Usuario: Contraseña:      ¿Olvidó la clave?   registrar
Actualidad : UEFI "Secure Boot" y Microsoft Windows 8: Cuando tu ordenador ya no es tuyo
Enviado por Anonimo el 12/11/2011 6:00:00 (1971 Lecturas) Artículos del mismo redactor

UEFI "Secure Boot" y Microsoft Windows 8: Cuando tu ordenador ya no es tuyo

Open in new window
No hace mucho que salío la noticia del acuerdo entre Microsoft y los fabricantes de computadoras para habilitar de forma predeterminada el “Booteo Seguro” impidiendo así arrancar y por lo tanto instalar un sistema operativo no firmado por el mismísimo Microsoft.
Microsoft a pesar de haber aclarado que permitirá que los fabricantes implementen alguna opción para desactivar esta característica, son muchas las personas escépticas (entre esas personas, yo), en que los fabricantes den realmente esta libertad.

Por ello la FSF se a puesto en campaña para asegurarse de que todos los fabricantes de computadoras den la opción de desactivar el “Secure Boot”.



[más información en el interior de la noticia]

Comunicado de FSF.org
Microsoft ha anunciado que si los fabricantes de computadoras desean distribuir las máquinas con el logotipo de compatibilidad con Windows 8, tendrá que aplicar una medida llamada "Arranque Seguro" (Secure Boot). Arranque Seguro está diseñado para proteger contra malware previniendo que las computadoras carguen programas binarios no autorizados en el arranque. En la práctica, esto significa que los equipos que implenten esta característica no podrán arrancar sistemas operativos no autorizados -- incluyendo los sistemas inicialmente autorizados que han sido modificados sin ser aprobado de nuevo.

Esto podría ser una característica, siempre y cuando el usuario está en condiciones de autorizar los programas que quiere usar, por lo que puede ejecutar el Software Libre escrito y modificado por el mismo o las personas de su confianza. Sin embargo, nos preocupa que Microsoft y los fabricantes de hardware incorporen el llamado Arranque Seguro de una manera que los usuarios no podrán iniciar algo que no sea Windows. En este caso, el requisito es una restricción en el usuario, no una característica de seguridad en absoluto.

La posible necesidad del arranque restringido viene como parte de una especificación denominada Interfaz Extensible del Firmware y Unificada (Unified Extensible Firmware Interface, UEFI), que define una interfaz entre el hardware y el software que se ejecuta. Es un software que permite al equipo arrancar, y que está destinado a sustituir la tradicional BIOS. La mayoría de las computadoras como Lenovo, HP, y Dell se distribuyen con UEFI, y otros fabricantes no se quedan atrás. Todos los ordenadores de Apple vienen con EFI y componentes de UEFI. Al arrancar, este software se inicia en conjunto, utilizando un protocolo de autenticación de clave pública basado ​​en criptografía, el cual puede comprobar el kernel del sistema operativo y otros componentes para asegurarse de que no se han modificado de manera no autorizada. Si los componentes dan error en la comprobación, el equipo no arranca.

La amenaza no es la especificación UEFI sí mismo, sino en cómo los fabricantes de ordenadores optarán por aplicar las restricciones de arranque. Dependiendo de la implementación de un fabricante, que podría bloquear los usuarios de sus propios equipos, evitando que nunca puedan arrancar o instalar de un sistema operativo de Software Libre.

Es esencial que los fabricantes implementen UEFI de la manera correcta. Para respetar la libertad del usuario y realmente proteger su seguridad, o bien debe permitir a los propietarios de ordenadores desactivar la restricción de arranque, o proporcionar una manera segura para que ellos puedan instalar y ejecutar un sistema operativo de Software Libre de su elección. Los propietarios de ordenadores no estarán obligados a solicitar la autorización externa para el ejercicio de sus libertades.

La alternativa es aterradora e inaceptable: los usuarios tendrán que ir a través de medidas complicadas y riesgosas para eludir las restricciones, la tendencia popular de revivir el hardware viejo con GNU/Linux llegará a su fin, causando que más hardware sea desechado como basura, y las compañias de Software Privativo podrían ganar una ventaja gigante sobre el movimiento del Software Libre, debido a sus conexiones con los fabricantes.

Estaremos siguiendo de cerca la evolución en esta área, y realizando una activa campaña para asegurarnos de proteger esta importante libertad. Nuestro primer paso es demostrar que la gente valora esa libertad, y no comprar o recomendar los equipos que intentan restringirla.



UEFI y Windows 8
El nuevo Caballo de Troya de Microsoft para zancadillear a la competencia se llama UEFI (Unified Extensible Firmware Interface) y, en combinación con Windows 8, podría cerrar toda una generación de hardware a cualquier otro sistema operativo.

En una presentación difundida a los medios firmada por Arie van der Hoeven [1], Director de programación en Microsoft, se revela que, para que los fabricantes puedan etiquetar su hardware con el logo de “Windows 8”, tendrán que implementar el “arranque seguro” UEFI, que exige que el sistema operativo y sus drivers estén firmados digitalmente y que dicha firma case con el embebido en el firmware de la máquina.

La razón oficial para esta medida es la de siempre: proteger a los usuarios de sí mismos, impidiendo que instalen versiones “contaminadas” de Windows (oficialmente con malware, oficiosamente piratas o no autorizados). Pero quien dice “malware” también dice “Linux”, ya que según reveló Matthew Garrett ¿qué pasa con cualquier sistema operativo que no sea un Windows 8 firmado? En dos palabras: no funcionará [2] [3].

Los usuarios de Linux descubrirán una nueva y sublime tortura cortesía del monopolista de no sólo tener que pagar el impuesto Microsoft en el 99% de las máquinas, sino de que el hardware tampoco quiere Linux.
Según una entrada firmada por Tony Mangefeste en el blog “Building Windows 8” [4], se comenta que los fabricantes de hardware pueden desactivar si lo desean el arranque seguro y Windows 8 seguirá funcionando, pero en ese caso no podrán poner la pegatina, lo que sin duda afectará a sus ventas. También indican que se puede incluir en la configuración del firmware una opción para que sea el usuario quien pueda desactivarlo.

Dos problemas con esto: Primero ¿De verdad se van a arriesgar los fabricantes a incluir esta opción en sus firmwares para satisfacer lo que puede que represente menos del 10% de su clientela, y quizás perder el derecho de estar en el programa Windows Certificate y la pegatina correspondiente? Y, segundo: Un ordenador pasa por muchas manos antes de llegar al usuario final… ¿Qué tipo de sistema de seguridad permite que cualquiera, sea el dueño del aparato o no, lo desactive? Es igualmente poco realista suponer que los fabricantes van a emitir firmas para todas las distros y drivers que se lo pidan. Aparte de la pesadilla logística que supondría, sería a efectos prácticos hacer pública la clave secreta, abriendo la puerta al malware. Asimismo, cualquier modificación al kernel o los drivers, sea por parte de los distribuidores de la distro o del usuario final (es todo software libre después de todo), invalidaría la firma y bloquearía la máquina. En el momento de escribir estas líneas no hay una buena solución al problema, y todo apunta a que, a pesar de las razones oficiales, Microsoft esté buscando de nuevo ejercer un control excesivo sobre el hardware, por un lado, y por otro, bloquear a potenciales competidores.


RECURSOS

[1] Presentación que desencadenó la
controversia (visible con Impress):
http:// video. ch9. ms/ build/ 2011/ slides/
HW-457T_van_der_Hoeven. pptx

[2] Michael Garret señala los problemas
del arranque seguro para usuarios
de Linux http:// mjg59. dreamwidth.
org/ 5552. html

[3] Michael Garret indica los fallos en la
respuesta de Microsoft al problema:
http:// mjg59. dreamwidth. org/ 5850.
html

[4] Protección del entorno pre-SO con
UEFI; http:// blogs. msdn. com/ b/ b8/
archive/ 2011/ 09/ 22/ protecting- thepre- os- environment- with-uefi. aspx

[5] Análisis de Joe “Zonker” Brockmeier, colaborador de Linux Magazine: http:// www. readwriteweb. com/
hack/ 2011/ 09/ microsofts-nonresponse-to-the. php

Valoración: 10.00 (3 votos) - Valorar artículo -


Otros artículos
20/10/2017 14:10:00 - Adiós y gracias, Jesús.
24/2/2015 11:39:09 - CANALBoinc: 700 años de lucha contra el cáncer
18/12/2014 14:43:31 - 25.000 Millones para CANALBoinc
24/11/2014 13:00:00 - 10.000 Millones para CANALBoinc
11/11/2014 12:00:00 - Aniversario de Aficca y CANALBoinc

Los usuarios son responsables de sus propios comentarios.
 

CANAL@Boinc 1997-2008  |  Diseño Rafa Hens sobre idea original de Fran | Reservados todos los derechos