Bueno, esa es una de las razones por las que UEFI apesta. En teoría (y no me malinterpretes: nadie serio en la sección nunca creyó que esto funcionaría en RL) el arranque seguro y los controladores firmados deberían evitar que se instale "malware". Pero bueno: los robos se roban y se encuentran las vulnerabilidades . Ya ha habido muchos artículos sobre ese tema. Este controlador que firma BS es más como un argumento de vendedor de los proveedores de UEFI en caso de que alguien pregunte (como acaba de hacer). La historia es la siguiente: Vendedor: "sí, somos conscientes de los riesgos y estamos haciendo algo de magia que evita eso. Ahora no soy un técnico, pero nuestros expertos dicen que funciona. 100%". Silencio. Todo el mundo en el consejo de administración asiente con la cabeza en señal de aprobación, el chico de IT-sec salta por la ventana.
Ahora, mientras estoy atacando a UEFI, no olvidemos que mucho antes de UEFI ha habido (muchos) proveedores que le permitieron actualizar su BIOS desde dentro del sistema operativo (muy común en el mercado de servidores / empresas, pero lo he visto en la placa base de usuario final de gama alta (serie ASUS WS PRO) también. Lo hicieron construyendo chips e interfaces propietarios. Así que este no es un problema completamente nuevo con UEFI y se podría argumentar que UEFI lo hizo mejor porque al menos ahora tenemos una forma estándar de solucionar todo. También se podría argumentar que ahora no tiene que aplicar ingeniería inversa a TODAS las placas principales porque todos están utilizando las mismas vulnerabilidades conocidas. También se podría decir que UEFI lo empeoró debido a la complejidad innecesaria, agregando características a un cargador de arranque que nadie había pedido, lo que aumenta la posibilidad de errores en la implementación.
Dicho esto, tenga en cuenta que hay esfuerzos para hacer las cosas mejor. Pero, lamentablemente, aún no he tenido tiempo de profundizar en qué es lo que mejor hacen esas alternativas (¿tal vez alguien más sabio puede explicar este tema?) Y, como ocurre a menudo en la historia de la tecnología, incluso si esos enfoques fueran mejores que los de UEFI tiene que ofrecer que probablemente siempre vivan a la sombra de la basura que la industria ha elegido (UEFI). Entonces, hasta que la primera planta de energía nuclear explote y la gente muera, supongo que tendremos que vivir con UEFI (y aún así no estoy seguro de que algo cambie en lo que respecta a la seguridad de TI).
Ah, y porque preguntaste: no, no hay nada que puedas hacer para evitar que el malware realice tal ataque. Además de instalar algo más, entonces UEFI (con potencialmente otros riesgos y vulnerabilidades). No estoy seguro de posibles "modificaciones de hardware" que impidan el acceso de escritura al entorno UEFI. pero si hay una forma, probablemente será muy específica del hardware y probablemente no sea fácil de hacer bricolaje.
Pero déjame decirte: si entras en pánico al saber esto ahora mejor no eches un vistazo a lo que hizo Intel con AMT (sugerencia: AMD tiene una BS similar). Y no: tampoco puedes apagar esa mierda.