Chromebooks: el preu de la seguretat

Compartir

Un desenvolupador de firmware i de seguretat explica detalladament el que es pot i no es pot fer amb la UEFI dels portàtils dedicats a Chrome OS, i ho compara amb els que empren Windows 8.

Matthew Garrett és un desenvolupador de firmware i solucions de seguretat que realitza la seva feina sota GNU/Linux, segons indica en el seu blogLa darrera entrada d’aquest, referenciada pel portal OSnews, explica els detalls del firmware segur que empren els Chromebooks, els ordinadors dissenyats per a utilitzar el sistema operatiu Chrome OS de Google, les aplicacions del qual funcionen exclusivament online.

Aquest firmware, que rep el nom d’UEFI (Unified Extensible Firmware Interface) té una funcionalitat anomenada Secure Boot, que permet executar només un sistema signat digitalment i la signatura del qual sigui reconeguda. En el passat, hi va haver polèmica amb la introducció d’aquest sistema en els portàtils PC convencionals funcionant amb Windows, ja que impedeix arrencar, per exemple, un Linux el kernel del qual ha estat manipulat per l’usuari.

Aquesta manipulació és totalment legítima sota els principis del programari lliure que, de fet, exigeixen aquesta possibilitat. Això fa que els ordinadors que empren Secure Boot no siguin gaire amistosos amb el programari lliure, encara que per a prevenir això s’han desenvolupat mecanismes per a què l’usuari anul·li aquesta protecció.

El motiu d’incloure-la és seguretat; si algú es fa amb el portàtil o té accés a ell prou temps com per a instal·lar-hi un nucli del sistema manipulat, pot a posteriori tenir accés a les dades de l’usuari i espiar-lo. Aquest és precisament el motiu que va impulsar Google a incloure també Secure Boot en les especificacions dels Chromebooks, però pel què explica Garrett a l’article, d’una manera més restrictiva que Microsoft.

El mecanisme Secure Boot es pot desactivar en els Chromebooks, però en fer-ho s’eliminen totes les dades del disc dur, precisament per evitar que un lladre que s’ha fet amb el dispositiu ho desactivi i tingui accés a les dades, ja que en aquest cas Secure Boot seria una cosa inútil. I, òbviament, l’ordinador perd tota la seguretat que tenia anteriorment si es desactiva Secure Boot, guanyant en llibertat d’executar qualsevol sistema operatiu, fins i tot aquell en què el mateix usuaris n’hagi modificat i recompilat el codi font.

Però el què no hi ha manera de fer en els Chromebooks és afegir les nostres pròpies signatures digitals a la UEFI, de manera que l’ordinador pugui reconèixer un sistema “personalitzat” a més del propi Chrome OS. I fins i tot d’aquest darrer, no reconeixerà aquelles recompilacions manuals que hagin dut a terme els mateixos usuaris. I, segons informa Garrett, Google no signa sistemes operatius de terceres parts.

Seguint amb el discurs de Garrett, aquest desenvolupador informa que els PC’s amb Windows que empren Secure Boot permeten la instal·lació de signatures digitals que corresponguin a altres sistemes operatius, fins i tot aquells que han estat modificats manualment. A més, Microsoft si que signa sistemes de terceres parts, encara que és lògic pensar que no ho fa per a qualsevol, i que és una cosa que requereix unes certes passes i molta paciència.

La conclusió de Garrett és fàcil: malgrat les aparences, Microsoft dóna més llibertat que Google. A partir d’aquí, que cadascú en tregui les seves conclusions.

Més informació

Don’t like Secure Boot? Don’t buy a Chromebook

 

Copyleft 2013 www.imatica.org
Aquesta obra es troba subjecta a la següent llicència:
La difusió, reproducció i traducció d’aquest text es permet lliurement en qualsevol mitjà o suport amb les úniques obligacions de mantenir la present llicència i incloure un enllaç o referència a la pàgina en què es troba l’original dins del servidor www.imatica.org . En mitjans audiovisuals es requereix la cita al mitjà www.imatica.org

Guillem Alsina
Etiquetes: