Microsoft
está apostando fuerte por Windows Phone, su sistema operativo para móviles.
Aunque en la actualidad la última versión para usuarios es la 8.0, ya está
disponible la versión Windows Phone 8.1 Developer Preview para desarrolladores.
Microsoft, al
igual que hiciera Apple,
ha publicado un
documento en el que explica de manera detallada las características de
seguridad incluidas en esta nueva versión.
A lo largo de 25 páginas, Microsoft detalla las mejoras de seguridad
aplicadas en Windows Phone. Microsoft tiene constancia de la importancia de
la seguridad y ha diseñado el sistema operativo con la seguridad para usuarios
y organizaciones en mente.
"Windows Phone is designed with
security in mind for users
and organizations."
La lectura del documento revela
que además de incorporar muchas mejoras
de seguridad, Microsoft ha tenido en mente a las empresas y sus necesidades
para que su sistema operativo pueda cumplir las necesidades de seguridad de
cualquier compañía. Microsoft ha organizado sus esfuerzos para la seguridad
en Windows Phone alrededor de tres simples áreas: proteger el dispositivo
contra riesgos, proteger los datos y asegurar el acceso a los recursos.
Debido a que Windows Phone 8.1
comparte muchos de los mismos componentes subyacentes de Windows 8.1 y Windows
Server 2012 R2, incluyendo los relacionados con la seguridad, el nuevo sistema ofrece
previsibilidad, fiabilidad y uniformidad en la forma en que puede ser utilizado
y gestionado. Microsoft pretende llegar a ofrecer una plataforma única independientemente
del dispositivo empleado.
Pero el carácter común, va mucho
más allá de las apariencias y la experiencia del usuario. Los dispositivos
basados en Windows comparten muchas características de seguridad que no sólo
son idénticas en nombre, sino que también cada vez son más parecidas a nivel de
código.
De esta forma, Microsoft enumera características ya
conocidas también incluidas en Windows Phone 8.1. Nos encontramos con
nombres y siglas ya conocidas y comunes como Unified Extensible Firmware
Interface (UEFI), Trusted Platform Module (TPM), Data Execution Prevention
(DEP) o ASLR. Además de incluir cifrado del dispositivo, el modelo de sandbox AppContainer,
filtro SmartScreen, eliminación remota de datos de la compañía, Virtual Smart
Cards, Information Rights Management (IRM) así como mantener el mismo modelo y
arquitectura de desarrollo y de aplicaciones que en el resto de plataformas
Windows.
El proceso de arranque
Que duda cabe que una de las
mayores preocupaciones existentes en la actualidad en relación al uso de dispositivos
móviles es el malware. Microsoft ha implantado medidas especiales para evitar
que Windows Phone sea pasto del malware. Empezando en el proceso de arranque,
Windows Phone utiliza la misma tecnología que Windows 8.1 para asegurar el
proceso de arranque, especialmente lo relativo a UEFI y su componente "Secure Boot" ("arranque seguro").
UEFI (Unified Extensible Firmware Interface) es una interfaz de
firmware estándar diseñada para reemplazar la clásica BIOS (Sistema Básico de Entrada y Salida). Es un estándar creado
por más de 140 compañías tecnológicas que forman parte del consorcio UEFI, en
el que se incluye Microsoft.
Secure Boot es una característica
de UEFI (que ya ha dado sus problemas y mucho que hablar en el entorno PC, con
Windows y Linux y los arranques duales), destinada a proteger los dispositivos
contra el malware o cualquier otra manipulación que pueda ocurrir durante el
proceso de arranque. Cuando se enciende el dispositivo, el firmware inicia el
gestor de arranque solo si su firma digital mantiene la integridad y el gestor
está firmado por una autoridad de confianza registrada el la base de datos de
UEFI. La firma del gestor de arranque de todos los dispositivos Windows Phone
es de confianza.
En los sistemas Windows 8.1, es
posible desactivar "Secure Boot",
algo que ya dio problemas debido a que una actualización anuló esta posibilidad
lo que provocó que se anularan los arranques duales. Sin embargo los
dispositivos Windows Phone y Windows RT están diseñados para ejecutar solo sus respectivos
sistemas operativos, por lo que "Secure
Boot" no puede desactivarse y los usuarios no pueden cargar ningún
otro sistema diferente.
Si "Secure Boot" verifica que el gestor de arranque es seguro,
"Trusted Boot" protege el
resto del proceso de arranque verificando que todos los componentes Windows
tienen integridad y son de confianza. El gestor de arranque verifica la firma
digital del kernel de Windows Phone antes de cargarlo. El kernel de Windows
Phone, a su vez, verifica todos los demás componentes del proceso de inicio de
Windows, incluyendo los controladores de arranque y los archivos de inicio.
Si se encuentra un archivo modificado
(por ejemplo, si un malware lo modificó para iniciar código malicioso), "Trusted Boot" protege todos los
componentes de Windows y evita el arranque de los componentes que hayan sido
manipulados. Todos los componentes del sistema y las aplicaciones deben estar
adecuadamente firmadas antes de que Windows Phone las cargue y arranque. Si un
usuario malicioso o malware manipula algún componente del sistema o archivos de
aplicación, el correspondiente componente o aplicación no podrá cargarse y ser
iniciado.
El documento no explica si en
caso de modificación de un archivo importante para el sistema, ese mismo
bloqueo del componente podría llegar a impedir el inicio del dispositivo.
Más información:
Windows Phone 8.1 Security Overview
System Center 2012 R2 Configuration Manager
Windows Intune
una-al-dia (13/03/2014) Apple
actualiza el informe sobre seguridad en iOS (I)
una-al-dia (14/03/2014) Apple actualiza
el informe sobre seguridad en iOS (y II)
una-al-dia (07/05/2014) Microsoft detalla las características de seguridad de Windows Phone 8.1 (y II)
http://unaaldia.hispasec.com/2014/05/microsoft-detalla-las-caracteristicas_7.html
Antonio Ropero
Twitter: @aropero
Me encanta windows... pero tanta chorrada de seguridad hace que desarrollar una app sea poco asequible...:(
ResponderEliminar