En los últimos tiempos se está hablando mucho de los procesadores Intel y las vulnerabilidades que los están afectando. Para corregir estas vulnerabilidades y evitar las existentes, existe un mecanismo llamado Intel CSE, y en este artículo te vamos a contar qué es, cómo funciona y por qué es tan importante en los procesadores de la marca.
Son muchas las vulnerabilidades que pueden afectar a nuestros equipos, y uno de los principales focos para éstas son los procesadores de PC. Por este motivo, y en un intento de minimizar, paliar y anular estos problemas, Intel creó un entorno de seguridad llamado TEE, del que forma parte Intel CSE. Vamos a ver en qué consiste.
¿Qué es Intel CSE?
Intel CSE son las siglas de Converged Security Engine, un mecanismo que está integrado en el TEE (Trusted Execution Environment) y que de forma global, consiste en un conjunto de firmware y hardware que proporciona un entorno seguro a la hora de ejecutar cualquier tipo de aplicación, previniendo la ejecución de software malicioso que pudiera dañar el equipo o que se produzcan fugas de datos.
El TEE ofrece una manera de ejecución segura de software de seguridad autorizado y firmware conocido como Aplicaciones de confianza (TA, Trusted Applications), las cuales se pueden desarrollar en Java e implementarse en el firmware. Dentro del TEE, cada TA es independiente de las demás, y todas ellas deben pasar por el mecanismo CSE para verificar su autenticidad. El TEE también hace cumplir los derechos de protección, confidencialidad, integridad y acceso a los recursos y datos a los que pertenecen esas TA.
En otras palabras, para que un software pueda ejecutarse en el equipo debe estar en una especie de «lista blanca» de aplicaciones que son confiables y que están verificadas como inocuas para el sistema, y el mecanismo Intel CSE es una importante parte encargada de verificar esto.
Los certificados de seguridad y la importancia de Intel CSE
Una de las funciones del mecanismo Intel CSE es la revisión de los certificados de seguridad. Por ejemplo, cuando queremos instalar un driver de un componente de hardware, éste debe ir acompañado de un certificado que garantice la autenticidad de los datos que se van a instalar en el sistema.
Esto podéis verlo por vosotros mismos en Windows, desde el Administrador de dispositivos buscáis cualquier componente, accedéis a sus propiedades y en la pestaña «Controlador», el botón «Detalles del controlador» os mostrará esta información.
Cada archivo de drivers que se instala en el sistema debe ir acompañado de su correspondiente certificado digital, firmado por la compañía (en el ejemplo estamos viendo las propiedades del controlador gráfico, firmado por NVIDIA). El mecanismo Intel CSE es el encargado de comprobar la veracidad de estos certificados para permitir la ejecución de su código.
Los «anillos» de privilegios de Intel
Aunque cierto software esté autorizado a nivel de firmware para realizar ciertas tareas en el equipo, no significa que se le de carta blanca para hacer lo que quiera. Para ello, el mecanismo de protección de Intel incluye diferentes niveles de privilegios en forma de anillo mediante el Intel Management Engine.
Coloquialmente, estas categorías se definen de la siguiente manera:
- Anillo 0: el máximo privilegio, que tiene acceso al kernel del sistema.
- Anillo 1: permite acceso al hypervisor, que puede hacer acciones remotas.
- Anillo 2: llamado «System Management Mode», en este nivel se encontrarían por ejemplo los drivers, que permiten relativas modificaciones en el código de ejecución.
- Anillo 3: aquí se encuentra la mayoría de aplicaciones, que simplemente utilizan las instrucciones del procesador.
Como ya supondréis, si por ejemplo un software tiene acceso al anillo de ejecución 2 significa que también tiene acceso al nivel 3. De igual manera, si se tiene acceso al nivel 0 también se tiene acceso a todos los demás anillos concéntricos (por eso se representa mediante un círculo, entre otras cosas).