febrero 8, 2023

Llegando a una computadora portátil cerca de usted: un nuevo tipo de chip de seguridad de Microsoft

Contenidos

Imagen promocional del nuevo portátil.

En noviembre de 2020, Microsoft presentó Pluton, un procesador de seguridad diseñado por la compañía para frustrar algunos de los tipos más sofisticados de ataques de piratería. El martes, AMD dijo que integrará el chip en sus próximas CPU Ryzen para usarlo en las laptops ThinkPad Z Series de Lenovo.

Microsoft ya ha utilizado Pluton para proteger los microcontroladores Xbox One y Azure Sphere de ataques que involucran a personas con acceso físico que abren carcasas de dispositivos y realizan hacks de hardware que eluden las protecciones de seguridad. Dichos hacks suelen ser realizados por propietarios de dispositivos que desean ejecutar juegos o programas no autorizados para hacer trampa.

Ahora, Pluton está evolucionando para proteger las PC de ataques físicos maliciosos diseñados para instalar malware o robar claves criptográficas u otros secretos confidenciales. Si bien muchos sistemas ya tienen módulos de plataforma confiables o protecciones, como las extensiones de protección de software de Intel, para proteger dichos datos, los secretos siguen siendo vulnerables a varios tipos de ataques.

Uno de esos ataques físicos implica colocar cables que intercepten la conexión entre un TPM y otros componentes del dispositivo y extraer los secretos que pasan entre las máquinas. En agosto pasado, los investigadores revelaron un ataque que tomó solo 30 minutos para extraer la clave BitLocker de una nueva computadora Lenovo que estaba preconfigurada para usar cifrado de disco completo con TPM, configuración de BIOS protegida por contraseña y UEFI SecureBoot. El truco, que funcionó al rastrear la conexión entre el TPM y el chip CMOS, mostró que bloquear una computadora portátil con las últimas defensas no siempre es suficiente.

Un ataque similar revelado tres meses después mostró que una vulnerabilidad (ahora resuelta) en las CPU de Intel podría explotarse para vencer una serie de medidas de seguridad, incluidas las proporcionadas por BitLocker, TPM y restricciones de copia. Los ataques conocidos como Spectre y Meltdown también han enfatizado repetidamente la amenaza de que el código malicioso extraiga secretos directamente de una CPU, incluso cuando los secretos están almacenados en el SGX de Intel.

Un nuevo enfoque

Pluton está diseñado para resolver todo esto. Está integrado directamente en un chip de CPU, donde almacena claves criptográficas y otros secretos en un jardín amurallado completamente aislado de otros componentes del sistema. Microsoft dijo que los datos archivados no se pueden eliminar incluso cuando un atacante ha instalado malware o tiene posesión física total de la PC.

Una de las medidas que lo hace posible es una clave de cifrado de hardware segura única, o SHACK. Un SHACK ayuda a garantizar que las claves nunca se expongan fuera del hardware protegido, incluso al propio firmware de Pluton. Pluton también será responsable de distribuir automáticamente las actualizaciones de firmware a través de Windows Update. Al integrar estrechamente el hardware y el software, Microsoft espera que Pluton instale sin problemas los parches de seguridad según sea necesario.

“Si dirijo un departamento de TI de oficina, quiero que la gente ejecute versiones verificadas de Windows y aplicaciones de oficina y bloquee tanto como sea posible para prevenir todo tipo de material malicioso y no autorizado”, dijo Joseph FitzPatrick, un hacker de hardware e investigador de seguridad de firmware. en SecuringHardware.com. “Pluton es el camino habilitado por hardware para llegar allí”.

Microsoft

Dijo que Pluton también evitará que las personas ejecuten software que haya sido modificado sin el permiso de los desarrolladores.

“El beneficio es que hace que los sistemas x86 sean más seguros y confiables, lo que permite aún más un enfoque de jardín amurallado”, dijo FitzPatrick. “La desventaja son las típicas quejas sobre los jardines amurallados”.

Desde el principio, los TPM tenían una limitación fundamental: nunca fueron diseñados para proteger contra ataques físicos. Con el tiempo, Microsoft y otros han comenzado a usar TPM como un lugar para almacenar de forma más segura claves de BitLocker y secretos similares. El enfoque fue mucho mejor que almacenar claves en disco, pero como demostraron los investigadores, ciertamente no fue suficiente.

Finalmente, Apple y Google introdujeron los chips T2 y Titan para mejorar las cosas. Los chips proporcionaban cierta seguridad contra ataques físicos, pero ambos estaban esencialmente atornillados a los sistemas existentes. Pluton, por otro lado, está integrado directamente en la CPU.

El chip de seguridad se puede configurar de una de estas tres formas: como un dispositivo TPM, como un procesador de seguridad utilizado en escenarios que no son TMP, como la capacidad de recuperación de la plataforma, o como algo que los fabricantes de PC deshabilitan antes del envío.

Las computadoras portátiles ThinkPad de la serie Z equipadas con Ryzen integrado con Pluton comenzarán a enviarse en mayo. Microsoft dijo
Los modelos ThinkPad Z13 y Z16 que usan Pluton como TPM ayudarán a proteger las credenciales de Windows Hello al aislar aún más las credenciales de los atacantes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *