lunes, 5 de agosto de 2002

Palladium y TCPA: La respuesta de la industria para mejorar la seguridad... ¿o tal vez algo distinto?

Recientemente se ha presentado una iniciativa de la industria, TCPA, que
se presenta como un método para aumentar el nivel de seguridad de los
sistemas informáticos. Hay quien ve, por el contrario, que de aplicarse
puede suponer la muerte del software de código abierto tal como lo
entendemos hoy.
Palladium es el nombre en clave que recibe una iniciativa de Microsoft
para implementar la especificación TCPA (Trusted Computing Platform
Alliance). Esta iniciativa pretende crear un marco para poder controlar
el software que se ejecuta en los sistemas informáticos. Las principales
empresas del sector informático dan soporte a TCPA: Microsoft, Intel,
IBM, HP y otras empresas.

Palladium es un ambicioso proyecto, surgido a raíz del famoso mensaje
enviado por Bill Gates a todos los empleados de Microsoft el pasado mes
de enero, y que supone una revolución en la arquitectura del PC que hoy
conocemos.

El objetivo final del proyecto Palladium es crear una nueva plataforma
informática que mejore ostensiblemente la capacidad de los usuarios para
proteger la privacidad de sus datos y controlar el software que se
ejecuta en sus máquinas. Microsoft también plantea Palladium como una
nueva plataforma para una serie de servicios, muchos de los cuales
todavía no están disponibles en la actualidad, relacionados con la
privacidad, el comercio electrónico y el entretenimiento.

Uno de los objetivos básicos de Palladium es poner fin al descontrol
existente en el mundo de los virus informáticos. Así, una de las
características que más ha llamado la atención es la posibilidad de
impedir la ejecución de cualquier código que no esté firmado
digitalmente por una fuente de confianza. Este control se realizaría a
nivel de hardware, para evitar posibles problemas de una implementación
a nivel software.

La implementación de este control supondría, de entrada, una importante
barrera no sólo para los virus informáticos, sino para prácticamente la
mayoría de 'exploits' basados en utilizar un desbordamiento de memoria
intermedia (desbordamiento de buffer) para ejecutar código arbitrario.
Como este código no dispondría de su firma digital, no llegaría a ser
ejecutado.

Como ya habrán intuido la mayoría de los lectores de "Una al día",
disponer de este sistema significaría reducir drásticamente los
incidentes de seguridad que hoy por hoy padecemos. Prácticamente casi
todas las noticias que publicamos en "Una al día" pasarían a la
historia, al dejar de existir el código malévolo.

Como afecta esto al código libre

Desde diversos medios relacionados con el código abierto, se ha puesto
la voz de alerta ante estas iniciativas. Se ha llegado a escribir que de
tener éxito esta iniciativa puede suponer la muerte del software de
código abierto... o eso, o Microsoft (o la empresa responsable de firmar
el 'código legítimo' debería firmar los diferentes paquetes de software
libre. Si la nueva versión del núcleo de Linux no dispone de su firma
digital, un sistema basado en Palladium se negaría a ejecutarlo.

El mundo del software de código abierto está pasando por una época muy
negativa durante estas últimas semanas. Las recientes vulnerabilidades
descubiertas en Apache y OpenSSH han mermado la confianza que hasta
ahora se tenía en el software de código abierto. El último incidente de
OpenSSH, en el que un intruso fue capaz de introducir un troyano en la
distribución del paquete, ponen de relieve la necesidad de replantearse
el status actual.

Nos encontramos ante un tema que dará mucho de hablar en los próximos
meses y al que iremos dedicando más boletines próximamente. En el
apartado "Más información" el lector encontrará enlaces a un gran número
de documentos y sedes web en los que se discute ampliamente todo lo
relacionado con Palladium y TCPA.


Xavier Caballé
xavi@hispasec.com