Así es como los PC «Secured Core» te protegen del malware por hardware

Los PC Secured Core, o de núcleo seguro, están en boca de todos desde que Microsoft aprobó esta categoría de PC, y aunque han dicho que protegen al equipo de ataques de malware utilizando su hardware, no mucha gente sabe cómo funcionan en realidad. Por este motivo, en este artículo te vamos a contar todo lo que necesitas saber de esta categoría de PCs Secured Core para que lo entiendas de forma sencilla.

Microsoft aprobó la categoría de PC Secured Core con tecnologías de seguridad desarrolladas en conjunto con los principales fabricantes de PC y proveedores de chips de silicio. Este tipo de PC están diseñados para frustrar los ataques de malware persistentes, especialmente aquellos que apuntan a vulnerabilidades fuera de los privilegios de control de nivel 0 del anillo de seguridad (a nivel de kernel de sistema), como por ejemplo los malware que afectan al firmware que están mucho más allá del nivel de acceso de un usuario normal.

Esta es la definición que Microsoft ha dado pero, ¿qué son exactamente los PC Secured Core y cómo funcionan? Vamos a verlo.

Qué es un PC Secured Core o de núcleo seguro

Hacker

Los componentes de hardware de los PC Secured Core funcionan en una estructura amalgamada holística para garantizar la integridad del firmware del sistema, el hardware e incluso su software. Las máquinas son particularmente importantes para organizaciones como empresas, bancos, hospitales e instituciones estatales que manejan regularmente datos confidenciales.

En particular, estos PC se envían con protecciones habilitadas de tal manera que solo un ingeniero especializado en los chips en concreto podrá deshabilitarlas. Microsoft ha colaborado con fabricantes como Intel, AMD y Qualcomm para desarrollar chips de CPU dedicados a ejecutar comprobaciones de integridad, y una vez integrados en la placa base estos chips manejan protocolos de seguridad que generalmente solo dependen del firmware.

El proceso de verificación implica la autenticación de hashes criptográficos para mantener la integridad del código, motivo por el que necesariamente se usan chips especializados, de manera que no consuman recursos de la CPU principal del sistema y, por lo tanto, que no haya un impacto negativo en el rendimiento.

¿Cómo funcionan los PC de núcleo seguro?

Secured Core PC

Los PC de núcleo seguro están diseñados para autenticar todas las operaciones involucradas durante y después del proceso de arranque; debido a que las credenciales del sistema están aisladas y bloqueadas para proteger los hash criptográficos, el malware que intente hacerse cargo de los protocolos críticos del sistema no podrá recuperar los tokens de autenticación de ninguna manera y, por lo tanto, es imposible que tenga efecto.

Este nivel de seguridad es posible gracias a la integridad del código HyperVisor de Windows (HVCI) y la seguridad basada en la virtualización (VBS, pero no confundir con Visual Basic Script que usa Windows). HVCI opera bajo VBS y trabaja para mejorar la integridad del código de manera que solo los procesos verificados se puedan ejecutar a través de la memoria del kernel del sistema. Este nivel de seguridad está al más bajo nivel y prima por lo tanto por encima de cualquier software e incluso del hardware.

VBS utiliza la virtualización basada en hardware para aislar los sectores de memoria seguros del sistema operativo. A través de VBS es posible aislar procesos de seguridad vitales para evitar que puedan verse comprometidos, y esto es importante cuando se trata de limitar o evitar el daño, ya que hay muchos malwares que atacan directamente a los componentes del sistema con privilegios elevados.

Además, los PC Secured Core utilizan el modo seguro virtual (VSM) de Microsoft; esto funciona para proteger datos cruciales como las credenciales de usuario dentro de Windows, y esto significa que, en el raro caso de que el malware comprometa el kernel de sistema, en ningún caso podrá acceder a los credenciales del sistema y por lo tanto se limita enormemente el daño que puede causar.

CPU Seguridad

VSM puede crear nuevas zonas de seguridad dentro del sistema operativo durante tales instancias y mantener el aislamiento a través de Virtual Trust Levels (VTL) que funcionan a nivel de partición de sistema. En los PC Secured Core, VSM aloja soluciones de disuasión de seguridad como Credential Guard, Devide Guard y Trusted Platform Module (TPM) virtual.

El acceso a estos sectores VSM altamente reforzados es otorgado únicamente por el administrador del sistema, que también controla el procesador de la Unidad de administración de memoria (MMU) y la unidad de administración de memoria de entrada y salida (IOMMU) que participan en el arranque. Dicho esto, Microsoft ya tiene una experiencia significativa en la creación de soluciones de seguridad basadas en hardware, y sus consolas Xbox dan testimonio de ello.

Los socios de núcleo seguro de Microsoft actuales incluyen a fabricantes como Dell, Dynabook Lenovo, HP, Getac, Fujitsu, Acer, Asus, Panasonic y el segmento Microsoft Surface de la compañía que se dedica a los equipos diseñados para profesionales.

Salvaguardas adicionales contra el malware

Computadora inhackeable edit

Si bien los PC Secured Core tienen amplios refuerzos de seguridad basados en hardware, también requieren una amplia variedad de sistemas auxiliares basados en software para poder proporcionar una protección completa. Funcionan como la primera línea de defensa de seguridad durante un ataque de malware, pero obviamente no existe la definición de «inhackeable», por lo que necesitan cierta «ayuda» del software.

Un elemento de disuasión primordial basado en software es Windows Defender, que implementa System Guard Secure Launch; disponible por primera vez en Windows 10, utiliza el protocolo Dynamic Root of Trust for Measurement (DRTM) para iniciar procesos de arranque en código no verificado al iniciarse. Poco después, se apodera de todos los procesos y los restaura a un estado de confianza, lo que ayuda a evitar problemas de arranque si el código UEFI ha sido manipulado pero mantiene su integridad.

Para un arranque completamente seguro, Windows 10 viene con el modo S que está diseñado para mejorar la seguridad y el rendimiento de la CPU. Mientras se está en ese modo, Windows solo puede cargar en memoria aplicaciones firmadas digitalmente en la Windows Store, y la navegación por Internet se limita a Microsoft Edge; es un modo extremadamente restrictivo, pero es la única forma de garantizar la máxima seguridad, algo especialmente importante si crees que el equipo puede estar infectado por malware.

¡Sé el primero en comentar!