Captura de pantalla 2015-08-05 a las 11.49.48

Si veis nuestra timeline de Twitter llevamos unos días poniendo más artículos de los normal acerca de este bug que han encontrado en todos los equipos que tienen una EFI. Principalmente para que tengáis información y os preocupéis (o no) aunque si, principalmente para indicar a la gente que su sistema, ese al que ponen tantas medallas, al final, no es tan seguro como piensan.

Que es

Brevemente y sencillamente, Thunderstrike 2 es otro bug en la EFI de ciertos fabricantes (Apple incluido) que permite el alojamiento de código en ella a través de un bug en la Option ROM (si, es un enlace de Microsoft) cuando le dices a la EFI que va a recibir una actualización.

La OpROM es justamente la zona de la EFI que se ejecuta cuando arrancas el sistema, la primerita del todo y, como dice la web de Microsoft sabiamente, al ser la primerita se almacenan y controlan todos los dispositivos de tu equipo: tarjetas de video, de red, de sonido, los USBs, el firewire… y el thunderbolt… oh wait.

Parece ser que se han encontrado otro bug en la actualización de la EFI, cuando la dices que la vas a actualizar y unos programadores lo han usado a modo de colocar el viejo Thunderstrike e infectar, instantáneamente y sin que puedas hacer nada, dispositivos thunderbolt ya que si aunque tu equipo este “vacunado” contra el Thunderstrike gracias a una actualización de Apple, los elementos externos… pues no.

Como se pega

Como hemos dicho, se pega debido a que hay un bug en la actualización de la EFI, ergo, es un bug corregible. Principalmente, tu como usuario deberas ejecutar algo (una aplicación, un programa) que te pedirá permisos de administrador y que aprovechara dicho bug para instalar el código (que sea, que no siempre es malicioso, mariquitas) en la OpROM de tu EFI.

¿Significa eso que no tengo que confiar en nada que me pida la contraseña de mi usuario?. Pues hombre, para estas cosas hay que tener cabeza. Si antes se te ha pegado algún troyano típico, esto se te pegara, pero tampoco es para tener una paranoia.

Que hacer para no tener problemas

El sentido común, el menos común de todos, es lo que te puede librar de esto y otros problemas. Aunque aun hay gente que lo define como “prueba de concepto”, lo mas normal es que se haya filtrado a fin de infectar tu equipo.

Respecto a que se pueda multiplicar e infectar con otros debido a dispositivos thunderbolt infectados, puede pasar, pero chico/a, igual que te preocupas de donde metes el pizarrin (o el pizarrin que te meten) de esto has de preocuparte igualmente. Sentido común y pensar hasta donde puede o puede haber llegado el problema, es decir, ¿crees que una infección masiva a llegado al dispositivo que tienes entre las manos?… pues eso mismo.

¿Y si lo he cogido, que hago?

La mejor recomendación es abrir la ventana y lanzar tu equipo todo lo lejos que puedas. Salvo que Apple lance algún “borrado de EFI y lo pongo de forma estándar”, no puedes hacer nada y, también dependerá de lo que te hayan instalado.

Es decir, que la solución es doble, que el fabricante (Apple en nuestro caso) haya creado un sistema/disco/forma de reinstaurar tu EFI al estado original (vamos, un flasheo de toda la vida ya sea software o por hardware) y que lo que te hayan metido en la OpROM te permita ejecutar o iniciar el método de Apple para limpiarlo. Pero conociendo a la manzana, es mucho dinero de desarrolladores para los casos que va a haber en la vida, ósea que vas jodido. Entre otras cosas porque se cambia el certificado de la EFI (lo que previene siguientes actualizaciones de la EFI vía software de forma normal) o incluso se puede enmascarar de forma que sea complicado de arreglar salvo un flasheo vía hard (vamos, remover el chip y poner otro nuevo) cosa que es carisima y no creo que exista ningún Genius con capacidad de hacer eso en cualquier tienda o la central de Apple… ergo, tiraran tu placa base a la basura y pondrán otra nueva.

Por cierto, como el certificado, seguramente, este cambiado, no se puede usar el método de infección para desinfectar con una EFI limpia, lo sentimos.

Y entonces, el parche que dio Apple…

Apple, hace tiempo, nos ofreció un parche que no permitía, a los cacharros enchufados por Thunderbolt flashear la EFI… pero, permite hacer un downgrade, es decir, un cambio de versión hacia atas, con lo que estas jodido igualmente ya que ese es el truco que se usa para poder meter el código en tu OpROM. Todo esto más conocido como el ataque Snare 2012 a la boot.efi, que sigue colando. Por ende, hicieron algo, si, pero no hicieron el trabajo del todo.

Vamos, que “si yo fuera de IT” y tuviera que manejar muchos sistemas, deshabilitaba el puerto thunderbolt por si las moscas y punto pelota.

Mal de muchos…

La mejor salida que veréis últimamente será la del viejo refrán de “mal de muchos, consuelo de tontos” y es que como no solo afecta a equipos Apple sino a todos aquellos que tengan una EFI con la versión de Apple, el resto no.

Por eso mismo, como no solo ocurre a equipos Apple se creerán más seguros. Vamos, que porque esparzan su mierda, la suya creen que huele menos y eso no es así, el fallo sigue estando ahí.

Algunos, los menos listos, incluso creen que otros fabricantes de sistemas operativos (si, de sistemas operativos) han de ser los encargados de arreglar dicho problema en sus sistemas, cuando, han de ser los fabricantes de hardware quienes ofrezcan el parche para tu equipo (si no es Apple), estando, los fanboys atentos a como el resto “no lo van a arreglar” y aplaudiendo cuando “no lo hagan”.

Pero vamos, cada cual se contenta con lo que quiere.

Aunque, principalmente, esto vale para todos aquellos que se creen que OSX es un sistema imprenetrable, que no tiene virus ni problemas o, como sale en el anuncio de la TV del iPhone como ventaja: “si hacemos y diseñamos el hardware, nosotros podemos hacer el mejor software”, cosa que es un engaño, porque ni es el mejor, porque tiene bugs, y porque su hardware y sus diseños están basados en cosas de terceros (si, también el diseño, que no es solo lo de fuera, sino también lo de dentro) que, o pueden estar bien o tener problemas.