W skrócie: to było takie łatwe, bo nikt tego laptopa nie skonfigurował, żeby było trudne. Ale zdecydowanie da się zrobić, żeby takie sztuczki nie przeszły.
Jeśli chcesz coś więcej o tym poczytać, to interesuje Cię fraza "secure boot". To generalnie temat morze, ale w dużym skrócie: przy dobrze skonfigurowanym secure boot każdy element systemu uruchamiany po kolei (UEFI, bootloader, kernel, etc) weryfikuje, czy kolejny element nie został podmieniony (kryptograficzne sumy kontrolne). Do tego dochodzi jeszcze kwestia szyfrowania dysku (najlepiej w wersji full-disk-encryption, gdzie klucze są uzależnione od powodzenia Secure Boot), oraz szyfrowania danych (hasło użytkownika przy logowaniu jednocześnie jest używane do oblokowania dostępu do klucza którym są zaszyfrowane jego dane – tak np. jest na nowych androidach). A cała ta kryptografia (sumy kontrolne, część haseł) są zaszyte na specjalnych chipach od krypto (patrz np TPM, ale też np. security chip, jak Titan w telefonach od Google).
Cały Secure Boot może być na tyle wyczulony, że dowolna wymiana podzespołu na inny spowoduje, że system przestanie się uruchamiać (i trzeba szukać po sejfie recovery keys). Jeśli by tak nie było, to można by w końcu bootnięty system zaatakować od strony sprzętu (patrz np. DMA attack).