Estoy buscando formas de fortalecer la seguridad de una computadora. Una de las cosas es la BIOS.
¿La adición de una contraseña al BIOS evita que el malware lo infecte?
He visto este artículo: Protegiendo el BIOS del malware pero no menciona las contraseñas.
Cualquier información sobre esto es muy apreciada.
Absolutamente no. La contraseña del BIOS es solo un mecanismo de autenticación que se presenta cuando se inicia el sistema o cuando se realiza un cambio manual a la configuración durante el inicio. El malware que sobrescribe el BIOS normalmente lo hace escribiendo sobre SPI, la interfaz en la que reside el BIOS. Si el malware tiene suficientes privilegios para escribir en SPI, y su BIOS no establece los bits de bloqueo adecuados que deniegan el acceso a esta interfaz en el tiempo de ejecución, entonces se termina el juego. El contenido de su chip flash BIOS se puede modificar completamente, incluido el contenido que ejecuta el código de autenticación de contraseña.
Las dos únicas formas de garantizar que el malware no pueda sobrescribir el BIOS son:
a) Tenga un BIOS que configure correctamente todos los bits de bloqueo en el arranque, y la única manera de asegurarse de eso es usar el chipsec framework y entienden los resultados que da
B) Use un sistema que admita BootGuard , una función de Intel en algunas CPU más nuevas que hace que el chipset verifique la El BIOS en sí mismo antes de cargarlo, asegurando que solo se puede iniciar desde un BIOS firmado con una clave de firma OEM. Esto debería evitar que se ejecuten BIOS maliciosos (así como BIOS de terceros de fuente abierta como Coreboot y Libreboot).
Las contraseñas de BIOS no ofrecen ninguna protección contra virus. Es solo para desacelerar a las personas que intentan usar su computadora sin su permiso. La mayoría de las computadoras tienen un puente de "omisión de contraseña de BIOS" o "restablecimiento de contraseña de BIOS" en algún lugar, por lo que no es tan seguro Podría ralentizar a alguien tal vez 5 minutos.
La recomendación general es obtener un buen programa antivirus y dejar que acapare tu cpu en segundo plano. Eso no es lo que hago. El problema con los programas antivirus es que generalmente no son buenos para los virus que no están en su base de datos. Del mismo modo, cuando sale uno nuevo, varios miles de personas generalmente se infectan hasta que los antivirus pueden actualizar su base de datos. Entonces no me hagas empezar a mutar los virus.
Lo más sencillo para hacer que los virus infecten tu computadora es muy difícil, es crear un usuario con privilegios limitados y usarlo, en lugar de admin. De esa manera, si te engañan para que cargue un virus, no tiene el privilegio del sistema suficiente para hacer ningún daño real. Simplemente no permita que lo pongan en contacto con usted para ingresar la contraseña de administrador cuando realmente no estaba haciendo nada que lo exigiera.
La respuesta corta es no. La configuración de una contraseña en el BIOS protegerá su computadora del acceso físico ( Aunque es posible que también se pueda omitir ).
Para protegerme contra la infección de malware, sugiero dos cosas:
Instale un antivirus y manténgalo actualizado
Configure una solución de respaldo para hacer una copia de seguridad de sus datos diariamente (esto le ayudará a recuperarse rápidamente en caso de que tenga una infección que su AV no pueda prevenir)
Cualquier mecanismo (por ejemplo, puentes de la placa base en ciertas plataformas, Dual Bios controlado por puente ...) que sería capaz, cuando esté habilitado, de hacer que una herramienta de actualización de Windows o BIOS basada en DOS falle o no tenga un valor irreversible El efecto ayudará. Cualquier otra cosa no lo hará.
No, las contraseñas de la BIOS no protegen la BIOS del malware. Solo son un mecanismo de autenticación para evitar el acceso físico no autorizado al BIOS. Pero no son muy seguros, incluso para ese propósito.
Para evitar que la BIOS se infecte con un malware, la opción más fácil es usar un buen antivirus actualizado.
Otras opciones que son más caras son usar un sistema que pueda verificar la integridad de la BIOS como la función BootGuard de Intel o actualizar a un sistema con firmware UEFI en lugar de BIOS, lo que brinda una mejor seguridad de firmware.
Puede leer más sobre la seguridad UEFI frente a la seguridad del BIOS aquí: enlace