vPro, con sus grandes avances en seguridad, está elevando los sistemas a un nuevo nivel, pero aún hay dudas.

La noción de seguridad basada en hardware no es nueva; están como ejemplo las herramientas antivirus basadas en BIOS y el Trusted Platform Module. Pero todavía no se ha hecho algo que cause una auténtica mella en las infecciones de software malicioso.

Ahora la iteración más reciente de la seguridad basada en chips, vPro (de Intel), se ha propuesto revolucionar las tácticas IT en este combate -o al menos dar algún respiro-.

El conjunto de chips nació en 2006 y luego, en agosto de 2007, se añadió Trusted Execution Technology, que comprueba si alguien ha manipulado el software. El 23 de septiembre pasado, Intel reveló la tercera generación de vPro, con mayor eficiencia y capacidades de control.

Ahora, a medida que los chips vPro llegan a cientos de motherboards en escritorios, servidores y laptops, Intel espera que un control del sistema con seguridad incorporada y casi sin requerir que nadie la instale significará reales ganancias para las empresas distribuidas con muchos empleados remotos.

 

LA MONEDA EST� EN EL AIRE. Pero en el entorno no todo son castañuelas. Un problema es que para que ocurra una integración plena con las aplicaciones empresariales, los fabricantes -y en particular Microsoft- tendrán que diseñar productos que funcionen con vPro.

Está, además, la cuestión de la viabilidad a largo plazo de vPro: un software empresarial que requiera actualizaciones para mantenerse al día frente a nuevas y cada vez más insidiosas herramientas de ataque, podría ser un blanco tentador, al grado de ser analizado y desconstruido (puesto que el software empresarial está sujeto a desensambles y a ser desechado).

La esperanza es que los principios básicos que actualmente están en el centro de las peores formas de intrusión, como los desbordamientos de búfer y la explotación de puertos, permanezcan relativamente estáticos y, de esta forma, con un conjunto básico y robusto de reglas se pueda vigilar a nivel core y detener las instrusiones antes de que éstas detengan las operaciones.

 

Ahora bien, el que estas esperanzas y la actividad de Intel sean suficientes para volver más eficiente esta iteración de seguridad en hardware con respecto a los anteriores esfuerzos, es algo que está por verse.

 

El vPro es una suite de administración o control ‘on-chip/on-motherboard’ que busca eliminar las actualizaciones de programas anti-malware, además de aislar los sistemas y restaurarlos.

Las estaciones de trabajo y los servidores de fabricantes de hardware, como Dell, HP y Toshiba incluyen tecnología vPro en sus tarjetas madre. Estos sistemas soportan la tecnología Active Management Technology (AMT), de Intel, que proporciona a los administradores de redes y sistemas una gama de herramientas no sólo para controlar el rastreo físico de los activos, sino también para detectar si la red ha quedado comprometida, y defenderse de esos ataques.

La herramienta de gestión de recursos de vPro se puede accesar vía HTTP, del mismo modo como se puede accesar una página de administración de un ruteador.

MUCHO M�S QUE UN CHIP,  Mediante el navegador, el administrador puede reiniciar el sistema, detener el proceso de arranque si el sistema operativo está comprometido y actualizar el BIOS del sistema.

La página Web también permite que el departamento IT reformatee los sistemas operativos colgados, averiguar cuál es el estatus del hardware y usar una imagen de la red para reinstalar el sistema operativo si el sistema remoto ha quedado corrompido.

 

Además, ofrece un conjunto de reglas o condiciones definidas para permitir el tráfico en la red que está establecida en el software empresarial, facilitando que los gerentes de red monitoreen si hay tráfico sospechoso en las tarjetas de interfaz de red (NIC, por sus siglas en inglés) o en los puertos TCP/UDP (por protocolo de control de transmisiones/protocolo de datagrama de usario).

Cuando se detecta tráfico cuestionable, el vPro notifica al área IT mediante una alerta o cierra automáticamente los procesos. Puede impedir un desbordamiento de búfer drenando el búfer de la red antes que el malware tenga oportunidad de hacerse con el control del sistema. Asimismo, se pueden establecer reglas para aislar las máquinas infectadas y para detener el tráfico por la red hacia o desde el sistema afectado. El chipset de vPro realiza esto independientemente del sistema operativo.

Para los fabricantes, hay algunas opciones de creatividad. De acuerdo con Intel, cada OEM puede determinar qué características estarán o no activadas, según los requisitos de sus clientes. El aprovisionamiento remoto se puede configurar a lo largo del proceso desde la consola de los fabricantes independientes de software (ISV), pero integrar características específicas en la estructura del Active Directory, por ejemplo, “requerirá algo más de tiempo”, comunica Intel. Será interesante ver si una ancha franja de proveedores construirán en su producto ganchos para vPro/AMT.

 

LOS RECOVECOS DE VPRO: La plataforma promete detener las actividades maliciosas antes de que afecten al sistema operativo

 

EL 1, 2, 3 DE VPRO

LA PROMESA

Lo que Intel se ha propuesto en materia de seguridad de los datos -desde las laptops de los empleados móviles hasta los servidores de los centros de datos con los que dichos empleados están conectados- es limitar o incluso detener por completo las intrusiones en la red antes de que tengan oportunidad de comprometer los sistemas operativos. Intel afirma que las herramientas de vPro para la administración de activos remotos reforzarán la seguridad física y la operabilidad.

 

LOS JUGADORES

Intel está apostando resueltamente a que vPro sea aceptado y adoptado con rapidez por Apple, Microsoft y los diferentes sabores de Linux. Dell, HP, Toshiba y otros ya venden estaciones de trabajo y servidores con vPro. En este momento, ningún rival de Intel está convirtiendo en prioridad la seguridad sobre chips, por lo que es probable que vPro afiance la posición de esta empresa como líder.

 

LAS PERSPECTIVAS

El software antivirus ya no puede sólo. A medida que los ataques de botnet y de desbordamiento de búfer se convierten en las armas preferidas de los hackers, Intel siente un gran compromiso en adelantarse y ganar la partida en la guerra contra el software dañino tapando los hoyos por donde éste pudiera infiltrarse. Asimismo, también se enfrenta a la perspectiva, a largo plazo, de disminuir sus ingresos por seguridad si los atacantes van imaginando maneras de esquivar las salvaguardas de los chips, puesto que la promesa de vPro es precisamente detener las actividades maliciosas antes de que afecten los sistemas operativos.

Artículos relacionados

1. EL GENOMA EN UN CHIP
2. Más seguro ir al banco