ANÁLISIS DE CONTRIBUCIONES Y CONSECUCIÓN DE OBJETIVOS

Como resultado de la metodología antedicha se producen ciertas contribuciones que ya se perfilaron en el primer capítulo de la memoria:

Capítulo 7

166

 Definición de la problemática asociada. La apertura de las nuevas plataformas móviles de computación plantea nuevas amenazas para la integridad de los diferentes componentes que conforman el ecosistema software de las mismas. Tradicionalmente, los dispositivos móviles eran equipos cerrados sobre los que el fabricante mantenía un control casi absoluto, por lo que no era sencillo desarrollar nuevos componentes para la plataforma ni conocer los detalles de bajo nivel que la caracterizaban, impidiéndose así de forma natural la proliferación de vectores de ataque capaces de comprometer la integridad de la misma. En los planteamientos actuales el escenario es bien distinto, y garantizar la integridad no ya de todos los componentes de la plataforma, sino simplemente de aquellos que resultan críticos para la seguridad de la misma es un reto complejo. Si a esto se añade que la comprobación de la integridad es la base de los actuales sistemas de NAC, esenciales para la seguridad y la correcta gestión de la red y los recursos corporativos, la problemática es clara. En este trabajo se definen detalladamente los parámetros que caracterizan esta problemática, aportándose ejemplos concretos de la misma, como el ataque Lying Endpoint.

 Elección de un modelo de amenaza apropiado. Cuando los atacantes potenciales, que pueden ser incluso los propios usuarios si perciben alguna ventaja en circunvenir las políticas de acceso de la red, tienen pleno acceso a la plataforma e información detallada sobre sus componentes resulta ingenuo pensar que no harán uso de dichos recursos para tratar de comprometer la seguridad de la misma y la integridad de los elementos que la componen. Tras comparar los diferentes modelos de amenaza clásicos, se opta por el modelo de caja blanca como única alternativa realista dadas las características de las plataformas móviles actuales, un modelo que se caracteriza precisamente porque el atacante posee pleno control sobre el sistema que desea comprometer y no sólo puede seleccionar las entradas al mismo y comprobar sus salidas, sino también observar detalladamente su funcionamiento. Es evidente que este modelo impondrá requisitos de un alto grado de exigencia, al tratarse del escenario menos restrictivo para el atacante, y hará necesario que las soluciones planteadas se caractericen por ser capaces de ofrecer elevados grados de seguridad.

 Especificación de nuevas entidades arquitecturales de NAC para el aprovisionamiento de componentes software con garantías de seguridad. En un primer intento de resolver la problemática descrita, se plantea una nueva entidad a incluir en los planteamientos arquitecturales típicos de las soluciones de NAC actuales, el Repositorio de Aplicaciones y Componentes Software o RACS. La idea fundamental que motiva el RACS es la de trasladar los mecanismos de seguridad y de garantía de la integridad necesarios desde el dispositivo a una entidad externa a éste, con objeto de menoscabar el control que un atacante pudiera tener sobre los mismos cuando estos residen en la propia plataforma. Al mismo tiempo, el RACS da respuesta a una necesidad que se produce, no en el plano de la seguridad, sino en el de la gestión, el del aprovisionamiento de componentes software con garantías de seguridad. Lamentablemente, y a pesar de las ventajas que ofrece este planteamiento, los mecanismos de seguridad propuestos siguen requiriendo de cierto nivel de colaboración por parte de la plataforma que un atacante podría utilizar para evitarlos o comprometerlos.

Conclusiones

167

 Selección de la tecnología de base para una nueva propuesta. Tras comprobar, gracias a la primera propuesta, que resulta imprescindible contar con elementos de control desplegados directamente sobre la plataforma a analizar, se decide que una solución definitiva ha de estar basada en una tecnología que permita observar la plataforma y su configuración de forma directa pero garantizando al mismo tiempo el aislamiento de la misma para evitar el control del atacante bajo el modelo de caja blanca. Se determina además hacer uso de planteamientos basados en hardware, por la mayor dificultad que existe para atacar el hardware. Se descartan soluciones que requieren de soporte específico en el sistema operativo o por parte de componentes de la plataforma y aquéllas que no son generalizables fácilmente a diferentes fabricantes y/o configuraciones. Finalmente, se elige el planteamiento conocido como Entorno Seguro de Ejecución (Trusted Execution Environment en inglés, o TEE), que hace uso de técnicas de virtualización basadas en hardware para ofrecer un entorno de ejecución aislado de la plataforma. Como resultado del análisis de esta tecnología, se aíslan sus deficiencias y se propone la inclusión de dos nuevas características a la misma para permitir la observación de la plataforma en las condiciones necesarias para ofrecer un mecanismo compatible con los planteamientos actuales de NAC: el acceso directo y sin restricciones a la memoria física del dispositivo y la ejecución espontánea de los mecanismos de evaluación desde el entorno seguro.

 Propuesta de un procedimiento de evaluación. Sobre la base de los TEE, este trabajo propone un procedimiento de evaluación mediante el cual es posible evaluar cualquier aspecto o propiedad de la plataforma objeto de análisis. En concreto, se plantea la adquisición y posterior análisis de imágenes de memoria física del dispositivo, como fuente fidedigna y completa de información sobre el estado y la ejecución de la plataforma en un cierto momento del tiempo, partiendo de la base de que entraña una gran complejidad modificar esta información sin afectar a dicha ejecución. Se definen detalladamente las fases de que consta este procedimiento de evaluación, desde la obtención de la información sobre los contenidos de la memoria física y su posterior análisis para obtener las medidas necesarias según las políticas de control de acceso, hasta la plena aplicación de dichas políticas en función del resultado de las mismas. Se obtiene así una solución capaz de ofrecer el nivel de seguridad adecuado a pesar de utilizarse un modelo de caja blanca, que no requiere además de soporte específico por parte de la propia plataforma software cuya integridad se trata de comprobar y cuyas posibilidades para actuar sobre la misma son muy superiores a las que poseen otros planteamientos alternativos.