Protezione tramite password del firmware sui Mac dotati di processore Intel
macOS sui Mac dotati di processore Intel supporta l’uso della password del firmware per aiutare a impedire modifiche non desiderate alle impostazioni del firmware su un Mac specifico. La password del firmware è progettata per impedire modalità alternative di avvio, come ad esempio l’avvio in recoveryOS o “Modalità utente singolo”, da un volume non autorizzato oppure l’avvio in “Modalità disco di destinazione”.
Nota: la password del firmware non è richiesta sui Mac dotati di chip Apple, perché la funzionalità essenziale del firmware che essa limitava è stata spostata in recoveryOS e (quando FileVault è abilitato) recoveryOS richiede l’autenticazione da parte dell’utente per raggiungere tale funzionalità fondamentale.
La modalità più basilare della password del firmware può essere raggiunta da Utility Password Firmware di recoveryOS sui Mac dotati di processore Intel senza chip T2 e da Utility Sicurezza Avvio sui Mac dotati di processore Intel con chip T2. Le opzioni più avanzate (come la possibilità di richiedere la password a ogni avvio) sono disponibili tramite lo strumento a linea di comando firmwarepasswd in macOS.
L’impostazione di una password del firmware è particolarmente importante per ridurre il rischio di attacchi ai Mac dotati di processore Intel sprovvisti di chip T2 effettuati da un hacker presente fisicamente. La password del firmware aiuta a impedire a un hacker di avviare recoveryOS, da cui potrebbe disabilitare la protezione dell’integrità di sistema. Limitando i supporti di avvio alternativi, inoltre, impedisce a un hacker di eseguire del codice privilegiato da un altro sistema operativo al fine di attaccare i firmware delle periferiche.
Per aiutare gli utenti che hanno dimenticato la password, esiste un meccanismo di reimpostazione della password del firmware. Gli utenti dovranno premere una combinazione di tasti all’avvio e visualizzeranno una stringa specifica del modello da fornire ad AppleCare. AppleCare firma digitalmente una risorsa e tale firma viene verificata dall’URI (Uniform Resource Identifier). Se la firma viene convalidata e il contenuto è di quel Mac in concreto, il firmware UEFI rimuove la password del firmware.
Per gli utenti che non vogliono consentire ad altri di rimuovere la password del firmware tramite software, è stata aggiunta l’opzione -disable-reset-capability allo strumento a linea di comando firmwarepasswd in macOS 10.15. Prima di impostare questa opzione, gli utenti sono tenuti a dichiarare di aver compreso che, qualora dimentichino la password e debbano rimuoverla, il costo della sostituzione della scheda madre da effettuare a tale fine sarà a carico dell’utente. Le organizzazioni che vogliono proteggere i propri Mac da attacchi sia esterni che da parte di impiegati devono impostare una password del firmware sui propri sistemi. È possibile procedere all’impostazione su un dispositivo nei seguenti modi:
Manualmente durante il provisioning, mediante lo strumento a linea di comando
firmwarepasswd.Con strumenti di gestione di terze parti che usano lo strumento a linea di comando
firmwarepasswd.Usando la gestione dei dispositivi mobili (MDM).