Bene, questa è una delle ragioni per cui UEFI fa schifo. In teoria (e non fraintendetemi: nessuno serio nel settore ha mai creduto che questo avrebbe funzionato in RL), l'avvio sicuro e i driver firmati dovrebbero impedire l'installazione di "malware". Ma bene: i furti vengono rubati e vengono trovati gli exploit . Ci sono già stati molti articoli su questo argomento. Questo driver che firma BS è più simile a un argomento di venditore dei fornitori UEFI nel caso qualcuno lo chieda (come hai appena fatto). La storia è così: Salesman: "Sì, siamo consapevoli dei rischi e stiamo facendo un po 'di magia che lo impedisce.Ora non sono un tecnico, ma i nostri esperti dicono che funziona. 100%.". Silenzio. Tutti i membri del consiglio di amministrazione annuiscono in approvazione, il ragazzo del settore IT salta fuori dalla finestra.
Ora mentre sto colpendo UEFI non dimentichiamo che molto prima UEFI ci sono stati (molti) fornitori che ti hanno permesso di aggiornare il tuo BIOS dal sistema operativo (molto comune nel mercato server / enterprise ma l'ho visto anche sulla scheda madre enduser di fascia alta (serie ASUS WS PRO)). Lo hanno fatto creando chip e interfacce proprietarie. Quindi questo non è un problema completamente nuovo con UEFI e si potrebbe sostenere UEFI reso migliore perché almeno ora abbiamo un modo standard per fare le cose. Si potrebbe anche sostenere che ora non è necessario eseguire il reverse engineering di TUTTE le mainboard perché tutti utilizzano le stesse vulnerabilità conosciute. Si potrebbe anche dire che UEFI è peggiorato a causa della complessità non necessaria, aggiungendo funzionalità a un bootloader che nessuno ha mai richiesto, il che aumenta la possibilità di errori nell'implementazione.
Detto questo, ti preghiamo di notare che ci sono sforzi per fare le cose meglio. Ma sfortunatamente non ho ancora avuto il tempo di approfondire ciò che queste alternative fanno meglio (forse qualcuno più saggio può approfondire questo argomento?) E - come spesso accade nella storia della tecnologia - anche se quegli approcci sarebbero migliori di quello UEFI ha da offrire che probabilmente sarà sempre la vita all'ombra della schifezza che l'industria ha scelto (UEFI). Quindi, fino a quando la prima centrale nucleare esplode e le persone muoiono suppongo che dovremo vivere con UEFI (e anche allora non sono sicuro che qualcosa cambierebbe quando si tratta di sicurezza IT).
Oh e perché hai chiesto: no, non c'è nulla che tu possa fare per impedire al malware di fare un simile attacco. Oltre a installare qualcos'altro UEFI (con potenzialmente altri rischi e vulnerabilità). Non sono sicuro delle possibili "modifiche hardware" che impedirebbero l'accesso in scrittura all'env UEFI. ma se c'è un modo probabilmente sarà molto specifico per l'hardware e probabilmente non facile da bricolage.
Ma lascia che te lo dica: se ti lasci prendere dal panico sapendo questo ora meglio non dare un'occhiata a ciò che Intel ha fatto con AMT (suggerimento: AMD ha BS simile). E no: non puoi disattivare neanche quella schifezza.