Saltar al contenido
computerg

🥇 Olvídese De Los Chips TPM Para Windows Once, Ni Tan Siquiera Es La Mitad

septiembre 11, 2021

Microsoft ha confundido a prácticamente todo el planeta con sus requisitos mínimos de hardware para Windows once. En el centro de la confusión se halla una tecnología famosa como Trusted Platform Module, o bien TPM.

El trabajo de los chips TPM es efectuar operaciones criptográficas que brinden seguridad a nivel de hardware y contrastar la autenticidad de un sistema en el lanzamiento. Asimismo tienen múltiples mecanismos para hacerlos resistentes a la manipulación.

Entre otras muchas especificaciones de CPU, RAM y almacenaje, Windows once requerirá que todas y cada una de las máquinas acepten TPM veinte, así sea integrado en la CPU o bien como un chip auxiliar conectado a la placa madre.

El anuncio hizo que los dueños de computador se esforzasen por descubrir si su dispositivo es compatible con TPM y, en ciertos casos, de qué manera habilitarlo en el BIOS. Y la siguiente revelación de que Windows once se puede instalar técnicamente en máquinas incompatibles solo contribuyó a la confusión.

No obstante, una compañía se rasca la cabeza por la resolución de TPM por una razón diferente. Conforme Jorge Myszne, creador y CEO de la start-up de semiconductores Kameleon, TPM es ya una tecnología anacrónica.

“El TPM data de 2003; eso fue suficientemente bueno hace veinte años, mas piense en cuánto ha alterado en concepto de infraestructura en las últimas 2 décadas ”, afirmó a LaComparacion Pro.

“El primordial reto es que TPM es un dispositivo pasivo; aunque puede guardar datos en él y absolutamente nadie puede verlo, para hacer algo con esos datos, el software precisa acceso. Y si el software tiene acceso a él, un atacante asimismo puede acceder a él.

Seguridad del firmware

Fundado en dos mil diecinueve y apoyado por Xilinx, un vanguardista en el campo de los SoC programables, el propósito de Kameleon es revertir la activa del ciberdelito, dejando el beneficio al defensor.

Si bien la compañía todavía no ha lanzado un producto al mercado, trabaja en una pieza de hardware llamada Proactive Security Processing Unit (ProSPU) que espera sea capaz de combatir la amenaza de ataques de firmware, que aumentan en volumen y sofisticación. .

«Los modelos más habituales de ataques vienen en forma de aplicaciones que tienen como objetivo las capas superiores, mas se han bloqueado con bastante éxito», explicó Myszne. “Como resultado, los atacantes se están volviendo más especializados y avanzando cara el firmware; los ataques acá son bastante difíciles de advertir y persistentes.

Cifras recientes de Microsoft muestran que el ochenta% de las compañías han experimentado cuando menos un ataque de firmware en los últimos un par de años. No obstante, menos de una tercera parte de los fondos de seguridad se reserva para resguardar el firmware, y el veintiuno% de los funcionarios de seguridad aun aceptan que el firmware no está absolutamente supervisado.

(Crédito de la imagen: Shutterstock / Gorodenkoff)

El inconveniente con los ataques de este género es que el software no puede identificarlos ni bloquearlos. En el lanzamiento, un sistema se empieza en aumentos, empezando con una pequeña huella digital de código que se carga en el procesador, seguida de un conjunto más grande de código, y por último el sistema operativo se carga desde el disco duro o bien desde la red.

“Cualquier compromiso que se genere a lo largo de este proceso es absolutamente indetectable. El software ni tan siquiera se está ejecutando aún, con lo que no tiene forma de contrastar lo que sucede ”, apuntó Myszne.

La solución a este inconveniente, afirma, es tener un dispositivo dedicado al cargo de la seguridad del sistema. De exactamente la misma manera que las GPU manejan los gráficos y las TPU manejan las cargas de trabajo de AI, un procesador de seguridad es quien se encarga de establecer una «raíz de confianza» al contrastar que todo el firmware sea auténtico.

Un procesador de seguridad dedicado

Desarrollado para casos de empleo de servidores y centros de datos, el ProSPU de Kameleon tiene como propósito abordar las clases de inconvenientes que brotan debido a la dependencia de los chips TPM (y otros equivalentes) en el software para la instrucción.

Aunque los TPM son pasivos, lo que crea una ocasión para la infiltración de un atacante, el ProSPU es el profesor del sistema y efectúa comprobaciones activas para contrastar que cada elemento del proceso de arranque sea auténtico. Muchos chips en el mercado ya efectúan su arranque seguro, otorga Myszne, mas no existe nada que «abarrote todos y cada uno de los diferentes lugares».

Aparte de establecer esta raíz de confianza, ProSPU da servicios de cifrado de software (por poner un ejemplo, generación de claves, administración de claves, cifrado y descifrado) y seguridad en tiempo de ejecución para advertir y prevenir ataques.

Con acceso directo a la memoria, bajo el sistema operativo, el ProSPU puede operar fuera de la vista de posibles piratas informáticos. Debido a que no depende de las API para acceder, no existe nada que un atacante pueda inficionar.

“Lo primero que hace un atacante es procurar entender el sistema y las defensas. En un caso así, la defensa se ejecuta en un sistema absolutamente diferente, con acceso directo bajo el software ”, afirmó Myszne.

“El atacante no sabe lo que pasa y ahora debe agredir el sistema sin entender las defensas. Y como a los atacantes no les agrada el peligro, se van a ir a otra parte.

El futuro de la seguridad física

Cuando se le preguntó si creía que Microsoft había tomado la resolución equivocada al requerir soporte de TPM veinte para Windows once, Myszne asintió.

“Si estuviese trabajando en un sistema operativo a nivel de empresa, entonces sí, mas para un sistema operativo genérico como Windows es una enorme apuesta, por el hecho de que va a haber problemas”, afirmó.

“Por lo general, los TPM están deshabilitados de manera predeterminada por el hecho de que son bastante difíciles de administrar; precisa saber lo que hace, en caso contrario corre el peligro de dañar su computadora. ¿Cuántas personas saben de qué manera manejar la BIOS con seguridad? »

Si bien Myszne acepta que un TPM es mejor que nada desde la perspectiva de la seguridad, sugiere que la combinación de una mala experiencia de usuario y un nivel de protección deficiente quiere decir que el requisito va a ser más difícil de lo que es.

“El sistema no es un dispositivo de un solo chip como lo era hace veinte años. Precisamos que la infraestructura de seguridad física evolucione para satisfacer las necesidades de el día de hoy, como las necesidades de los próximos 5 a diez años. »

Kameleon espera que una versión alfa de ProSPU aterrice a fines de año y esté en los servidores para la primera mitad de dos mil veintidos. Si bien las aplicaciones de la tecnología son más urgentes en los contextos de centros de datos, debido a la concentración de peligro, Myszne pronostica que El hardware estilo ProSPU se extenderá a los mercados de consumo, industrial y automotriz a lo largo de los próximos 2 o bien 3 años.

“Hay mucho que proteger allí”, afirmó.


Source link