Apple blinda i nuovi Mac con la password EFI

In tutti i nuovi Mac commercializzati a partire dal 2011, Cupertino ha implementato dei meccanismi di sicurezza molto più sofisticati che in passato. E se prima per un reset della password EFI bastava qualche accorgimento da smanettone, oggi bisogna necessariamente passare per il supporto tecnico di Apple.

In linea puramente teorica, una volta impostata una password per il firmware del proprio Mac, non è più possibile modificare le opzioni di boot del sistema, resettare la PRAM o avviare la macchina in Safe Mode/Single User mode senza conoscerla. In realtà -e gli smanettoni confermeranno- con un po’ di intraprendenza e l’accesso fisico alla macchina, tali limiti si superano con facilità. Basta ad esempio alterare la configurazione hardware (rimuovere o aggiungere temporaneamente un banco di RAM) perché la password venga reimpostata, e se si dispone di privilegi di amministratore, si riesce a leggerla in chiaro perfino con la Calcolatrice di sistema.

Ciò è dovuto al fatto che nei Mac Intel fino al 2011 la password veniva semplicemente offuscata e conservata in modo non sicuro nella PRAM, cui il firmware accedeva prima di leggere tutte le altre variabili. Nei nuovi Mac, invece, la password viene gestita da un piccolo chip Atmel incastonato nella scheda logica [qui un PDF con le caratteristiche tecniche] che è impossibile modificare senza l’aiuto di Apple e una speciale procedura in fase di boot.

La prassi da seguire coi Mac a partire dal 2011 è piuttosto complessa. La spiega CNet:

• Avviate il computer tenendo premuto il tasto Opzione fin quando il firmware non richiede la password.
• Premete Control-Opzione-Mela-Shift-S per rivelare un hash alfanumerico da 33 caratteri che contiene un identificativo specifico per la vostra scheda madre e il chip Atmel usato nel sistema. In questo hash, le prime 17 cifre identificano la scheda logica e le ultime 16 costituiscono l’hash della password.
• Inviate l’hash ad Apple; a quel punto, un addetto lo inserirà in una speciale utility che creerà un file specifico per la vostra macchina.
• Copiate il file su uno drive di boot USB e tenete premuto il tasto Opzione per caricare selezionarlo nel menu di boot.
• Il sistema leggerà il file e ripristinerà la password del firmware conservata nel chip Atmel.

Rognoso, ma certamente non impossibile. Peccato soltanto che il software con le chiavi usate per la crittografia lo detiene solo Apple, e che senza un tecnico specializzato non se ne esce vivi. Il file generato dal supporto, oltretutto, è specifico per il computer in uso, e quindi non può essere riciclato in altri frangenti. Insomma, da una parte hanno migliorato la sicurezza, ma dall’altra però hanno trovato il modo di trascinarci una volta di più all’Apple Store.

Niente di grave, in ogni caso. La soluzione a tutte queste seccature è molto semplice: basta ricordarsi la password.