17 septiembre, 2021

AMD y Microsoft aliados para crear computadoras con núcleos más seguros

Hoy en día, la seguridad informática es muy importante, debido a numerosos ataques que han recibido grandes empresas, incluyendo los bancos (Recordando el ataque a entidades bancarias y de telecomunicaciones en 2017, que afectó de una forma global las transferencias SPEI). Varios estudios han demostrado que un solo ataque malicioso puede costar a las empresas millones de dólares y puede requerir un tiempo de recuperación significativo. Con el crecimiento de los empleados que trabajan de forma remota y conectados a una red considerada menos segura que la red corporativa tradicional, los sistemas informáticos de los empleados pueden percibirse como un enlace de seguridad débil y un riesgo para la seguridad general de la empresa. El sistema operativo (SO) y los proveedores de hardware independientes (IHV) están invirtiendo en tecnologías de seguridad que harán que las computadoras sean más resistentes a los ataques cibernéticos.

Microsoft anunció recientemente su iniciativa de PC Núcleo-Seguro, que se basa en un esfuerzo combinado de socios OEM, proveedores de silicio y ellos mismos para proporcionar hardware, firmware y software profundamente integrados para mejorar la seguridad del dispositivo. Como proveedor líder de silicio para el mercado de PC, AMD será un socio clave en este esfuerzo con los próximos procesadores compatibles con PC con núcleo seguro.

En una computadora, la BIOS en conjunto con un firmware de bajo nivel se ejecutan inicialmente para configurar el sistema. Luego, la propiedad del sistema se transfiere al sistema operativo cuya responsabilidad es administrar los recursos y proteger la integridad del sistema.

Recientemente los ataques cibernéticos se están volviendo cada vez más sofisticados, y las amenazas dirigidas al firmware de bajo nivel se vuelven más prominentes. Con este paradigma cambiante en las amenazas de seguridad, existe una gran necesidad de proporcionar a los clientes finales una solución integrada de hardware y software que ofrezca seguridad integral al sistema.

Aquí es donde Microsoft con la idea de la PC con núcleo seguro entra en escena, ya que le permitiría arrancar de forma segura, proteger su dispositivo de las vulnerabilidades de firmware, proteger el sistema operativo de ataques y evitar el acceso no autorizado a dispositivos y datos con controles de acceso avanzados y sistemas de autenticación.

AMD tendría un papel muy importante para habilitar la PC con núcleo seguro, ya que las características de seguridad de hardware de AMD y el software asociado ayudan a proteger los ataques de firmware de bajo nivel. Incluso AMD estaría habilitando el núcleo seguro en su próxima generación de Ryzen.

A continuación se explica cómo se llevaría a cabo:

Habría una instrucción llamada SKINIT que ayudaría a crear una «raíz de confianza» que comienza con un modo operativo inicialmente no confiable. SKINIT reinicializa el procesador para establecer un entorno de ejecución seguro para un componente de software llamado cargador seguro (SL) e inicia la ejecución del SL de una manera para ayudar a evitar la manipulación. SKINIT extiende la raíz de confianza basada en hardware al cargador seguro.

Secure Loader (SL): AMD Secure Loader (SL) es responsable de validar la configuración de la plataforma al interrogar el hardware y solicitar información de configuración del Servicio DRTM.

AMD Secure Processor (ASP): AMD Secure Processor es un hardware dedicado disponible en cada SOC que ayuda a habilitar el arranque seguro desde el nivel de BIOS en el Entorno de ejecución de confianza (TEE). Las aplicaciones de confianza pueden aprovechar las API estándar de la industria para aprovechar el entorno de ejecución segura de TEE.

AMD-V con GMET: AMD-V es un conjunto de extensiones de hardware para permitir la virtualización en plataformas AMD. Guest Mode Execute Trap (GMET) es una función de aceleración de rendimiento de silicio agregada en la próxima generación de Ryzen que permite al hipervisor manejar eficientemente la verificación de integridad del código y ayudar a proteger contra el malware.

Ahora comprendamos el concepto básico de protección de firmware en una PC con núcleo seguro. El firmware y el gestor de arranque pueden cargarse libremente asumiendo que estos son códigos desprotegidos y sabiendo que poco después del lanzamiento, el sistema pasará a un estado confiable con el hardware forzando el firmware de bajo nivel por una ruta de código conocida y medida. Esto significa que el componente de firmware está autenticado y medido por el bloque de seguridad en silicio AMD y la medición se almacena de forma segura en TPM para su uso posterior por parte de los sistemas operativos, incluida la verificación y la certificación. En cualquier momento después de que el sistema se haya iniciado en el sistema operativo, el sistema operativo puede solicitar el bloqueo de seguridad AMD para volver a medir y comparar con los valores anteriores antes de ejecutar otras operaciones. De esta manera, el sistema operativo puede ayudar a garantizar la integridad del sistema desde el arranque hasta el tiempo de ejecución.

El flujo de protección de firmware descrito anteriormente es manejado por el Bloque de Servicio AMD Dynamic Root of Trust Measurement (DRTM) y está compuesto por instrucciones SKINIT CPU, ASP y AMD Secure Loader (SL). Este bloque es responsable de crear y mantener una cadena de confianza entre los componentes mediante la realización de las siguientes funciones:

Medir y autenticar firmware y gestor de arranque
Para recopilar la siguiente configuración del sistema para el sistema operativo que a su vez los validará según sus requisitos de seguridad y almacenará información para futuras verificaciones.
Mapa de memoria física
Ubicación del espacio de configuración PCI
APIC local

Fuente: https://community.amd.com/community/amd-business/blog/2019/10/21/amd-and-microsoft-secured-core-pc?fbclid=IwAR3m40EK265hQk37O22IqWr7nEyKLdomDpDeTf09sudak0XdxZon4bAboHY

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *