Funcionamiento de las BIOS
Debido a que su existencia es de suma importancia para el arranque de la PC, este programa jamás debe ser eliminado, por lo que se encuentra en un chip de memoria del tipo ROM, es decir una memoria de sólo lectura.
Puntualmente se encuentra almacenado en una memoria no volátil EEPROM, es decir que no sólo se caracteriza por ser de sólo lectura, sino que además es programable eléctricamente, punto que permite su actualización.
Cabe destacar que si bien la BIOS se encuentra preinstalado en la motherboard, en general son desarrollados por otras empresas, tales como American Megatrends, General Software, Insyde Software, y Phoenix Technologies, que crean la BIOS adecuada según los requerimientos de los fabricantes de placas madres.
Las compañías fabricantes de motherboard, luego personalizan las BIOS para que se ajuste al hardware, por lo cual las actualizaciones de este sistema básico son producidas en general por dichas empresas.
Debido a las funcionalidades de la BIOS, cabe destacar que no sólo la motherboard puede contener este tipo de sistema básico, sino que también existen distintos elementos cuyo chip posee un firmware BIOS.
En la actualidad, componentes de hardware tales como placas de video, controladores de discos rígidos y demás, operan con un sistema básico del tipo BIOS.
Opciones más importante de la BIOS
- CPU Internal cache: el habilitado o deshabilitado de la caché interna del microprocesador. Debe habilitarse (poner en Enabled) para cualquier chip con caché interna (todos desde el 486). Si la deshabilitamos, podemos hacer que nuestro Pentium 75 vaya como un 386 rápido, lo cual no sirve para nada como no sea jugar a un juego muy antiguo que va demasiado rápido en nuestro ordenador.
- External Caché: lo mismo pero con la caché externa o de segundo nivel. No tiene tanta trascendencia como la interna, pero influye bastante en el rendimiento.
- Quick Power On Self Test: que el test de comprobación al arrancar se haga más rápido. Si estamos seguros de que todo funciona bien, merece la pena hacerlo para ganar unos cuantos segundos al arrancar.
- Boot Sequence: para que el ordenador busque primero el sistema operativo en un disquete y luego en el disco duro si es "A,C" o al revés si es "C,A". Útil para arrancar o no desde disquetes, o en BIOS modernas incluso desde una unidad Zip o SuperDisk internas.
- Swap Floppy Drive: si tenemos dos disqueteras (A y B), las intercambia el orden temporalmente.
- Boot Up NumLock Status: para los que prefieran arrancar con el teclado numérico configurado como cursores en vez de cómo números.
- IDE HDD Block Mode: un tipo de transferencia "por bloques" de la información del disco duro. Casi todos los discos duros de 100 MB en adelante lo soportan.
BIOS es desconfigurada
Si la BIOS es desconfigurada nuestro ordenador tendría una series de dificultades entre ellas y la principal no arrancaria, y además no tendremos acceso a nuestros datos de nuestro ordenador.
Lo más recomendable es buscar la soluciones de reconfigurar o sino un reseteo total de la BIOS es decir colocándolo a su datos iniciales.
Métodos de seguridad para la BIOS
Seguridad del BIOS y del gestor de arranque
La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el gestor de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan acceso físico a sus sistemas, arranquen desde medios removibles u obtengan acceso como root a través del modo monousuario. Pero las medidas de seguridad que uno debería tomar para protegerse contra tales ataques dependen tanto de la confidencialidad de la información que las estaciones tengan como de la ubicación de la máquina.
Por ejemplo, si se utiliza una máquina en una exhibición y esta no contiene datos confidenciales, entonces puede que no sea crítico prevenir tales ataques. Sin embargo, si se deja al descuido en la misma exhibición, la portátil de uno de los empleados con llaves privadas SSH sin encriptar para la red corporativa, esto puede conducir a una violación de seguridad importante para la compañía completa.
Por otro lado, si la estación de trabajo está localizada en un lugar donde sólo los usuarios autorizados o de confianza tienen acceso, entonces la seguridad del BIOS o del gestor de arranque puede que no sea necesaria.
Contraseñas del BIOS
Las siguientes son las dos razones básicas por las que proteger la BIOS de una computadora con una contraseña.
Prevenir cambios a las configuraciones del BIOS — Si un intruso tiene acceso a la BIOS, puede configurarlo para que arranque desde un diskette o CD-ROM. Esto les permite entrar en modo de rescate o monousuario, lo que a su vez les permite plantar programas dañinos en el sistema o copiar datos confidenciales.
Prevenir el arranque del sistema — Algunas BIOSes le permiten proteger el proceso de arranque con una contraseña. Cuando está funcionalidad está activada, un atacante esta forzado a introducir una contraseña antes de que el BIOS lanze el gestor de arranque.
Debido a que los métodos para colocar contraseñas del BIOS varían entre fabricantes de equipos, consulte el manual de su computador para ver las instrucciones específicas.
Si olvida su contraseña del BIOS, usualmente esta se puede reconfigurar bien sea a través de los jumpers en la tarjeta madre o desconectando la batería CMOS. Por esta razón, es una buena idea bloquear el chasis del computador si es posible. Sin embargo, consulte el manual del computador o tarjeta madre antes de proceder a desconectar la batería CMOS.
Aseguramiento de plataformas diferentes a x86
Hay plataformas que utilizan programas diferentes para llevar a cabo tareas de bajo nivel más o menos similares a las del BIOS en sistemas x86. Por ejemplo, las computadoras basadas en Intel® Itanium™ utilizan la Extensible Firmware Interface (EFI).
Para ver las instrucciones sobre cómo proteger con contraseñas estos programas, refiérase a las instrucciones del fabricante.
Contraseñas del gestor de arranque
A continuación se muestran las razones principales por las cuales proteger el gestor de arranque Linux:
Previene el acceso en modo monousuario — Si un atacante puede arrancar en modo monousuario, se convierte en el superusuario de forma automática sin que se le solicite la contraseña de acceso.
Previene el acceso a la consola de GRUB — Si la máquina utiliza GRUB como el gestor de arranque, un atacante puede usar la interfaz del editor para cambiar su configuración o para reunir información usando el comando cat.
Previene el acceso a sistemas operativos inseguros — Si es un sistema de arranque dual, un atacante puede seleccionar un sistema operativo en el momento de arranque, tal como DOS, el cual ignora los controles de acceso y los permisos de archivos.
Red Hat Enterprise Linux para la plataforma x86, se entrega con el gestor de arranque GRUB. Para una vista detallada de GRUB, consulte el capítulo llamado El gestor de arranque GRUB en el Manual de referencia de Red Hat Enterprise Linux.
Protegiendo GRUB con contraseñas
Puede configurar GRUB para solucionar los primeros dos problemas listados en la Sección 4.2.2 añadiendo una directiva de contraseña a su archivo de configuración. Para hacer esto, primero seleccione una contraseña, luego abra un indicador de comandos del shell, conéctese como root y escriba:
/sbin/grub-md5-crypt
Cuando se le pida, escriba la contraseña GRUB y presione [Intro]. Esto retornará un hash MD5 para la contraseña.
Luego, modifique el archivo de configuración GRUB /boot/grub/grub.conf. Abra el archivo y debajo de la línea timeout en la sección principal del documento, añada la siguiente línea:
password --md5 <password-hash>
Reemplace <password-hash> con el valor retornado por /sbin/grub-md5-crypt.
La próxima vez que el sistema arranque, el menú de GRUB no le permitirá accesar el editor o la interfaz de comandos sin primero presionar [p] seguido por la contraseña de GRUB.
Lamentablemente, esta solución no previene a un atacante de arrancar en un sistema operativo inseguro, si se está en un ambiente de arranque dual. Para esto, necesita editar una parte diferente del archivo /boot/grub/grub.conf.
Busque la línea title del sistema operativo inseguro y añada una línea que diga lock directamente debajo de ella.
Para un sistema DOS, la estrofa debería comenzar con algo similar a:
title DOS lock
Debe tener una línea password en la sección principal del archivo /boot/grub/grub.conf para que esto funcione adecuadamente. De otra forma un atacante podrá acceder a la interfaz del editor de GRUB y eliminar la línea de bloqueo.
Para crear una contraseña diferente para un kernel o sistema operativo particular, añada una línea lock a la estrofa, seguido por una línea de contraseña.
Cada estrofa que usted proteja con una contraseña única debería comenzar con líneas similares a las del ejemplo siguiente:
title DOS lock password --md5 <password-hash
No hay comentarios:
Publicar un comentario