Hay alguna función de seguridad en el MacBook Pro de 2017 que garantice la integridad del arranque y del firmware.
Sí. El EFI de Apple está firmado digitalmente
Se trata de una función nativa de UEFI y, aunque es opcional, Apple lleva utilizándolas desde que cambió a un marco EFI allá por 2006. Además, el firmware debe ser más reciente que el que se sustituye (no se puede degradar).
En Seguridad del firmware UEFI en un Mac basado en Intel
Para un Mac basado en Intel sin el Chip de Seguridad Apple T2, root de confianza para el firmware UEFI es el chip donde se almacena el firmware. Las actualizaciones del firmware UEFI están firmadas digitalmente por Apple y verificadas por el firmware antes de actualizar el almacenamiento. Para ayudar a prevenir ataques de rollback, las actualizaciones deben tener siempre una versión más reciente que la existente.
Es importante señalar que se trata de no es infalible . Aunque existen medidas de seguridad, alguien con acceso directo podría modificar el firmware en la zona previa al arranque de la UFEI (por eso se inventó el chip T2).
Del mismo modo, si se encuentran vulnerabilidades en el proceso de arranque temprano del firmware UEFI (antes de que restrinja la escritura del chip de almacenamiento), esto también podría conducir a una infección persistente del firmware UEFI.
Es sólo que para hacer esto, es "costo" prohibitivo lo que significa que no sólo necesitarías acceso físico, tendrías que tener varios factores a tu favor (un disco no encriptado o ser capaz de instalar una imagen de firmware que no sea anterior a la existente, y tener su firma digital falsificada por ejemplo) para conseguir este malware a bordo. No es imposible, pero es poco práctico.
¿De qué soluciones se dispone para detectar e impedir cualquier intento de manipulación que implique acceso físico?
Siendo realistas, si eres un objetivo de alto valor (lo sabrás si lo eres o trabajas para uno), habrás tomado medidas para mitigar este riesgo como actualizar tu Mac a uno con chip T2, implementar políticas de seguridad como autenticación basada en tarjeta inteligente o token de hardware 2FA y bloqueo de sesión tras un periodo muy corto de inactividad. También tendrás políticas de uso del usuario que pongan a la gente en el compromiso de la seguridad (como perder tu token y no informar de ello).
La conclusión es que si te preocupa mucho que el firmware se vea comprometido, actualiza a un Mac más reciente con la seguridad incorporada (chip T2).
Acerca de Librem Key y Nitro Key
Hay alguna solución similar a Nitro Key o Librem Key que garantice la integridad del arranque disponible para MacBook Pro de 2017?
Ambos productos no funcionarán aquí. No pueden verificar una imagen de firmware UEFI. Son sólo para arquitectura BIOS.
¿Habrá otras herramientas (habilitadas para UEFI) para protegerte? Microsoft Defender tiene escaneo UEFI y empresas antivirus como Kasperky ha añadido el escaneo UEFI . Sin embargo, no he encontrado ninguno para MacOS; puede que el mercado no sea lo suficientemente grande como para justificar el tiempo de desarrollo.
