Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

martes, 2 de abril de 2013

MS Windows 8 - Soporte UEFI


Introducción
Al estrenar mi nueva Lenovo T430u, detecto que soporta UEFI. Bien, ya viene con MS Windows 8 preinstalado, analizaremos esta nueva característica de hardware.


¿Cómo detectar que el equipo soporta UEFI?
Cuando ingresamos a la BIOS del equipo observamos que la característica UEFI está activada. (Esto puede diferir un poco, depende de la marca del equipo).


 

¿Qué significa UEFI?
UEFI es el acrónimo de Unified Extensible Firmware Interface. Es una especificación diseñada por Intel, que reemplaza a la vieja BIOS (Basic Input-Output System). Esta nueva forma de arranque del equipo tiene elementos nuevos en el arranque de la plataforma (hardware y su firmware). Windows 8 da soporte a UEFI para alcanzar tiempos de arranque muy cortos. Pensando que el arranque era muy rápido por el disco de estado sólido, en realidad UEFI brinda un soporte importante en el arranque del equipo, que una vez iniciado el mismo, inmediatamente nos está pidiendo el usuario y la contraseña.
 
UEFI define la interfaz de firmware de la siguiente generación de ordenadores personales. El Sistema Básico de Entrada y Salida (BIOS) del firmware, originalmente escrito en assembler y el uso de interrupciones de software para E / S, ha definido el ecosistema PC desde sus inicios - pero los cambios en el panorama de la computación han allanado el camino para un "firmware moderno", definición para dar paso a la nueva generación de tablets y dispositivos.

La integridad de la arquitectura de la plataforma de Microsoft crea una raíz de confianza con el firmware de la plataforma con el arranque de UEFI seguro y los certificados almacenados en el firmware. Una tendencia creciente en la evolución de las hazañas de malware se dirige a la ruta de inicio como un vector de ataque preferido. Esta clase de ataque ha sido difícil de evitar, ya que los productos antimalware pueden ser desactivados por el software malicioso que les impide que se carguen por completo. Con Windows 8 de arquitectura de arranque seguro y la creación de una base de confianza, el cliente está protegido contra código malicioso que se ejecuta en la ruta de inicio, asegurando que sólo firmando con el certificado como "bueno conocido", código y gestores de arranque puede ejecutar antes de que el sistema operativo se cargue.

Boot Seguro
UEFI tiene un proceso de validación de firmware, llamado arranque seguro, que se define en el capítulo 27 de la especificación UEFI 2.3.1. Secure Boot define cómo firmware de la plataforma la que gestiona los certificados de seguridad, validación de firmware y una definición de la interfaz (protocolo) entre el firmware y el sistema operativo.



 
En la arquitectura de la plataforma de Microsoft, se crea una raíz de confianza con firmware de la plataforma con el arranque de UEFI seguro y los certificados almacenados en el firmware. Una tendencia creciente en la evolución de las hazañas de malware se dirige a la ruta de inicio como un vector de ataque preferido. Esta clase de ataque ha sido difícil de evitar, ya que los productos antimalware pueden ser desactivado por el software malicioso que les impide que se carguen por completo.


Cómo funciona?
En el encendido de un PC se inicia el proceso de ejecutar el código que configura el procesador, la memoria y dispositivos periféricos de hardware en preparación para el sistema operativo. Este proceso es consistente a través de todas las plataformas, independientemente de las arquitecturas de silicio subyacentes (x86, ARM, etc.)

Poco después de que el sistema está encendido, y antes de traspaso al cargador del sistema operativo, el firmware verificará la firma del código de firmware que existe en el hardware periférico, como tarjetas de red, dispositivos de almacenamiento o tarjetas de vídeo. Este código de dispositivo, llamado ROM Options, continuará el proceso de configuración, garantizando que el periférico está preparado para el traspaso al sistema operativo.

Durante esta parte del proceso de arranque de firmware si existe otra firma incrustada dentro del módulo de firmware, al igual que una aplicación, y si esa firma coincide en contra de una base de datos de firmas de firmware, se deja de ejecutar. Estas firmas se almacenan en bases de datos en el firmware. Estas bases de datos son las listas "permitido" y "No permitido" que determinan si el proceso de arranque puede continuar.

Resumen
Lo interesante de esta funcionalidad, es que al estar activada no estamos protegiendo de los malware que modifican los sectores de arranque y que de alguna manera toman posesión de los S.O al inicio. Para aquellos que disponen de esta funcionalidad, se las recomiendo. Otra ventaja que posee, es que si sacan el disco y lo quieren iniciar desde otro equipo, no van a poder, porque aunque tenga la funcionalidad UEFI activada, los certificados generados por el S.O no van a servir.

 

Hasta la próxima!

 

Les dejo link útiles
UEFI Site http://www.uefi.org

Protecting the pre-OS environment with UEFI http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

 

No hay comentarios.: