Hoy vamos a ver cómo Microsoft ha cerrado el que quizás sea el punto de entrada más vulnerable de un ordenador para meterle malware, aunque sea, que sepamos, el menos utilizado.

3.- Seguridad en el BOOT

Todos recordaréis los virus de BIOS, aquellos engendros que cambiaban tu BIOS por otra y que en general lo que hacían era romper el equipo e impedir que este arrancara.

El suertudo que tenía una dual bios o que el fabricante hubiera documentado cómo regrabar la BIOS sin que el equipo terminara de arrancar, podían volver a revivir su placa base.

Los que no, bueno, a rascarse el bolsillo y aprovechar para actualizar el ordenador.

Hasta donde yo sé, los ordenadores de Apple han venido siempre con EFI en lugar de con BIOS, por lo que este problema no ha estado presente nunca.

Desde Windows 8, Microsoft recomienda que los PC lleven EFI en lugar de BIOS.

¿Qué las diferencia? BIOS es un estándar muy anticuado, tanto, que incluso sólo funciona en modo real, que es la forma compatible con los PC-XT y el modo en el que arranca un ordenador x86 cuando se enciende.

Las BIOS hasta hace poco han sido de 16 bits en lugar de 32 ó 64 bits debido a la necesidad de ese modo de compatibilidad. De hecho, el código de arranque todavía es de 16 bits (hasta donde lo he podido mirar).

Antiguamente era el sistema operativo el que cambiaba el procesador a modo primero de 32 bits y ahora de 64 bits.

Hasta donde sé, con un arranque BIOS tradicional, todavía es así. En este modo no existen todas las técnicas modernas para evitar la inserción de código maligno dentro del sistema operativo. No porque no las hayan querido implementar, sino simplemente porque no pueden.

La única forma de asegurarse todo eso, es comprobar mediante un certificado digital que tanto la BIOS como el sistema de arranque en modo real no ha sido cambiado. De comprobarlo después de que el ordenador haya arrancado, por lo que si ese código tiene algún tipo de malignidad, también puede enmascarar el tema y decir que todo está bien.

Ojo, no es moco de pavo lo que cuento. Es uno de los puntos más vulnerables de los ordenadores actuales que arrancan con BIOS tradicionales. No os podéis figurar cuánto.

Lo que nos salva es el hecho de la increíble variedad de versiones de BIOS, Windoses y Linuxes que hay en el mercado y lo difícil que es atinar con la combinación correcta. Pero imaginemos por un momento un sistema civil o militar crítico que en principio tiene el mismo hardware y software a lo largo de todas las instalaciones y a una entidad maligna, léase un terrorista informático o un gobierno con ganas de joderle la marrana a otro.

¿Cómo arregla Windows esto? Fácil. Con una BIOS EFI.

¿Qué es una EFI? Pues una BIOS pero con extras. Es un nuevo estándar de BIOS que funciona directamente en modo protegido y que contiene una serie de certificados que garantizan que no han sido modificadas ni cambiadas antes de que el sistema operativo arranque. Incluso antes de que la propia EFI quede validada para iniciar su propia ejecución.

De este modo cerramos de golpe ese gran agujero de seguridad que suponían las BIOS tradicionales, máxime cuando la EFI también comprueba y certifica que el sector de arranque y otros ficheros críticos tampoco han sido comprometidos.

En principio, la única forma de romper una EFI es abrir el ordenador y cambiar el chip físico que la contiene. Digo en principio porque también existen actualizaciones de EFI, que puede ser otro vector de entrada. No obstante el proceso de actualización es seguro en cuanto a que los cambios se producen después de verificar que tanto la EFI como la actualización vienen de los lugares adecuados y no han sido tocados por nadie. ¿Cómo? Con certificados digitales.

Entonces, cuando os digan que para arrancar este Linux o lo que sea, hay que deshabitar el certificado tal de la EFI, o dejar libre qué puede arrancar en el ordenador, pensadlo mucho antes de hacerlo. Y quién y por qué os lo pide.

—

Por lo tanto, el que Microsoft recomiende y en determinados equipos y versiones del sistema operativo exija una EFI debemos tomárnoslo como una garantía de seguridad.

Lo que ocurre con esto es que hay mucha desinformación sobre el tema. Una EFI puede traer activado también que sólo arranque un sistema operativo en concreto sobre un disco en concreto, todo ello protegido con, de nuevo, certificados digitales.

Microsoft no exige esta parte a terceros. De hecho no la recomienda, porque un error cualquiera en el sistema operativo y… adiós equipo. Por lo tanto, cuando oigáis por ahí que Microsoft está cerrando el arranque de los ordenadores, no os lo creáis o pedid la fuente original, no la de un articulista de tercera que copia de otros articulistas sensacionalistas de tercera de otros países y que, o bien copia mal, o bien copia de quien no debe.

Por poneros un ejemplo práctico, mi Surface PRO 3 viene con el arranque bloqueado por certificado, pero con solo entrar a la configuración y elegir que se permita el arranque por USB es suficiente para instalar lo que quieras en ella.

De esta forma, si alguien en nuestra ausencia intenta meternos un rootkit se las va a ver y desear para hacerlo puesto que la SP3 se negará a arrancar de otro sitio que no sea su disco predeterminado.

Si os fijáis, deja la opción de abrir una brecha de seguridad al usuario y solo al usuario. Si luego tu ahí instalas un Windows pirata con regalito, es cosa tuya. Por supuesto que también puedes instalar un flamante Linux, y nadie te lo va a impedir.

—

Toquemos de refilón un poco a los MAC. Desde que tengo uso de razón maquera (mediados del 2008 con mi primer iMAC), los MAC siempre han llevado EFI. Cerrada a cal y canto de forma que sólo se pueda instalar un OS X o un Windows mediante BootCamp.

Empezando con Mavericks y siguiendo con Yosemite, Apple ha cerrado todavía más las EFI, necesitando de una herramienta de terceros (reefit) para romper la EFI y poder instalar cosas como Linux o saltarnos BootCamp.

¿Cuántos se han rasgado las vestiduras por ellos? Nadie que yo sepa. Sin embargo, unos periodistas sin dos dedos de frente, o con intereses pagados, se ponen a decir flagrantes mentiras sobre Microsoft cerrando EFI, y todos a rasgarnos las vestiduras, cuando lo que tendríamos que hacer es agradecerle a Microsoft el hecho de que empiecen a exigir EFI y que no la estén cerrando a su propio sistema, como hace Apple.

Y de Linux mejor no hablar. La última vez que intenté instalar una Ubuntu en un portátil con EFI (de Samsung), lo dejamos ladrillo y tuvieron que cambiárnoslo.

Es lo que hay.