miércoles, febrero 13, 2013

Secure Boot y Linux en máquinas con Windows 8

Para evitar el impacto de los bootkits, Microsoft está exigiendo que todos los portátiles que salen a la venta en OEM con Windows 8, esté activado Secure Boot en la UEFI. Esto hace que sistemas operativos como Linux no puedan instalarse en aquellos equipos en los que no hay un switch para deshabilitar esta protección de arranque.

Figura 1: SecureBoot y Windows 8

Pero como el objetivo de esta tecnología es acabar con los bootkits y no evitar que un usuario se pueda instalar Linux, ahora se ha hecho público desde la Linux Foundation un pre-loader firmado por Microsoft que permite arrancar un cargador de sistemas operativos Linux en sistemas con Secure Boot activado. Los ficheros se pueden descargar desde el blog de James Bottomley junto con una imagen miniusb preparada para su arranque y permiten usarlo en equipos donde no sea posible tocar Secure Boot.

Figura 2: UEFI de Intel con Secure Boot configurablele

Esta no es la primera solución para instalar Linux en equipos con Secure Boot, y ya hace unos meses se publicó un sistema para utilizar un cargador Grub firmado que permitiera arrancar luego cualquier sistema operativo Linux aunque en este caso es necesario cargar las firmas en el firmware UEFI

Saludos Malignos!

13 comentarios:

Fernando dijo...

Lo que nos lleva a que cualquier sistema de protección termina pudiendo ser reventado...
Nada impide cargar un linux,o un Grub, por tanto arrancar boots y luego el arranque de Windows...

Reconocerás que técnicamente es posible, tal vez complicado, pero posible...

Jose Luis Salazar dijo...

Fernando estoy de acuerdo contigo y eso que tal y como está redactado el post hace ver como que es una ventaja que Microsoft haya firmado un pre-loader, cuando en realidad se ha dado cuenta que si no ayuda a Linux, este se habría cargado el secure boot por otros medios.

Keino Aragort dijo...

Hola saludos Chema Alonso, puedes realizar un post sobre el uso a estas alturas de Microsoft FrontPage 6.0 en el diseño web de la pagina web del periodico Granma de CUBA. Sus servidores y diseño no es sensible a ataques? Un post sobrer el asuntoseria interesante.

Keil dijo...

Chema, me gustaria saber tu opinión, y tambien la opinion de cualquier persona que pueda decirme algo sobre el curso 'Certificado de Profesionalidad en Seguridad Informatica (IFCT0109)'.

El enlace donde se puede ver informacion es este, y aunque he leido y buscado donde como y cuando puedo encontrar este curso, me gustaria vuestra opinion.

https://sede.sepe.gob.es/especialidadesformativas/RXBuscadorEFRED/DetalleEspecialidadFormativa.do?codEspecialidad=IFCT0109

Anónimo dijo...

Pregunto yo desde mi ignorancia, ¿así como ése pre-loader público se puede usar como un cargador de distros Linux no se podrá usar para cargar bootkits u otros bichos?.

Fernando dijo...

@Jose Luis, hay que tener en cuenta que ya había otras soluciones, sólo que requerían cargar firmas en el UEFI... vamos algo similar a lo que se hace con las BIOS y el SLIC para activar Windows Vista y W7...

Así que roto ya el sistema de "seguridad", mejor proveer un sistema "propio" para al menos dar la imagen de "apertura"...

Es esa la impresión que me da.

Yo lo que quería remarcar es que el supuesto sistema de protección contra bootkits no funciona y queda por tanto sólo como un sistema antipirateo y anti libertad del usuario a instalar el SO que le de la gana en SU máquina.

Saludos

Maligno dijo...

Veo que alguno está un poco confundido. Que se firme un pre-loader de Linux con un comportamiento concreto no abre la puerta a que se instale malware - si no consideras a Linux como un malware -. Si quieres cambiar el comportamiento de ese pre-loader para meter un malware necesitarías otra firma y no te la van a dar.

Eso sí, si puedes modificar conscientemente y meter una firma en la UEFU, puedes hacerte lo que quieras, pero si eres un creador de malware tendrás que conseguir que la víctima haga el proceso.

No sé donde veis que esto significa que está "roto". De hecho me parece muy buen movimiento.

Saludos!

Fernando dijo...

Veamos si estoy confundido...

El Secure Boot lo que hace es comprobar si el MBR es "bueno" (está correctamente firmado) o no. Si es bueno lo carga, sino...

Ahora bien, tenemos un loader que nos permite "desactivar" por software el Secure Boot...

Eso no significa romper la seguridad del Secure Boot?

Qué me impide utilizar el loader para cargar un ms-dos y saltar mediante grup4dos a otra cosa e ir dando saltos hasta conseguir cualquiera que fueran mis intenciones... qué me impide parchear el kernel y arrancar el Windows desde mi loader en lugar del loader original?

Como digo, fácil no será, pero posible...

Maligno dijo...

@Fernando,

posible en esta vida es casi todo. Sin embargo, en este caso se ha firmado un comportamiento testeado que hace consciente al usuario de lo que está haciendo.

Si quisieras romper SecureBoot no necesitarías que se hubiera firmado nada, ya que en ambos casos se basa en cambiar un comportamiento de un binario (lo podrías hacer con el loader de Windows 8) sin que se modifique la firma.

Si lo haces, no lo publiques, y lo vendes, que los que hicieron Flame seguro que están interesados en algo así para ownear el mundo.

Saludos!

Anónimo dijo...

Llego tarde a este hilo pero no me he resistido a comentar algo que me parece genial de tu parte:

"...el objetivo de esta tecnología es acabar con los bootkits y no evitar que un usuario se pueda instalar Linux"

Es normal que MS viva pendiente de sus intereses, pero que además con esta tecnología jode a Linux, vamos, que no me creo yo que no es una jugada pensada, no un efecto colateral.

Parece que ha salido de MS firmar el pre-loader, y además se lo pone /*mode ironic on*/ super sencillo, con procedimiento de eso típicos de MS de siguiente, siguiente a un usuario poco técnico/*mode ironic off*/.

Claro, claro, son buenísmos estos de MS que se preocupan competencia, pero en realidad ahí está la preocupación, que no le vuelvan a poner un puro por prácticas antimonotpolio, el verdadero motivo es ese, sino hubieran saca la firma tiempo ha.

Cada uno lo suyo, pero esto es como algunos en la tele que dicen que los jóvenens se van en busca de aventura.

Chema, ¿tú también eres político?

Maligno dijo...

@anonimo /*mode ironic on*/ claro, claro, lo que tú digas... /*mode ironic off*/.

Y te recuerdo que el que quiera Linux y sepa usarlo un poco sabe también que tiene que comprarse un equipo en el que se pueda deshabilitar Secure Boot a gusto o que permita su configuración con nuevas firmas... o...

...comprarse un PC con Linux o sin SO, que yo los compro así..

/*mode ironic on*/ Saludos! /*mode ironic off*/

Anónimo dijo...

Microsoft desde hace varios años ha obligaado a los fabricantes de computadoras y en otras hasta de smartphones a utilizar sus Windows, ahora al no quejarnos tiene toda la facilidad de metenos UEFI para que solo Windows 8 sea el unico en el mercado, reciemtemente vi que Microsof dice se acaba el soporte para XP, yo se lo aplaudo mejoremos XP en comunidad no tomes en cuenta SP3 para XP porque debe traer muchas limitantes tampoco hagas caso a que es inseguro en eso se basa la campaña del miedo para meter UEFI y varios antivirus que atacan los virus creados por las empresas de antivirus por fortuna Linux no les sigui el juego, debemos ser tan libres de elegir el sistema operativo y cambiar cualquier configuracion que deseemos no compres maquinas que no se les pueda quitaar o desactivar UEFI.

Daniel Roman dijo...

No me resisto a cometar varias cosas:

"Microsoft desde hace varios años ha obligaado a los fabricantes de computadoras y en otras hasta de smartphones a utilizar sus Windows"

Increible, creo que me he pasado una vida viviendo en un mundo diferente al resto.

Ya en mi 386sx utilizaba DR-DOS en lugar de MS-DOS, podía, si quería, utilizar OS/2 en lugar de Windows 3.1 y un día me dejaron un diskette (maldito dia) con algo llamado Linux... que cosas, nunca ví el logo de Microsoft en los que me procuraban software para mi PC.

Me compré un portatil hace años y mira tú por donde venía con Windows XP... pero fué poner el disco de Debian... y se fué, como Laura, sin pegas, sin problemas.

Si ahora me tengo que comprar un portatil, tengo que andar con cuidado de que no tenga el secure boot, pero... ¿y si directamente compro un DELL que viene con Ubuntu pre-instalado? Luego le podré meter mi Debian y listos.

No sé, precisamente, creo que los "afortunados" usuarios de PC tenemos muchas elecciones que hacer, pero no me siento obligado como los AppleFans :).

Por mi parte utilizo Debian en casa para trastear y Windows 8.1 para trabajar y "disfrutar" de los juegos.

Yo, por mi parte, creo que le debemos muchas cosas a Microsoft, algunas muy importantes y otras no tanto... aunque en la penúltima versión de OSX hayan descubierto el botón "maximizar..."

En fín, para gustos los colores ¿no?


Un fanático de la versatilidad de Linux, el diseño de Apple y la funcionalidad de Windows.

Entradas populares