¿Agujero de seguridad en la contraseña del firmware al instalar otro cargador de arranque?

Question

¿Agujero de seguridad en la contraseña del firmware al instalar otro cargador de arranque?

#1 de Gordon Davisson (4 votos)
#2 de Jesus Ramos (1 votos)

3

Configuré una contraseña de firmware en mi MacBook. Una cosa que no entiendo es cómo puedo instalar una herramienta como rEFIt , y omitir la contraseña de firmware completa (es decir, instalarla nunca pedí mi contraseña original de Firmware).

Dice en su sitio web :

[...] ya que "refit.efi" está configurado como el cargador de arranque legítimo, elude efectivamente la protección de contraseña del firmware.

¿No es un gran agujero de seguridad al configurar una contraseña de firmware? ¿No significa eso que proteger una computadora al configurar una contraseña de firmware es tan fuerte como la contraseña de una cuenta de administrador (es decir, alguien que tiene privilegios para instalar una herramienta como rEFIt)?

security boot

pregunta Senseful 16.02.2011 - 22:09

2 respuestas

Lea otras preguntas en las etiquetas security boot

¿Es posible encontrar el número de serie de dispositivos robados usando una Mac a la que se han conectado? Asegurar MBP contra robo / rotura

score 4 · Answer 1

Sí, pero esto no es particularmente un problema con IEF, es intrínseco a la forma en que la contraseña del firmware y el acceso de administrador se relacionan entre sí. Si tiene uno, puede tomar el control del otro. Por ejemplo, si tiene acceso de administrador, puede deshabilitar o cambiar la contraseña del firmware con el comando nvram. También puede cambiar el volumen de inicio con las Preferencias del sistema, omitiendo la protección de la contraseña del firmware.

Básicamente, la contraseña del firmware está ahí para proteger la integridad de la computadora hasta que se inicie el sistema operativo y pueda comenzar a aplicar su idea de controles de acceso, en cuyo punto las contraseñas de administrador son el control relevante. No piense en la contraseña de firmware como un control de nivel superior, es más un suplemento.

score 1 · Answer 2

Lamentablemente, es correcto, aunque sí necesita acceso de administrador para instalar un cargador EFI para evitar que la mayoría de las cuentas no tengan acceso de root y, como tal, puede tener una cuenta de administrador con una contraseña pero con una contraseña de root diferente. O simplemente puede negar el acceso de root a su cuenta y crear otra contraseña de root.

Para agregar a esto, las contraseñas de firmware no son muy fuertes para empezar. Si tuviera acceso físico a su computadora portátil, simplemente puedo restablecer la PRAM y su contraseña quedará nula. No se supone que sea muy fuerte (para ser honesto, no veo ningún punto en ello).