En noviembre de 2020, Microsoft presentó Pluton, un procesador de seguridad que la compañía diseñó para frustrar algunos de los tipos más sofisticados de ataques de hackers. El martes, AMD dijo que integraría el chip en sus próximas CPUs Ryzen para su uso en la serie de portátiles ThinkPad Z de Lenovo.
Microsoft ya utilizó Pluton para asegurar los microcontroladores de Xbox Ones y Azure Sphere contra ataques que implican que personas con acceso físico abran las carcasas de los dispositivos y realicen hackeos de hardware que evitan las protecciones de seguridad. Dichos hacks suelen ser llevados a cabo por propietarios de dispositivos que quieren ejecutar juegos o programas no autorizados para hacer trampas.
Ahora, Pluton está evolucionando para asegurar los PCs contra hackeos físicos maliciosos diseñados para instalar malware o robar claves criptográficas u otros secretos sensibles. Aunque muchos sistemas ya cuentan con módulos de plataforma de confianza o con protecciones como las “Software Guard Extensions” de Intel para asegurar esos datos, los secretos siguen siendo vulnerables a varios tipos de ataques.
Un ataque similar desvelado tres meses después reflejó que era posible explotar una vulnerabilidad (ahora corregida) en las CPUs de Intel para derrotar una variedad de medidas de seguridad, incluyendo las proporcionadas por BitLocker, los TPM y las restricciones anticopia. Los ataques conocidos como Spectre y Meltdown también han subrayado repetidamente la amenaza de que un código malicioso extraiga secretos directamente de una CPU, incluso cuando los secretos están almacenados en el SGX de Intel.
Un nuevo enfoque
Pluton está diseñado para solucionar todo eso. Está integrado directamente en la matriz de la CPU, donde almacena las claves criptográficas y otros secretos en un jardín amurallado que está completamente aislado de otros componentes del sistema. Microsoft ha dicho que los datos almacenados allí no pueden ser eliminados, incluso cuando un atacante ha instalado malware o tiene plena posesión física del PC.
Una de las medidas que hacen esto posible es una clave de criptografía de hardware segura única, o SHACK. Un SHACK ayuda a asegurar que las claves nunca están expuestas fuera del hardware protegido, incluso al propio firmware de Pluton. Pluton también se encargará de entregar automáticamente las actualizaciones del firmware a través de Windows Update. Al integrar estrechamente el hardware y el software, Microsoft espera que Pluton instale sin problemas los parches de seguridad que sean necesarios.
“Si dirijo un departamento de TI de una oficina, quiero que la gente ejecute versiones verificadas de Windows y de las aplicaciones de oficina y que bloquee todo lo posible para evitar todo tipo de cosas maliciosas y no autorizadas”, afirmó Joseph FitzPatrick, un hacker de hardware e investigador especializado en seguridad de firmware en SecuringHardware.com. “Pluton es el camino habilitado por el hardware para conseguirlo”.
Dijo que Pluton también impedirá que la gente ejecute software que haya sido modificado sin el permiso de los desarrolladores.
“El aspecto positivo es que hace que los sistemas x86 sean más seguros y fiables al permitir un enfoque de jardín amurallado”, mencionó FitzPatrick. “La desventaja son las típicas quejas sobre los jardines amurallados”.
Desde el principio, los TPM han tenido una limitación fundamental: nunca fueron diseñados para proteger contra ataques físicos. Con el tiempo, Microsoft y otros empezaron a utilizar los TPM como un lugar en el que almacenar de forma más segura las claves de BitLocker y otros secretos similares. Este método era mucho mejor que almacenar las claves en el disco, pero, como han demostrado los investigadores, no era suficiente.
Finalmente, Apple y Google introdujeron los chips T2 y Titan para mejorar las cosas. Los chips ofrecían cierta garantía contra los ataques físicos, pero ambos estaban esencialmente atornillados a los sistemas existentes. Pluton, en cambio, está integrado directamente en la CPU.
El chip de seguridad puede configurarse de tres maneras: como TPM del dispositivo, como procesador de seguridad utilizado en escenarios no TMP, como la resistencia de la plataforma, o como algo que los fabricantes de PCs desactivan antes de su envío.
Los portátiles de la serie ThinkPad Z equipados con Ryzens integrados en Pluton comenzarán a enviarse en mayo. Microsoft dijo que los modelos ThinkPad Z13 y Z16 que utilizan Pluton como TPM ayudarán a proteger las credenciales de Windows Hello aislando aún más las credenciales de los atacantes.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Tecnología
Michael Rojas
Me convertí en un entusiasta de la tecnología a finales de 2012, y desde entonces, he estado trabajando para publicaciones de renombre en toda América y España como freelance para cubrir productos de empresas como Apple, Samsung, LG entre otras. ¡Gracias por leerme! Si deseas saber más sobre mis servicios, envíame tu consulta a [email protected].
