Nel 2012, in risposta alla crescente minaccia dei malware in grado di infettare il BIOS, è stato introdotto Secure Boot, un sistema che verifica digitalmente la firma di ogni componente software caricato durante l’avvio. Questa misura di sicurezza, integrata nel firmware UEFI, è stata considerata un passo avanti significativo nella protezione dei dispositivi.
La causa di questa nuova, ennesima criticità risiede nella compromissione di una chiave crittografica fondamentale per il funzionamento di Secure Boot, chiamata “chiave di piattaforma”, trovata in una repository pubblica su GitHub. Ciò permette a chiunque di accedere e utilizzarla per bypassare le protezioni di Secure Boot.
Cos’è Secure Boot ?
Secure Boot è una funzione di sicurezza implementata nel firmware UEFI (Unified Extensible Firmware Interface) che serve a garantire che il sistema operi solo con software affidabile e autorizzato. È progettato per impedire che software dannoso, come rootkit e bootkit, possa eseguire codice durante il processo di avvio del sistema operativo.
Come Funziona Secure Boot
- Firma Digitale:
- Il firmware UEFI controlla la firma digitale di ogni componente del software che viene caricato durante l’avvio, inclusi il bootloader, il kernel del sistema operativo e i driver del dispositivo.
- Chiavi di Certificazione:
- Secure Boot utilizza una serie di chiavi di certificazione per validare la firma digitale del software. Queste chiavi sono memorizzate nel firmware UEFI:
- Platform Key (PK): La chiave di piattaforma che controlla l’aggiornamento delle chiavi di sicurezza UEFI.
- Key Exchange Key (KEK): Chiave usata per aggiornare i database di firma.
- Database delle firme consentite (db): Contiene le firme digitali dei software autorizzati.
- Database delle firme negate (dbx): Contiene le firme digitali dei software non autorizzati.
- Processo di Verifica:
- Quando il computer si avvia, Secure Boot verifica la firma digitale del bootloader contro il database delle firme consentite.
- Se la firma è valida e autorizzata, il processo di avvio continua.
- Se la firma non è valida o è nel database delle firme negate, l’avvio viene bloccato, prevenendo l’esecuzione di software non autorizzato.
Benefici di Secure Boot
- Protezione contro malware: Blocca l’avvio di software dannoso che potrebbe compromettere il sistema operativo.
- Integrità del sistema: Garantisce che solo software certificato e verificato venga eseguito durante l’avvio.
- Affidabilità: Aumenta la sicurezza complessiva del sistema proteggendo il processo di avvio.
Limitazioni e Considerazioni
- Compatibilità: Alcuni sistemi operativi e software potrebbero non essere compatibili con Secure Boot se non firmati correttamente.
- Gestione delle Chiavi: La gestione delle chiavi di certificazione può essere complessa, soprattutto per gli utenti meno esperti.
- Disabilitazione: In alcuni casi, potrebbe essere necessario disabilitare Secure Boot per installare sistemi operativi o software non firmati. Tuttavia, questo riduce il livello di sicurezza del sistema.
Disabilitare Secure Boot
Se è necessario disabilitare Secure Boot, ad esempio per installare un sistema operativo non firmato, ecco una procedura generica (varia leggermente a seconda del produttore del firmware UEFI):
- Accedere al BIOS/UEFI:
- Riavviare il computer e premere il tasto appropriato (spesso
F2,DEL,ESC, oF10) per entrare nelle impostazioni del BIOS/UEFI.
- Navigare alle Impostazioni di Secure Boot:
- Cercare un’opzione come “Secure Boot”, solitamente sotto un menu di sicurezza o di avvio.
- Disabilitare Secure Boot:
- Cambiare l’impostazione di Secure Boot su
Disabled.
- Salvare e Uscire:
- Salvare le modifiche e uscire dal BIOS/UEFI. Il sistema si riavvierà con Secure Boot disabilitato.
Conclusione
Secure Boot è una tecnologia cruciale per la sicurezza dei moderni sistemi informatici, che protegge l’integrità del processo di avvio e previene l’esecuzione di software dannoso. Tuttavia, richiede una gestione attenta delle chiavi di certificazione e può presentare problemi di compatibilità con alcuni software o sistemi operativi.
E la soluzione non sarà ovviamente praticabile su tutto l’Universo sterminato dei computer di ogni tipo e foggia presenti in questo mondo sempre più allo sbando.
