Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Secure Boot: ¿Seguridad o Control?
#1
Hace unos años, en su empeño de limitar la libre opción de sistema operativo por parte del usuario y con la excusa de la seguridad (y gracias a su fuerte influencia / coacción sobre los fabricantes), Microsoft obligó a introducir Secure Boot en los sistemas UEFI (interfaz entre el sistema operativo y el firmware que gestiona el arranque del sistema), suscesores del clásico BIOS.

Como parte integrante del UEFI, la función de Secure Boot (arranque seguro) consiste en impedir la ejecución de cualquier software no firmado y certificado por el fabricante del equipo. Resulta que este sistema de control necesita una clave certificada para su bootloader y para poder ejecutar un sistema operativo, clave que en principio solo podía proporcionar Microsoft.

Esto es, Secure Boot bloquea el proceso de arranque del PC si el software "no es de fiar" en base al criterio de Microsoft (que ya le dice a los fabricantes lo que es de fiar y lo que no). Claro, esto deja fuera de juego la posibilidad de instalar sistemas no certificados como pueden ser muchas distribuciones linux.

Pero más que una función de seguridad, parece que Microsoft había implantado una barrera de control, un zancadillazo a cualquier otro sistema en PC que no sea el suyo propio, porque si nos preguntamos quién firma todos los bootloaders validados para UEFI, encontramos que Microsoft es la autoridad central para emitir esos certificados: La idea original era poner un candado y quedarse con la única llave (digital).

Y encima nos lo presentan como una solución consensuada por toda la industria para nuestra seguridad, cuando realmente es una estrategia comercial propietaria (muy lejos de lo que se entiende por un estándar abierto y consensuado) que busca aumentar su posicición de dominio en el mercado.

Esto no supondría mayor problema si el usuario pudiera elegir desactivarlo desde el panel de control de la BIOS/UEFI BIOS (lo que no deja de ser un problema para muchos usuarios sin los conocimientos suficientes) según si considera necesario tener la posibilidad de instalar software no firmado o no. Es una decisión que el usuario debería poder tomar (y debería poder ejercer fácilmente, sin trabas técnicas), y en ningún momento se le debe obligar a aceptarlo sin más puesto que el usuario es quien debe marcar libremente los límites de su seguridad.

Así, si un usuario quiere un sistema de arranque dual con Windows (que requiere el UEFI activado) junto a otro sistema elegido libremente, puede encontrarse con complicaciones puntuales (aunque los últimos lanzamientos de las distribuciones GNU/Linux más populares ya soportan el Secure Boot), trabas que pueden llegar a desanimar a muchos usuarios a instalar sistemas operativos alternativos.

Pero otros usuarios resuelven esta situación sin complicarse la vida: directamente desactivan esta opción a costa de perder un sistema operativo que han pagado (en la mayoría de ocasiones se han visto obligados a comprarlo cuando solo querían comprar un equipo informático) para centrarse únicamente en una distribución linux "insegura" (llámame loco).


Entonces, si queréis tener la libertad de instalar prácticamente lo que queráis en vuestro ordenador, que para eso lo habéis comprado con vuestro dinero, lo mejor es desactivar el Secure Boot entrando en la UEFI. Básicamente hay dos maneras de acceder (para más detalles, encontrarás muchos resultados en la red):
  • Reiniciando el ordenador y pulsando la tecla «F2» antes de acceder a la pantalla de bloqueo, aunque este método no es aplicable a todos los equipos ya que depende de cada fabricante.
  • Desde Windows, mediante el apartado de «Configuración». Desde allí tenemos que llegar a «Inicio Avanzado» (según el equipo, puede variar la ruta para hacerlo y tendremos que pasar por «Actualización y seguridad» y «Recuperación», o bien por «Uso General») y desde allí seleccionar «Reiniciar» para acceder a otro menú donde seleccionamos «Solucionar problemas» / «Opciones Avanzadas» / «Configuración de UEFI» y el equipo se reiniciará entrando en la UEFI / BIOS.
Una vez dentro de la BIOS, dependiendo del equipo, podemos desactivar Secure Boot bien en Security o en System Configuration --> Boot Options. Recuerda guardar los cambios que realices antes de salir.

En definitiva, para quienes solo utilizan Linux es relativamente sencillo desactivar UEFI desde la BIOS. Por tanto, en estos casos esta herramienta de control / seguridad conlleva un efecto no deseado para Microsoft: fomenta la desinstalación de Windows en algunos usuarios.

Quizá como consecuencia directa de esto, recientemente se han producido dos hechos importantes:
  1. La opción de desactivar Secure Boot queda a discreción del fabricante del equipo informático. Desde Windows 10 algunos fabricantes de ordenadores son los que deciden (bueno, ellos deciden lo que Microsoft decide que decidan) si permiten desactivar o no el arranque seguro. Así, lo que debía ser una elección del usuario, el permitir o no la desactivación de esta característica desde el menú de arranque, ha dejado de estar disponible en muchos equipos y ha pasado a ser una imposición de Microsoft a través de su control sobre los fabricantes. ¿Y con qué excusa bloquea la configuración de UEFI un fabricante? ¿la seguridad o el control? Aunque aparte de la gran presión de Microsoft, también puede haber un interés para ellos: un soporte técnico más controlado al eliminar la posibilidad de instalaciones de sistemas alternativos.
  2. Y por otra parte, recientemente se ha publicado que Microsoft filtra "por error" la clave maestra que permite saltarse Secure Boot. En las redes ha saltado rápidamente un titular alternativo: Rápidamente Microsoft vuelve a incentivar la piratería de su sistema operativo para no desaparecer. En principio, esta llave maestra permitirá (a partir de Windows 8.1) instalar cualquier sistema operativo (incluso versiones piratas de Windows) sin desactivar Secure Boot, por lo que los usuarios que antes desinstalaban Windows para quedarse únicamente con otro sistema alternativo, ahora podrán gestionar más facilmente un sistema de arranque dual.

Por ello, antes de comprar un nuevo ordenador, es conveniente conocer primero si el equipo que nos interesa permite desactivar esta opción por si pensamos (ahora o la posibilidad de hacerlo en un futuro) instalar otro sistema operativo como GNU/Linux. Pero eso quizá no es suficiente porque pueden implantar esta opción para que aparezca posteriormente tras una actualización de firmware.

Por todo esto la mejor recomendación es comprar directamente un ordenador sin ese tipo de limitaciones, esto es, sin Windows. Aunque a veces comprar un ordenador sin bicho no es tarea fácil por la posición abusiva (por dominante y ventajosa) de Microsoft sobre los clientes y los fabricantes, con la que consigue vendernos un sistema operativo cuando solo queremos comprar un ordenador. En España algunas alternativas son: Slimbook, Tienda on-line de Vant, Pc Ubuntu, y Mountain.

Porque una cosa es que los fabricantes vendan sus equipos certificados para ser usados con Windows, lo que es totalmente legítimo, pero ahora han pasado del abuso de obligarnos a comprar junto al equipo informático un sistema operativo que no queremos, al atropello de impedir directamente que lo usemos con el sistema operativo de nuestra elección. ¿Seguridad o control?

Fuente: Secure Boot: ¿Seguridad o Control?
#2
Interesante si no me equivoco algunos smarthphones tambien tienen este problema.
[Imagen: paqG8L9.jpg]
#3
En ordenadores de sobremesa nunca me he encontrado con ese problema. En portatiles sí, por ejemplo, en marcas como Acer o Asus.
#4
Interesante, no conocia esa limitación de windows
[Imagen: cba745de401dd4ca4069d42828120f60o.png]
WWW
#5
Gracias, tio yo tampoco sabia esa informacio, nunca me habia parado a pensarlo.
#6
Saluds !!   hace uns 13 añs cuando un servidor estudiaba el bachiller;  un ingeniero que impartia una asignatura de programacion decia "JOVENES WINDOWS NO ES MAS QUE UN GRAN Y VIRUZ COMERCIAL"... Recuerdo que nos invitaba a usar  Linux el cual en ese entoncs no era tan conocido... Pasados los años medito y me doy cuenta que la palabra viruz no era por decir que fuera un  software malicioso, sino que la compañia es la malisiosa y sus praticas monopolicas  son las que realmente son maliciosas...

Esto repito se decia hace 13 años y no tardamos mucho en verlo hecho realidad!!! por eso  Linux esta creciendo tanto!!  mal por microsoft!!
WWW
#7
(01-09-2016, 05:17 PM)Posits escribió: Hace unos años, en su empeño de limitar la libre opción de sistema operativo por parte del usuario y con la excusa de la seguridad (y gracias a su fuerte influencia / coacción sobre los fabricantes), Microsoft obligó a introducir Secure Boot en los sistemas UEFI (interfaz entre el sistema operativo y el firmware que gestiona el arranque del sistema), suscesores del clásico BIOS.

Como parte integrante del UEFI, la función de Secure Boot (arranque seguro) consiste en impedir la ejecución de cualquier software no firmado y certificado por el fabricante del equipo. Resulta que este sistema de control necesita una clave certificada para su bootloader y para poder ejecutar un sistema operativo, clave que en principio solo podía proporcionar Microsoft.

Esto es, Secure Boot bloquea el proceso de arranque del PC si el software "no es de fiar" en base al criterio de Microsoft (que ya le dice a los fabricantes lo que es de fiar y lo que no). Claro, esto deja fuera de juego la posibilidad de instalar sistemas no certificados como pueden ser muchas distribuciones linux.

Pero más que una función de seguridad, parece que Microsoft había implantado una barrera de control, un zancadillazo a cualquier otro sistema en PC que no sea el suyo propio, porque si nos preguntamos quién firma todos los bootloaders validados para UEFI, encontramos que Microsoft es la autoridad central para emitir esos certificados: La idea original era poner un candado y quedarse con la única llave (digital).

Y encima nos lo presentan como una solución consensuada por toda la industria para nuestra seguridad, cuando realmente es una estrategia comercial propietaria (muy lejos de lo que se entiende por un estándar abierto y consensuado) que busca aumentar su posicición de dominio en el mercado.

Esto no supondría mayor problema si el usuario pudiera elegir desactivarlo desde el panel de control de la BIOS/UEFI BIOS (lo que no deja de ser un problema para muchos usuarios sin los conocimientos suficientes) según si considera necesario tener la posibilidad de instalar software no firmado o no. Es una decisión que el usuario debería poder tomar (y debería poder ejercer fácilmente, sin trabas técnicas), y en ningún momento se le debe obligar a aceptarlo sin más puesto que el usuario es quien debe marcar libremente los límites de su seguridad.

Así, si un usuario quiere un sistema de arranque dual con Windows (que requiere el UEFI activado) junto a otro sistema elegido libremente, puede encontrarse con complicaciones puntuales (aunque los últimos lanzamientos de las distribuciones GNU/Linux más populares ya soportan el Secure Boot), trabas que pueden llegar a desanimar a muchos usuarios a instalar sistemas operativos alternativos.

Pero otros usuarios resuelven esta situación sin complicarse la vida: directamente desactivan esta opción a costa de perder un sistema operativo que han pagado (en la mayoría de ocasiones se han visto obligados a comprarlo cuando solo querían comprar un equipo informático) para centrarse únicamente en una distribución linux "insegura" (llámame loco).


Entonces, si queréis tener la libertad de instalar prácticamente lo que queráis en vuestro ordenador, que para eso lo habéis comprado con vuestro dinero, lo mejor es desactivar el Secure Boot entrando en la UEFI. Básicamente hay dos maneras de acceder (para más detalles, encontrarás muchos resultados en la red):
  • Reiniciando el ordenador y pulsando la tecla «F2» antes de acceder a la pantalla de bloqueo, aunque este método no es aplicable a todos los equipos ya que depende de cada fabricante.
  • Desde Windows, mediante el apartado de «Configuración». Desde allí tenemos que llegar a «Inicio Avanzado» (según el equipo, puede variar la ruta para hacerlo y tendremos que pasar por «Actualización y seguridad» y «Recuperación», o bien por «Uso General») y desde allí seleccionar «Reiniciar» para acceder a otro menú donde seleccionamos «Solucionar problemas» / «Opciones Avanzadas» / «Configuración de UEFI» y el equipo se reiniciará entrando en la UEFI / BIOS.
Una vez dentro de la BIOS, dependiendo del equipo, podemos desactivar Secure Boot bien en Security o en System Configuration --> Boot Options. Recuerda guardar los cambios que realices antes de salir.

En definitiva, para quienes solo utilizan Linux es relativamente sencillo desactivar UEFI desde la BIOS. Por tanto, en estos casos esta herramienta de control / seguridad conlleva un efecto no deseado para Microsoft: fomenta la desinstalación de Windows en algunos usuarios.

Quizá como consecuencia directa de esto, recientemente se han producido dos hechos importantes:
  1. La opción de desactivar Secure Boot queda a discreción del fabricante del equipo informático. Desde Windows 10 algunos fabricantes de ordenadores son los que deciden (bueno, ellos deciden lo que Microsoft decide que decidan) si permiten desactivar o no el arranque seguro. Así, lo que debía ser una elección del usuario, el permitir o no la desactivación de esta característica desde el menú de arranque, ha dejado de estar disponible en muchos equipos y ha pasado a ser una imposición de Microsoft a través de su control sobre los fabricantes. ¿Y con qué excusa bloquea la configuración de UEFI un fabricante? ¿la seguridad o el control? Aunque aparte de la gran presión de Microsoft, también puede haber un interés para ellos: un soporte técnico más controlado al eliminar la posibilidad de instalaciones de sistemas alternativos.
  2. Y por otra parte, recientemente se ha publicado que Microsoft filtra "por error" la clave maestra que permite saltarse Secure Boot. En las redes ha saltado rápidamente un titular alternativo: Rápidamente Microsoft vuelve a incentivar la piratería de su sistema operativo para no desaparecer. En principio, esta llave maestra permitirá (a partir de Windows 8.1) instalar cualquier sistema operativo (incluso versiones piratas de Windows) sin desactivar Secure Boot, por lo que los usuarios que antes desinstalaban Windows para quedarse únicamente con otro sistema alternativo, ahora podrán gestionar más facilmente un sistema de arranque dual.

Por ello, antes de comprar un nuevo ordenador, es conveniente conocer primero si el equipo que nos interesa permite desactivar esta opción por si pensamos (ahora o la posibilidad de hacerlo en un futuro) instalar otro sistema operativo como GNU/Linux. Pero eso quizá no es suficiente porque pueden implantar esta opción para que aparezca posteriormente tras una actualización de firmware.

Por todo esto la mejor recomendación es comprar directamente un ordenador sin ese tipo de limitaciones, esto es, sin Windows. Aunque a veces comprar un ordenador sin bicho no es tarea fácil por la posición abusiva (por dominante y ventajosa) de Microsoft sobre los clientes y los fabricantes, con la que consigue vendernos un sistema operativo cuando solo queremos comprar un ordenador. En España algunas alternativas son: Slimbook, Tienda on-line de Vant, Pc Ubuntu, y Mountain.

Porque una cosa es que los fabricantes vendan sus equipos certificados para ser usados con Windows, lo que es totalmente legítimo, pero ahora han pasado del abuso de obligarnos a comprar junto al equipo informático un sistema operativo que no queremos, al atropello de impedir directamente que lo usemos con el sistema operativo de nuestra elección. ¿Seguridad o control?

Fuente: Secure Boot: ¿Seguridad o Control?

A pagar unos dolares mas para no tener que utilizar este tipo de maquinas basura de MS-Corp.
Ahora hasta con DRM integrada con el procesador gráfico vienen un desastre.
WWW
#8
No sabía esto, pero lo tendré en cuenta.. Nunca me paso
#9
Está opción desde Windows 8 venía habilitada predeterminadamente y me causo varios problemas con varios antivirus
#10
No tenía conocimiento de esto, ya que nunca me pasó. Pero lo tomaré en cuenta


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  (Seguridad) Medidas para evitar DDOS. Kane Desmont 0 18 Ayer, 03:31 PM
Último mensaje: Kane Desmont
  Seguridad en redes WiFi: Mitos y verdades jcifuentes 0 43 02-11-2018, 03:32 AM
Último mensaje: jcifuentes
  Riesgos en seguridad de sistemas con CWP6 yuma2009 1 178 01-04-2018, 04:51 AM
Último mensaje: santivip12
Ladrillo Buen sistema de seguridad para nuestra PC CheetahYX 3 541 02-12-2016, 04:25 AM
Último mensaje: yuma2009
  Google Mejora La Seguridad De Gmail Jorge gpe rdz 18 1,453 19-04-2016, 01:42 PM
Último mensaje: betiko2424
  Prueba la seguridad que tiene una contraseña juanjj 22 1,333 02-12-2015, 07:59 PM
Último mensaje: nik93
  seguridad para pagina web efbsfcd 1 381 03-10-2015, 07:59 PM
Último mensaje: 23r7190
  Mi suite de seguridad jhonny 24 2,256 07-09-2015, 02:57 PM
Último mensaje: Renguit0
Información Ayuda! Seguridad para servidor! DoMiNiCki 2 523 30-01-2015, 11:38 AM
Último mensaje: DoMiNiCki
  Solucionado: Seguridad WEB - Ayuda nicoovg 6 1,038 22-04-2014, 12:54 AM
Último mensaje: Freyr Berkana



Usuarios navegando en este tema: 1 invitado(s)