Cuando iniciamos un equipo, lo primero que se ejecuta es el Basic Input Output System (BIOS), luego viene el sistema operativo y finalmente las aplicaciones que tengamos en nuestra computadora.
Hace algunos años, despues de la salida del Windows 7, se empezó a utilizar el Unified Extensible Firmware Interface (UEFI), un nuevo estándar para PCs diseñado para reemplazarlo.
Fue desarrollado en colaboración con más de 140 compañías con el objetivo de mejorar la interoperabilidad del software y solucionar las limitaciones del BIOS, entre las que se encuentra la seguridad.
Por lo tanto, resulta interesante conocer las diferencias entre BIOS y UEFI y sus características,
para saber cuál es la mejor forma de protegerse.
BIOS y UEFI: controlando el firmware del sistema
Para empezar es importante aclarar que el firmware (Bios y Uefi), es una porción de código almacenado en una memoria ROM que se utiliza para establecer las instrucciones que controlan las operaciones de los circuitos de un dispositivo.
Este componente de código va integrado al hardware del dispositivo, pero puede ser modificado a través de órdenes externas con el objetivo de mantenerlo actualizado y funcionando de acuerdo a los requerimientos propios del sistema.
La función primordial del BIOS es inicializar los componentes de hardware y lanzar el sistema operativo. Además, con su carga se inicializan otras funciones de gestión importantes como la energía y la gestión térmica.
Por otra parte el UEFI se puede cargar en cualquier recurso de memoria no volátil, lo cual permite que sea independiente de cualquier sistema operativo.
Debido a estas características, posee las mismas funciones que BIOS, pero con características adicionales.
Características de BIOS y UEFI
Dado que BIOS inicializa el sistema, hay alguna características fundamentales asociadas a su ejecución:
Puede ejecutar código para verificar la integridad de todos los componentes del firmware antes de que se ejecute y lance el sistema operativo.
Probar los componentes clave de hardware en la computadora para garantizar que toda la información cargue correctamente y no genere problemas sobre la información.
Controla módulos adicionales como la tarjeta de vídeo o la tarjeta de red de área local, entre otros dispositivos.
Selecciona el dispositivo de arranque que puede ser el disco duro, una unidad de CD o un dispositivo USB.
El proceso de arranque UEFI tiene características similares, pero la diferencia es que el código se ejecuta en 32 o 64 bit de modo protegido en la CPU, no en modo de 16 bits como suele ser el caso de BIOS.
En el caso de Windows 8/10, ya conocemos cómo activar el modo UEFI y Secure Boot, lo cual nos da un nivel adicional de protección en nuestro sistema.
Dentro de las características adicionales de UEFI está la reducción en el tiempo de inicio y reanudación, y cuenta con un proceso que ayuda a prevenir ataques del tipo bootkit y utilizar el modo Secure Boot.
Estas son algunas de las razones por las cuales UEFI podría reemplazar a BIOS en el sistema de
arranque de los equipos.
Seguridad en BIOS y UEFI
Como la primera porción de código ejecutada por un dispositivo en alguno de estos dos estándares, deben considerarse como un componente crítico para la seguridad.
De hecho, gestionar la seguridad en la BIOS permite fortalecer el equipo desde el encendido.
Dado que se ha detectado una posible vulnerabilidad que afectaría al modo Secure Boot del UEFI, es importante tener algunas recomendaciones de seguridad que nos ayudan a elevar los niveles de seguridad en nuestro equipo
Todos los cambios a BIOS o UEFI deberán utilizar un mecanismo autenticado de actualización o un mecanismo seguro de actualización local.
El mecanismo de actualización local seguro sólo se debe usar para cargar la primera imagen o para recuperarse de una corrupción en el sistema de arranque.
También garantizará la autenticidad e integridad de la imagen de actualización, especialmente si se trata de BIOS.
Para evitar la modificación no intencional o maliciosa del sistema, deberán estar protegidos con un mecanismo que no se pueda reemplazar fuera de una actualización autenticada.
El mecanismo de actualización será el único capaz de modificar el BIOS del sistema sin necesidad de intervención física.
Al tener presentes estas medidas de seguridad lograremos, independiente del modelo de arranque utilizado en nuestro dispositivo, que este garantice la integridad de nuestra información.
¿Puede adoptarse UEFI para una variedad de sistemas operativos?
Las especificaciones UEFI son independientes de la plataforma, y soporta múltiples plataformas y arquitecturas.
Además, las especificaciones UEFI están diseñadas para promover la funcionalidad, así como para apoyar una amplia adopción a través de múltiples sistemas operativos, incluyendo Windows, así como los sistemas operativos basados en Linux.
Las especificaciones son robustas y potencialmente es un complemento o incluso avanzar en otras distribuciones, como las distribuciones basadas en Linux.
¿Hay algún cargo por usar la especificación UEFI?
No hay ningún cargo por el uso de la misma especificación. Los promotores de las especificaciones UEFI han acordado que cualquier IP necesaria para implementar la especificación se pondrá a disposición en condiciones razonables y no discriminatorias.
Arrancar en modo UEFI o en modo BIOS heredado
Desde hace ya algún tiempo, los fabricantes de equipos, incluyen de fabrica el sistema UEFI para reemplazar el antiguo BIOS.
Ahora este sistema con interfaz gráfica, también incluye el ratón y el teclado, y además implementan el inicio seguro (secure boot), algo que pone en polémica a muchos usuarios, ya que no permite unificar sistema operativos diferentes.
Algo que para mi no es buena elección, ya que cada sistema incluye sus propias características, y que yo he dejado de unir por muchos problemas, y que ahora estos sistemas los inicio por separado en discos totalmente separados, o virtualizados.
En mi opinión creo que es mejor así, ya que algunos usuarios mal intencionados, pueden usar un sistema Linux para introducir códigos maliciosos como los Bookit en Windows.
Pueden introducirse en tu sistema conociendo tu ip, y así actualizar el Bios, dejándolo inutilizable, para luego dejar de iniciar tu equipo desde un principio.
Estos Piratas Linux corren por la red como pez en el agua, dejando equipos informáticos para chatarra, o llevándolos a un técnico electrónico para ser reparados.
Es por eso que desde aquí tratamos estos temas, y a todos esos que protestan sobre el secure boot, dejarles claro, que no se metan en sistemas protegidos.
Otro tema de seguridad sobre navegar por la red, protegiendo tu ip, y que trataremos en otro post.
Para activar el secure boot con el UEFI, es algo un poco complejo y que requiere la comprensión de todo lo que conlleva.
Cuando se instala un sistema operativo en modo UEFI y no legacy (modo que emula un BIOS antiguo por motivos de compatibilidad), se utiliza el mismo formato NTFS pero utilizando una tabla de particiones GUID (GPT) y no MBR (Master Boot Record) como funcionaba antes.
En términos sencillos, esto significa que si Windows ya fue instalado en modo legacy, se tendrá que formatear el sistema para instalarlo en UEFI.
Asimismo, tanto la UEFI como el disco o medio de instalación deberán estar configurados de esta forma. A continuación se mencionan los requisitos y etapas necesarias para activar el modo UEFI y Secure Boot:
Tarjeta madre: Desde el UEFI, activar este modo dirigiéndose a la opción Boot de la placa madre. Allí se podrán visualizar los dispositivos como discos duros o SSD desde los cuales se puede iniciar el sistema operativo.
Para activar esta opción se deberá elegir el medio de “booteo” y posteriormente modo UEFI en vez de legacy.
Reiniciar equipo: Si todo está correctamente configurado, se iniciará la instalación de Windows en modo UEFI.
Secure Boot: Al momento de instalar Windows en modo UEFI, el sistema operativo activa Secure Boot de forma automática.
Verificar que todo salió bien: Para verificar que todo se encuentra instalado de forma correcta, se deberán presionar las teclas Windows + R.
En el cuadro de ejecución escribir msinfo32.exe. Allí se pueden observar ambas opciones y su estado correspondiente.
Al activar tanto el modo UEFI como Secure Boot, se está añadiendo una capa adicional de protección frente a códigos maliciosos del tipo bootkit.
Si bien no es un sistema infalible (como cualquier otro), mientras más mecanismos de protección se adopten, mayor será la dificultad de que un atacante pueda comprometer exitosamente ese equipo informático.
Cabe señalar que las instrucciones mencionadas en este post son a modo de orientación. Para conocer el procedimiento exacto se recomienda consultar el manual de usuario de la computadora.
Asimismo, en el post “
Enabling Secure Boot in Windows 8” de Microsoft es posible encontrar más información sobre este tema.
También desde el UEFI se puede desactivar esta característica para ejecutar en modo legacy, y así poder probar otros sistemas.
0 comentarios