Microsoft está apostando fuerte por Windows Phone, su sistema operativo para móviles. Aunque en la actualidad la última versión para usuarios es la 8.0, ya está disponible la versión Windows Phone 8.1 Developer Preview para desarrolladores. Microsoft, al igual que hiciera Apple, ha publicado un documento en el que explica de manera detallada las características de seguridad incluidas en esta nueva versión.
A lo largo de 25 páginas, Microsoft detalla las mejoras de seguridad aplicadas en Windows Phone. Microsoft tiene constancia de la importancia de la seguridad y ha diseñado el sistema operativo con la seguridad para usuarios y organizaciones en mente.
«Windows Phone is designed with
security in mind for users
and organizations.«
La lectura del documento revela que además de incorporar muchas mejoras de seguridad, Microsoft ha tenido en mente a las empresas y sus necesidades para que su sistema operativo pueda cumplir las necesidades de seguridad de cualquier compañía. Microsoft ha organizado sus esfuerzos para la seguridad en Windows Phone alrededor de tres simples áreas: proteger el dispositivo contra riesgos, proteger los datos y asegurar el acceso a los recursos.
Debido a que Windows Phone 8.1 comparte muchos de los mismos componentes subyacentes de Windows 8.1 y Windows Server 2012 R2, incluyendo los relacionados con la seguridad, el nuevo sistema ofrece previsibilidad, fiabilidad y uniformidad en la forma en que puede ser utilizado y gestionado. Microsoft pretende llegar a ofrecer una plataforma única independientemente del dispositivo empleado.
Pero el carácter común, va mucho más allá de las apariencias y la experiencia del usuario. Los dispositivos basados en Windows comparten muchas características de seguridad que no sólo son idénticas en nombre, sino que también cada vez son más parecidas a nivel de código.
De esta forma, Microsoft enumera características ya conocidas también incluidas en Windows Phone 8.1. Nos encontramos con nombres y siglas ya conocidas y comunes como Unified Extensible Firmware Interface (UEFI), Trusted Platform Module (TPM), Data Execution Prevention (DEP) o ASLR. Además de incluir cifrado del dispositivo, el modelo de sandbox AppContainer, filtro SmartScreen, eliminación remota de datos de la compañía, Virtual Smart Cards, Information Rights Management (IRM) así como mantener el mismo modelo y arquitectura de desarrollo y de aplicaciones que en el resto de plataformas Windows.
El proceso de arranque
Que duda cabe que una de las mayores preocupaciones existentes en la actualidad en relación al uso de dispositivos móviles es el malware. Microsoft ha implantado medidas especiales para evitar que Windows Phone sea pasto del malware. Empezando en el proceso de arranque, Windows Phone utiliza la misma tecnología que Windows 8.1 para asegurar el proceso de arranque, especialmente lo relativo a UEFI y su componente «Secure Boot» («arranque seguro«).
UEFI (Unified Extensible Firmware Interface) es una interfaz de firmware estándar diseñada para reemplazar la clásica BIOS (Sistema Básico de Entrada y Salida). Es un estándar creado por más de 140 compañías tecnológicas que forman parte del consorcio UEFI, en el que se incluye Microsoft.
Secure Boot es una característica de UEFI (que ya ha dado sus problemas y mucho que hablar en el entorno PC, con Windows y Linux y los arranques duales), destinada a proteger los dispositivos contra el malware o cualquier otra manipulación que pueda ocurrir durante el proceso de arranque. Cuando se enciende el dispositivo, el firmware inicia el gestor de arranque solo si su firma digital mantiene la integridad y el gestor está firmado por una autoridad de confianza registrada el la base de datos de UEFI. La firma del gestor de arranque de todos los dispositivos Windows Phone es de confianza.
En los sistemas Windows 8.1, es posible desactivar «Secure Boot«, algo que ya dio problemas debido a que una actualización anuló esta posibilidad lo que provocó que se anularan los arranques duales. Sin embargo los dispositivos Windows Phone y Windows RT están diseñados para ejecutar solo sus respectivos sistemas operativos, por lo que «Secure Boot» no puede desactivarse y los usuarios no pueden cargar ningún otro sistema diferente.
Si «Secure Boot» verifica que el gestor de arranque es seguro, «Trusted Boot» protege el resto del proceso de arranque verificando que todos los componentes Windows tienen integridad y son de confianza. El gestor de arranque verifica la firma digital del kernel de Windows Phone antes de cargarlo. El kernel de Windows Phone, a su vez, verifica todos los demás componentes del proceso de inicio de Windows, incluyendo los controladores de arranque y los archivos de inicio.
Si se encuentra un archivo modificado (por ejemplo, si un malware lo modificó para iniciar código malicioso), «Trusted Boot» protege todos los componentes de Windows y evita el arranque de los componentes que hayan sido manipulados. Todos los componentes del sistema y las aplicaciones deben estar adecuadamente firmadas antes de que Windows Phone las cargue y arranque. Si un usuario malicioso o malware manipula algún componente del sistema o archivos de aplicación, el correspondiente componente o aplicación no podrá cargarse y ser iniciado.
El documento no explica si en caso de modificación de un archivo importante para el sistema, ese mismo bloqueo del componente podría llegar a impedir el inicio del dispositivo.
Más información:
Windows Phone 8.1 Security Overview
System Center 2012 R2 Configuration Manager
Windows Intune
una-al-dia (13/03/2014) Apple actualiza el informe sobre seguridad en iOS (I)
una-al-dia (14/03/2014) Apple actualiza el informe sobre seguridad en iOS (y II)
una-al-dia (07/05/2014) Microsoft detalla las características de seguridad de Windows Phone 8.1 (y II)
http://unaaldia.hispasec.com/2014/05/microsoft-detalla-las-caracteristicas_7.html
Antonio Ropero
Twitter: @aropero
Luis Humberto Balam Gonzalez dice
Me encanta windows… pero tanta chorrada de seguridad hace que desarrollar una app sea poco asequible…:(