Todo lo que se pueda hacer en favor de la seguridad informática es bienvenido, a nivel de hardware y de software. En ese sentido lleva años mejorando mucho su oferta en Windows 10, siendo la última novedad la función por la que se protege al antivirus de alteraciones. En cuanto a hardware, la cosa no depende tanto de los de Redmond fuera de su gama Surface, pero sí de sus aliados fabricantes. Aunque parece que no habrá que llegar a lo que hace Apple con sus chips de seguridad T2.
Para protegerse frente a ataques que logran controlar el firmware (que comunica a hardware y software) y por tanto el sistema, pues aquel tiene más privilegios que el kernel de Windows, han lanzado un nuevo programa que han llamado 'Secured-core PC'. Según cuenta Microsoft a ZDNet, lo que se va a hacer con este nuevo sistema es muy similar a lo que algunos fabricantes están haciendo con chip de seguridad dedicado.
La diferencia es que aquí caben todas las CPUs y fabricantes que quieran involucrarse, sin depender de diferentes implementaciones, pues todos los casos usarán Windows Defender System Guard, que se encarga de proteger el sistema en el arranque y validar que se ha conservado la integridad del mismo.
Más seguridad para negocios, gobiernos y administraciones
Los primeros equipos de Microsoft en llegar con la nueva función serán Dell, HP, Lenovo, Panasonic y Dynabook, pero no están pensados para todos los usuarios de Windows 10, sino para empresas de industrias como la de servicios financieros, administraciones, empresas, etc.
Con los Secured-core PC se trata de impedir la aparición de brechas de seguridad que permitan controlar el firmware. ¿Cómo? Ayudando a que el sistema ofrezca al procesador una ruta segura en el arranque, es decir, adelantarse de forma proactiva a los ataques que puedan acabar con un control del sistema por parte de un atacante.
Quizá quepa pensar que Windows ya contaba con la función de Arranque seguro, y es cierto. Existe desde Windows 8 y realiza comprobaciones de firmas critográficas para verificar la integridad del software. El problema es que dichas comprobaciones asumen que lo que viene del firmaware es correcto, pero no limitan la capacidad de que el firmaware sea atacado y controlado, por lo que podría estar engañando al sistema.
Trabajando con AMD, Intel y Qualcomm, Microsoft ya no dependerá del firmware en los equipos con Secured-Core, sino que lo hará de las CPU, cuyos nuevos modelos podrán llegar preparados para hacer comprobaciones criptográficas, a cuyas claves solo tendrán acceso los fabricantes de dichos chips. Haciendo que sea la CPU la responsable y no el firmware, al detectar cualquier ataque el sistema lo identificará y el equipo se apagará sin preguntar.
No es un tema menor, pues por ejemplo el ataque a la Convención Nacional Demócrata en 2016, realizado por Fancy Bear, fue llevado a cabo hackeando firmware con un malware. Microsoft ya contaba con VBS (seguridad basada en virtualización), que actuaba emulando a un enclave seguro físico, pero también podía ser atacado mediante el control del firmware. El primer equipo que llega con certificado de Secured-core PC es la Microsoft Surface Pro X, que funciona con el Microsoft SQ1, un chip ARM diseñado junto a Qualcomm. Si te interesa un equipo en este sentido, habrá una pegatina que los identificará.
Más información | Microsoft Security