La estrategia doble de Lenovo para proteger los datos

Thorsten Stremlau

06/02/2017

Thorsten Stremlau, principal arquitecto informático global de Lenovo, explica cómo la marca combina las tecnologías Intel Authenticate y SGX como mecanismo de doble acción para garantizar al máximo la seguridad de los datos.

 

La problemática en torno a la seguridad de los datos nunca ha preocupado tanto como hoy a empresas y particulares. En Lenovo sabemos lo importante que es proteger la información. Por ello, somos los primeros en usar conjuntamente dos tecnologías de Intel para asegurarnos de que nuestros sistemas y plataformas son lo más seguros posible.

Software Guard Extensions (SGX) y Authenticate son tecnologías Intel integradas en los dispositivos actuales de Lenovo y tenemos previsto incorporarlas en futuros sistemas. Se sabe que un dispositivo Lenovo incluye dichas tecnologías si su arquitectura es Skylake o Kaby Lake de Intel.

La idea que subyace SGX y Authenticate no es nueva, pero la tecnología que las hace posibles sí lo es. Lo que ofrecen es una solución de seguridad a nivel de hardware que aporta mayor protección que una solución basada en software.

Una solución basada en hardware resulta más segura, ya que evita que cualquier hacker pueda acceder al sistema como superusuario. Si un hacker consigue infiltrarse de este modo, se le abren las puertas a todo el sistema. Estos ataques por superusuario son muy habituales debido a las vulnerabilidades que hacen posible obtener privilegios de acceso más elevados. SGX y Authenticate protegen de esta clase de intrusiones.

Más allá de la tecnología AMT

La tecnología de SGX y Authenticate es una ampliación de la tecnología Intel de gestión activa (AMT). Se trata de un pequeño ordenador integrado en el dispositivo y destinado a realizar tareas como la gestión y seguridad de sistemas. Cuando se apaga o enciende el ordenador, este diminuto chip Intel AMT sigue funcionando y mantiene protegido el sistema, además de conectarse a él y llevar a cabo todo tipo de procesos de diagnóstico.

Intel Authenticate: cómo bloquear las credenciales personales

Authenticate representa la primera línea de defensa, ya que protege las credenciales de cada usuario en el sistema mediante un mecanismo de bloqueo dentro del chip AMT. Las credenciales se almacenan en un espacio seguro del propio hardware. Un sistema sin tecnología AMT almacenaría las credenciales en el disco duro o en cualquier otro lugar al que se puede acceder obteniendo permisos de superusuario.

Authenticate solo desbloquea las credenciales cuando se dan determinadas condiciones; por ejemplo, cuando el usuario demuestra que no existe peligro introduciendo una contraseña. También permite implementar un sistema de autenticación multifactor, como una combinación de contraseñas, firma biométrica (como la huella dactilar) y una tarjeta inteligente. De esta manera, el usuario acredita su identidad y prueba que no existe ninguna vulneración de la seguridad. Las grandes empresas utilizan Intel Authenticate para proteger sus redes virtuales privadas (VPN), además de sus credenciales de acceso a las aplicaciones y a los datos confidenciales de la empresa.

SGX: cómo evitar los ataques de intermediario

SGX actúa como barrera defensiva y se activa una vez que se desbloquean las credenciales. Esta tecnología es de vital importancia ya que, una vez que las credenciales pasan a la aplicación, siguen estando desprotegidas. Un hacker con permiso de superusuario o privilegios de mayor nivel puede acceder al sistema y lanzar lo que se denomina un ataque de intermediario (man in the middle), robando las credenciales mientras las usa la aplicación. Esto se puede evitar con SGX.

En el momento en que las credenciales se desbloquean, la CPU crea una clave segura en el subsistema del AMT con la que cifra la porción de memoria asignada a la aplicación que procese dichas credenciales. De esta manera, aunque el sistema operativo o la aplicación sufran un ataque, el hacker no podrá acceder a la parte de la aplicación dedicada a procesar las credenciales, ya que ese proceso se ejecuta en un espacio seguro de la memoria.

En definitiva, este método refuerza la seguridad por partida doble. No solo el usuario tiene que demostrar su identidad para que la tecnología AMT habilite las credenciales, sino que, además, la aplicación debe probar que no ha sido modificada por medio de software falso, ejecutándose en el espacio seguro de SGX.

Una ventaja más: es mucho más eficaz que las soluciones que usan la mayoría de empresas en la actualidad, como sistemas operativos o entornos de aplicaciones virtualizados, que consumen una gran cantidad de recursos, mientras que SGX apenas afecta al rendimiento del equipo.

Aplicaciones de us

SGX resulta de utilidad para una gran variedad de facetas vinculadas con las aplicaciones. Sirve para todo lo relacionado con la información confidencial o para acreditar que los datos no se han modificado en el tiempo empleado en transferirlos de un dispositivo a una base de datos. SGX puede ser muy útil a la hora de manejar datos confidenciales o demostrar su integridad.

En Lenovo, aprovechamos la tecnología SGX para blindar aún más el software del lector de huellas dactilares instalado en nuestros sistemas. De este modo, cada vez que el usuario se identifica por medio del lector de huellas dactilares, el resultado se procesa mediante SGX.

Por otra parte, hay que tener en cuenta que ni SGX ni Authenticate son muros impenetrables; toda defensa tiene puntos débiles frente a determinados ataques. Aún así, el objetivo de una buena solución de seguridad es hacer los ataques de los hackers económicamente inviables, de modo que ni siquiera se molesten en intentarlo. Tanto Authenticate como SGX son tecnologías muy exigentes y ponen el listón muy alto a los hackers.

 

TAMBIÉN LE PUEDE INTERESAR...

La oficina de cara a 2020

Todo lo que necesitan saber las organizaciones del siglo XXI.