Es posible que a la hora de intentar probar en vivo alguna distribución de Linux, te hayas encontrado con el problema de que tu PC no arranca desde la unidad USB. Descartando posibles errores en la imagen ISO normalmente, la culpa es de Secure Boot.
UEFI Secure Boot es una característica de seguridad implementada en la Interfaz de Firmware Extensible Unificado (UEFI), que reemplazó el sistema BIOS más antiguo.
Está diseñado para evitar que el software malicioso como los rootkits o bootkits se cargue durante el proceso de arranque, asegurando que solo se ejecuten sistemas operativos y aplicaciones de confianza.
Secure Boot logra esto verificando las firmas digitales de los gestores de arranque y las imágenes de firmware contra una base de datos de firmas autorizadas almacenadas en el firmware UEFI.
Secure Boot proporciona algunas ventajas de seguridad
- Protección contra virus del sector de arranque: Evita modificaciones no autorizadas en el proceso de arranque.
- Bloquea la ejecución de rootkits: Evita que esta colección de herramientas de software malicioso pueda comprometer la seguridad del sistema.
- Protección contra malware insidioso: Secure Boot es una primera línea de defensa contra el malware que busca apalancarse en el sector de arranque para ejecutarse cada vez que se inicia la máquina.
- Integridad mejorada del sistema: Garantiza que durante el proceso de arranque solo se carguen componentes de software con una firma válida.
Pero esta protección también tiene efectos secundarios para algunas distribuciones de Linux
Secure Boot puede causar problemas de compatibilidad.
Muchas distribuciones de Linux como por ejemplo Ubuntu, Zorin OS, Linux Mint, Debian y Fedora/RHEL son compatibles con Secure Boot.
Y algunas de ellas incluyen mecanismos para mantener actualizado el firmware.
- Debian y algunos de sus derivados, como Ubuntu, utiliza fwupd para aplicar actualizaciones de firmware.
- Red Hat Enterprise Linux y Fedora lo hacen mediante paquetes de actualización automáticos mediante fwupd y actualizaciones del sistema.
- openSUSE lleva a cabo actualizaciones del firmware UEFI de manera directa.
fwupd es una aplicación de código abierto para gestionar la instalación de actualizaciones de firmware en sistemas basados en Linux.
En cualquier caso, los sistemas operativos que no están firmados con una clave válida no se iniciaran cuando Secure Boot esté habilitado.
Si intentamos arrancar una distro incompatible mediante una memoria USB, y Secure Bot se encuentra activado, aparecerá el mensaje de abajo:
Infracción de arranque seguro. Se ha detectado una firma no válida. Comprobar directiva de arranque seguro en la configuración.
Esto afecta a muchísimas distribuciones de Linux.
No arrancarán a menos que se tomen medidas para firmar el gestor de arranque con una clave de confianza.
Si bien existen soluciones, como generar manualmente nuevas claves para el gestor de arranque (operación bastante compleja y arriesgada) representa una complicación adicional que de otra manera no existiría.
Si queremos usar esta característica de seguridad, todo tiene que estar firmado criptográficamente con una clave válida y actualizada.
¿Qué puede suceder si desactivo el arranque seguro para instalar una distribución de Linux que no lo soporta?
Deshabilitar el Arranque Seguro no es la solución ideal.
Nosotros te aconsejamos utilizar una distribución de Linux compatible con Secure Bot. Sin duda eso fortalecerá la seguridad del dispositivo.
Dicho esto, docenas de distribuciones de Linux que no admiten Secure Bot, son utilizadas por miles de personas durante años sin problemas.
- Una firma no reconocida, no las hace necesariamente vulnerables.
- El hecho de tenerla tampoco las convierte en invulnerables.
Por lo tanto, si pretendes instalar una distribución de Linux que no admite Arranque Seguro, puedes plantearte deshabilitarlo para poder utilizarla.
Solo asegúrate de estar al tanto de lo que esto implica.
Aplica unas buenas prácticas de seguridad y mantén tu sistema actualizado.
También puedes apoyarte en una aplicación como Rootkit Hunter, para analizar de vez en cuando tu sistema.
Aparte de detectar rootkits, también es capaz de encontrar puertas traseras, archivos ocultos, permisos de archivos inadecuados, y cadenas inusuales en los módulos del kernel.
En cualquier caso, el arranque seguro no es el Santo Grial.
Secure Boot, a pesar de estar diseñado para proteger el sistema de malware como bootkits, ha presentado varias vulnerabilidades a lo largo del tiempo.
Su efectividad depende de las bases de datos de firmas actualizadas (DBX) y de que las políticas de orientación avanzada de arranque estén configuradas correctamente.
Los villanos pueden eliminar las entradas DBX, degradar los componentes de arranque o cargar binarios sin firmar, para evitar las protecciones de arranque seguro.
Pero esa es otra historia.
