าทีมเจาะระบบของไมโครซอฟท์ ("hacker-in-chief") เป็นคนมาสาธิตการเจาะพีซี Windows 11 ที่ไม่เปิด TPM, Secure Boot และไม่มี VBS ให้ดูด้วยตัวเอง

เดโมของ Weston มีอยู่ 2 ตัวคือ

  • เจาะเครื่องที่เปิด RDP จากระยะไกลด้วยวิธี brute force เดารหัสผ่าน เมื่อเข้ามาได้แล้วสามารถทำอะไรกับเครื่องก็ได้ เช่น การเขียน Master Boot Record (MBR) เพราะเครื่องไม่มี TPM/Secure Boot ป้องกันที่ระดับฮาร์ดแวร์
  • เจาะเครื่องที่เข้าถึงได้ทางกายภาพ โดยสามารถปลอมข้อมูล biometric ลายนิ้วมือได้ (เขาใช้เยลลี่ Gummy Bear สแกนแทนนิ้วมือ) เพื่อล็อกอินไปควบคุมเครื่องได้ เพราะไม่ได้เปิด VBS

จากนั้น Weston ก็อธิบายว่าฟีเจอร์ความปลอดภัยทั้ง 3 ตัวคือ TPM, Secure Boot และ VBS ทำงานร่วมกันแล้วสามารถช่วยป้องกันการโจมตีลักษณะนี้ได้ จึงเป็นเหตุผลว่าทำไม Windows 11 ถึงกำหนดว่าต้องมีฟีเจอร์ทั้งสามอย่างนี้

ที่มา - NeoWin

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

ก็ถ้าจะกำหนดสเปคขั้นต่ำแบบนี้ จนทำใหหลายๆ เครื่องบนโลก กลายเป็นขยะโลกเจริญรอยตามโทรศัพท์มือถือแบบนี้ ทำไมไม่ซัปพอร์ต Windows 10 ควบคู่กับไปกับ Windows 11 ซะเลยล่ะ? ..คือไม่ต้องกำหนดวันหมดอายุซัปพอร์ต ได้อัปเดตเรื่อยๆ ทั้งฟีเจอร์อัปเดตหรือซีเคียวอัปเดตควบคู่กันไปทั้ง 2 OS เลยนี่ล่ะ ..ตอนนี้ยิ่งแต่เจอปัญหาชิปขาดแคลน แร่ขาดแคลนกันอยู่ด้วย

..แล้วการสาธิตการแฮ็ก มันจะไม่เป็นการชี้โพรงให้กระรอกหรือ? โดยเฉพาะพวกแฮ็กเกอร์หน้าใหม่

เขาซัพพอร์ตขนานไปจนถึงปี 2025 นะครับ เครื่องที่ไม่ซัพพอร์ตนี่ก็กลุ่มที่ออกปี 2017-2018 แล้ว ใช้งานถึงตอนนั้นอายุใช้งานรวมก็ 7-8 ปีแล้ว ซึ่งเป็นเครื่องกลุ่มใหม่สุดที่หมดซัพพอร์ต เครื่องเก่ากว่านั้นอายุรวมคือจะมากกกว่านั้น

กระบวนการดูแลซอฟต์แวร์มันมีค่าใช้จ่าย และไม่มีใครซัพพอร์ตตลอดไปได้

มันก็ซัพพอร์ทถึง 2025 แล้วนะครับ

เมื่อถึง 2025 เครื่องที่ไป Windows 11 ไม่ได้ ก็น่าจะมีอายุอย่างน้อย 8 ปีขึ้นไปแล้ว (ซึ่งก็เป็นอายุซัพพอร์ตก็พอๆกันกับ Mac นั่นแหละ)

ถ้ามันยังไม่พอ... ต้องกี่ปีถึงจะพอเหรอครับ? หรือต้องซัพพอร์ทตลอดกาลเลย?

Windows 10 ก็ยังใช้ได้อีกหลายปี เมื่อ Windows 10 หมดอายุ ก็ซื้อเครื่องใหม่ ส่วนเครื่องเก่าถ้ายังไม่พังก็อาจจะก็ลง Linux ได้ หรือขายให้คนอื่นไป ดีกว่าทิ้งลงถังขยะ

linux นี้ก็เก่งเรื่องเรื่อง Server ซะมากกว่าใช้งานทั่วไป
องค์กรที่ต้องการประหยัดค่าใช้จ่ายก็มักจะเลือกใช้ linux server
และก็เอา linux เก่งเรื่องของการพัฒนาต่อ ต่ออย่างเช่น android Google Chrome OS เหล่านั้นล้วนแม้แต่พื้นฐานของ liux ทั้งนั้น
คอมที่ลง android ก็มีนะครับ

ที่บอกว่า เครื่องที่ไม่รองรับ ต้อง 8 ปี up อันนี้ตลกหรือเปล่า CPU INTEL เจน 7 บางตัว แค่ 4-5 ปี ก็ไม่ได้ไปต่อแล้ว ไม่ต้องถึง 8 ปี UP หรอกนะ

ควรนับ HW ตอนที่ OS ออก ไม่ใช่ นับ HW ตอนที่ OS เก่าหมดอายุ

ส่วนไอ้เรื่อง win 10 ยังไม่หมดอายุ ทำไมต้องเปลี่ยน มันคือความต้องการ

จะมาบอกมันยังไม่หมดอายุ ไม่เห็นต้องเปลี่ยนก้ได้ งั้นไปออก win 11 หลังปี 2025 สิ ออกทำไมปีนี้

ถ้าคุณเปลี่ยนเพราะความต้องการไม่ใช่เพราะความจำเป็น ก็แปลว่าปัญหามันอยู่ที่ "ตัวคุณ" ไม่ได้อยู่ที่ไมโครซอฟท์ครับ

ทุกคนมีสิทธิไม่ชอบไม่พอใจการตัดสินใจของ Microsoft ครับ แต่ก็ต้องอยู่บนพื้นฐานความเป็นจริงด้วย ไม่ใช่สักแต่ด่า Microsoft ด้วยข้อมูลที่ไม่ถูกต้องครับ

กรณีนี้ความเห็นแรกเขาไม่พอใจเรื่องขยะอิเล็กทรอนิค ซึ่งในความเป็นจริงแล้วมันไม่มีทางซัพพอร์ทตลอดไปได้ และการซัพพอร์ทของ Microsoft ก็ยังลากยาวไปอีก 4 ปีทำให้อุปกรณ์ที่จะกลายเป็นขยะอิเล็กทรอนิคจริงๆคืออุปกรณ์ที่อายุอย่างน้อยราวๆ 8 ปี ซึ่งก็ถือว่าเป็นระยะเวลาปกติเมื่อเทียบกับคู่แข่งอย่าง macOS

ถ้าคิดว่าการตัดสินใจของ Microsoft หรือ 8 ปีมันยังยาวไม่พอก็มาถกกันได้ครับ แต่จะเอาปัญหาของตัวเอง (เช่น ตัวเองอยากเปลี่ยนไปใช้ของใหม่เองทั้งที่ไม่จำเป็น ทำให้จาก 8 ปีกลายเป็นขยะกลายเป็น 4 ปีเป็นขยะเอง) มาโบ้ยให้เป็นความผิดของ Microsoft ผมว่ามันไม่ถูกต้องครับ

ความจำเป็นที่ทำให้ต้องเปลี่ยนของที่ใช้อยู่คืออะไรครับ? เมื่อของใหม่ออก? หรือเมื่อของเก่าใช้ไม่ได้?

ลองมองกลับกัน ถ้าเลื่อนวันปล่อย Windows 11 ไปเป็นปี 2025 แทน คิดว่ามันจะต่างตอนนี้ยังไงครับ?

ถ้าเป็น Server ผมอาจจะสนใจนะ
แต่ถ้าเป็นเครื่องคอมทั่วไป เล่นเน็ท ฟังเพลง ใช้งานขำๆ อยู่ในบ้าน อยู่ในวง Local Area Network

I don’t care

lew Tue, 12/10/2021 - 17:31

ดูแล้วแปลกๆ เดโมแรกก็ช่วยกันได้แค่การฝังมัลแวร์ข้ามบูต (แบบเดียวกับโทรศัพท์ ไม่บูตก็ยังมีมัลแวร์ต่อไป)

มันช่วยในบางกรณีที่ผู้ใช้โดนแฮกไปแล้ว ด้วยช่องทางเบื้องต้นอื่นๆ เท่านั้น

ดูพรีเซนต์แล้วงงเช่นกัน

เคสแรกสรุป ก็คือ ป้องกันไม่ให้ไวรัสเขียนลง MRB ได้ แต่เทคนิคนี้มันนานมากแล้วน่ะ แปกติแอนตี้ไวรัสต่อให้กากแค่ไหนส่วนใหญ่ก็ป้องกันพวกนี้ได้และอีกอย่างโปรแกรมที่จะ Flash Bios
พวกนี้มันก็ต้องการสิทธิ์ Admin ขึ้น Consent ก่อนเสมอ หรือจะพยายามสื่อไปในแง่ที่ว่า ผู้ผลิตคอมป้องกันไม่ให้ BIOS โดนฝังโค้ดระหว่างทาง ก็ดูแล้วไม่น่าใช่ เพราะเห็นสื่อไปยังพวก Ransomware

เคสสองยิ่งไปกันใหญ่ พยายามจะบอกว่าปกติโปรเซสของ Biometric จะถูกแยกไปใน TPM จากเดิมที่อยู่ในแรมซึ่งพอเปิดใช้ DMA มันสามารถข้ามไปอ่านหรือแก้ไข Memory
ของโปรเซสอื่นๆ ได้ (อ่ะ จริงดิ ? ปกติมันหน้าที่พื้นฐานของ OS ไม่ใช่หรอในการป้องกันไม่ให้อ่านหรือแก้ไขเมโมรี่ข้ามโปรเซสได้)
จริงๆ ถ้าจะป้องกันก็ปิด DMA ซะ ซึ่งส่วนใหญ่มันก็ปิดเป็น Default อยู่แล้ว

นี่ยังไม่คิดกรณีที่เอาทุกอย่างไปรวมไว้ใน TPM ถ้าเกิด TPM Module มันเจ๊ง แล้วต้องทำไง แล้วปกติ TPM มันเป็นยังไงกันแน่ หรือ TPM = CPU + RAM ขนาดเล็ก ทำงานแค่ตอนเปิดเครื่อง
แต่เวลาปิดเครืองพวกคีย์ SSH, Biometric ก็ยังเก็บเป็นโลคอลไฟล์ไว้ใน NV memory พวก HDD เหมือนเดิม

ไม่ใช่หรอก นี่ไม่ใช่เป้าหมายหลักที่ไมโครซอฟต์ต้องการ ประเด็นหลักคือ ต้องการแก้ปัญหาเรื่องวินโดส์ละเมิดลิขสิทธิ์มากกว่า เพราะว่าพี่แกคงคิดจะย้ายโค้ดหรือพวกคีย์ไปเก็บไว้ใน TPM ด้วยอีกแน่นอน
เพราะก่อนหน้านี้ Lock HDD ก็แล้ว, Lock Bios ก็แล้ว ก็ยังบายพาสกันได้

แบบนี้แสดงว่า Windows 10 ที่ไม่เปิด 3 อย่างนี่ก็จะโดนเหมือนกัน

มีความสงสัยว่าที่กำหนดสเปก CPU เป็นรุ่นใหม่ขนาดนี้เป็นเพราะเหตุการณ์ Spectre/Meltdown หรือเปล่า?

ใช่ครับ คนอาจเข้าใจผิดว่า งั้น win10 จะปลอดภัยกว่า (โดยไม่ต้องการ 3 อย่างนี้)
ในขณะ Win11 ต้องทำ 3 อย่างนี้ ถ้าไม่ทำจะโดยแฮ็ก
ดังนั้นก็ใช้ Win10 ต่อไปปลอดภัยกว่า โดยไม่ enable TPM, bootsecure

จริงๆ การสาธิต มันก็ทำได้ง่ายและทำได้ยากนะครับ เช่น brute force password จะต้องใช้ Password Dict (ตามคลิปที่ใช้ Password.txt) ดังนั้น ถ้าไม่มีใน Dict มันก็ยากอยู่

คนที่มีปัญหาเรื่องอัพเดทไม่ได้ คือคนที่ใช้คอมเครื่องเดิมอย่างน้อย 8 ปี (จนถึงวันที่ Windows 10 ไม่ได้รับซัพพอร์ท) โดยไม่เปลี่ยน คนกลุ่มนี้มีจำนวนเยอะขนาดทำให้ยอดพุ่งอย่างชัดเจนเลยเหรอครับ?

ดูไป เกาหัวแกรกๆไป

ถ้าเกิดว่า bruteforce rdp ด้วยสิทธิ์ Administrator ได้มันก็เท่ากับยึดทั้งเครื่องได้(ตกกะปินิ?) แต่ความต่างคือด้วย Secure Boot+TPM 2.0 จะ exploit ได้ยากขึ้น แบบนี้เหรอ?

สงสัย windows 12 คงบังคับให้ทำ TrueCrypt แหงๆ

อนาคตจะทำให้การลง Windows 11 คู่กับ Linux ลำบากขึ้นกว่าเดิมนะผมว่า
ปกติตอนนี้ก็ปิดโน่นปิดนี้เพื่อจะลง Linux ubuntu แล้วให้บูตเข้า Windows ได้
(อยากให้เหมือนสมัย XP ใช้บูตของ Windows บูตเข้า Linux ได้เลย)

MS ตั้งใจปิดตายทางลง Linux มานานช้านานแล้ว แต่เผอิญว่า Secure Boot มันเป็นผลพลอยได้เพราะต้นตำรับไม่ใช่ MS แต่เป็นเพราะว่าแต่ละ vendor ต่างก็ implement ตัว setup mode ไม่เหมือนกันเลยสักเจ้า user ธรรมดาไม่มีทางติดตั้ง Linux บนเครื่องคอมพิวเตอร์ที่ติด Secure Boot เองสำเร็จเป็นแน่แท้ ยิ่งกับตอนนี้ คอมพิวเตอร์ส่วนใหญ่ก็ลง Windows OEM กันหมด ผมเองก็กว่าจะติดตั้ง Linux แล้วถอนรากถอนโคน Windows Boot Manager ออกเองได้ยังใช้เวลาโข

ส่วนตัวผมเองก็เห็นด้วยกับ MS (แม้ว่าส่วนหนึ่งของชีวิตตัวเองจะเป็น Linux) เพราะฝั่ง Windows ภัยคุกคามมันเยอะกว่าด้วยธรรมชาติของความนิยมของ OS + social engineering ป้องกันไว้ตั้งแต่แรกก็ย่อมเหมาะสมสำหรับ user ทั่วไปมากกว่า สำหรับฝั่งของ Linux ถ้า social engineering เปิดสิทธิ์ root อาการหนักกว่า Windows เสียอีก

พวกโน๊ตบุ๊คที่มี Ubuntu certificate ลงแบบเปิด secure boot ได้อยู่นะครับ boot ด้วย UEFI ก็ยังได้
ผมเชื่อว่าต่อไปก็จะใช้ TPM ได้ด้วย

แต่ต้องเป็นเครื่องที่มี Ubuntu certificate เท่านั้นก่อน
ส่วนโน๊ตบุ๊คแบรนด์ไต้หวันนี่น่าจะฝันร้ายสำหรับชาวลีนุกซ์

คอมพิวเตอร์ทุกรุ่นที่สามารถเข้า EFI setup mode ได้ หลังจากติดตั้งเสร็จสิ้น สามารถเปิด secure boot กลับมาเหมือนเดิมได้

ปกติเวลา MS ปล่อย Windows desktop version ใหม่ออกมา
ก็จะมีแต่คนออกมาบอกว่าไม่น่าใช้ ยังไม่อัพ รอไปก่อน หรือไม่ก็ยังใช้ Win7 อยู่
แต่ทำไมรอบนี้มีแต่คนบ่นว่า upgrade เป็น Win11 ไม่ได้ ยุ่งยาก ... ตั้งแต่ day1 เลยหว่า

เครื่องผมมี secure boot, TPM 2.0 แต่เป็น CPU Intel gen 6 ก็ไม่ผ่าน อันนี้คือเพราะไม่มี VBS นั่นรึเปล่า แถมมีข่าวทู้ก่อนหน้าว่าเปิดฟังค์ชันนี้เฟรมเรตเกมลดตั้ง 25%

aoza00123 Wed, 13/10/2021 - 12:15

ps4 ก็ใช้ระบบคล้ายtpmหรือเปล่า มันปลอดภัยแฮคยากอยู่นะ