Protección contra revisiones del núcleo

El núcleo conecta el software al hardware de una computadora.

La protección contra revisiones del núcleo, también conocida como Kernel Patch Protection o PatchGuard, consiste en una característica de las ediciones para arquitecturas x64 de Microsoft Windows que previene parchear el núcleo. Fue intrucida por primera vez en 2005 con las ediciones x64 de Windows XP y Windows Server 2003 Service Pack 1.^[1]

Microsoft nunca ha aprobado éstas modificaciones porque pueden reducir significantemente la seguridad y la fiabilidad del sistema. Sin embargo, aunque éste no lo recomiende, el núcleo puede técnicamente parchearse en ediciones x86 de Windows. Por contrario, con las ediciones de x64, Microsoft decidió poner trabas a los usuarios contra el parcheado.

Técnicamente, sólo se permite parchear el núcleo por las ediciones x86, sin embargo, varios desarrolladores, lo parchean para proporcionarle servicios de antivirus y otros parches que constituyen servicios de seguridad general. Éste tipo de software no funciona en computadoras que usan ediciones x64 de Windows. A causa de esto, ésta protección ha sido causa de críticas, por hacer que los desarrolladores rediseñen su propio software sin usar técnicas para parchearlo.

También, a causa del diseño del núcleo de Windows, la protección no puede prevenir completamente que pueda ser parcheado. Esta estrategia ha tenido críticas debido a que la protección no es perfecta, los problemas que ésta medida ha causado a los desarrolladores de antivirus, son mucho peores que los beneficios que el software malicioso obtiene al encontrar otro modo de sortear las defensas.

Sobrevista técnica

El núcleo de Windows se diseña para que los controladores de dispositivos tengan los mismos privilegios que el mismo núcleo.^[2] Se espera que éstos Controladores no modifiquen las estructuras centrales que hay dentro del núcleo.^[1] Las ediciones x86 de Windows, no esperan que vaya a haber controladores que lo parcheen y no lo refuerza. Algunos programas, en particular varios programas de seguridad y antivirus, se diseñaron para llevar a cabo tareas que carguen Controladores, que permitan modificar las estructuras centrales de éste.^{[2] [3]}

En ediciones x64 de Windows, Microsoft decidió comenzar a endurecer las restricciones para que el núcleo no pudiese parchearse. La tecnología usada se denomina Protección contra revisiones del núcleo. Dicha edición, comprueba periódicamente que no se hayan modificado las estructuras protegidas del sistema, si se detecta una modificación, Windows inicia una comprobación y éste se desconecta.^{[4] [2]}

Las modificaciónes prohibidas incluyen:^[4]

• Modificar las tablas de llamadas al sistema del sistema.
• Modificar la tabla de distribución de interrupción (IDT)
• Modificar la tabla de descriptor global (GDT)
• Usar pilas no asignadas por el núcleo
• Modificar o parchear código dentro del núcleo^[4] o las bibliotecas HAL o NDIS^[5]

La protección contra revisiones del núcleo sólo previene que se instalen Controladores que lo modifiquen, pero no dispone de protección contra los que modifican a otro Controlador.^[6]

Al final, debido a que los Controladores tienen otorgados los mismos privilegios que el núcleo, es imposible prevenir completamente, que los controladores sorteen la protección y lo parcheen.^[7] Sin embargo, la protección presenta obstáculos significantes contra el parcheo, añadiendo código ofuscado y nombres de símbolos engañosos y usando un sistema de seguridad por oscuridad, para obstaculizar los intentos de sortearla.^{[2] [8]} Las actualizaciones periódicas de la protección también la convierten en un «blanco móvil», porque las técnicas para sortearla, que posiblemente funcionen por un tiempo, probablemente dejarán de funcionar con la próxima actualización del sistema. Desde su creación en 2005, Microsoft ha publicado hasta el momento dos grandes actualizaciones de la protección, cada una diseñada para romper las técnicas conocidas de circunvalación en las versiones anteriores.^{[2] [9] [10]}

Ventajas

Microsoft nunca ha apoyado parchear el núcleo porque puede causar una serie de efectos negativos.^[3] Dicha protección incluye código para subsanar éstos efectivos negativos, entre los que se incluyen:

• La pantalla azul de la muerte, resultado de errores serios en el núcleo.^[11]
• Problemas de fiabilidad debidos a que múltiples programas tratan de parchear la misma parte del núcleo.^[12]
• Seguridad comprometida.^[2]
• Rootkits pueden usar acceso al núcleo para incrustarse en un sistema operativo, siendo casi imposibles de eliminar.^[11]
• Es probable que éstos productos de software que hacen modificaciones al núcleo, no funcionen con nuevas versiones de Windows o actualizaciones que cambien su funcionamiento.^[3]

El FAQ de Microsoft de protección contra revisiones del núcleo además explica que:

Porque parchear el núcleo consiste en sustituir en éste, código desconocido y no aprobado por código aprobado. No hay ninguna forma de evaluar la calidad o el impacto que éstos códigos de terceros producen... Un examen en línea de análisis de datos de cuelgues, muestra que los cuelgues de sistema, a menudo resultan ser tanto de ambos, software malicioso y no malicioso que parchea el núcleo.

—«Kernel Patch Protection: Frequently Asked Questions» (22-01-2007). Consultado el 22-02-2007.

Criticas

Aplicaciones de organizaciones terceros

Algunos programas de seguridad de computadora, como McAfee VirusScan y Norton AntiVirus, funcionan parcheando el núcleo. Además, el software antivirus de Kaspersky Lab se sabe que hace uso extensivo de parcheado del núcleo en ediciones x86 de Windows.^[13] Este tipo de software antivirus no funciona en computadoras usando ediciones x64 de Windows a causa de la protección contra revisiones del núcleo.^[14] Por esta razón, McAfee pidió a Microsoft que eliminase la protección totalmente o que hiciese excepciones para el software de empresas como él suyo mismo.^[15] Curiosamente, el software antivirus corporativo de Symantec funciona con ediciones x64 de Windows a pesar de las restricciones.^[16]

Software antivirus hecho por los competidores Eset,^[17] Trend Micro,^[18] Grisoft,^[19] y Sophos no parchea el núcleo. Sophos ha declarado públicamente que no siente que la protección contra revisiones del núcleo, límite la eficacia de su software.^{[20] [21]}

Jim Allchin, entonces co-presidente de Microsoft, era un defensor firme de la protección contra revisiones del núcleo.

Contrariamente a algunos informes de prensa, los programadores de Microsoft no debilitarán la protección contra revisiones del núcleo por hacer excepciones a ella, aunque éstos se han comprometido a relajar sus restricciones de vez en cuando, para el beneficio de software de virtualización hipervisor.^{[6] [22]} En lugar, Microsoft trabajó con empresas de terceros para crear nuevas interfaces de programación de aplicaciones de software de seguridad que ayudan a realizar las tareas necesarias sin parchear el kernel.^[12] Se incluye estas nuevas interfaces con Windows Vista Service Pack 1.^[23]

El 21 de diciembre de 2006, el jefe científico de McAfee George Heron dijo que estaba complacido con el progreso que Microsoft estaba haciendo en las nuevas interfaces.^[24]

Debilidades

Debido al diseño del núcleo de Windows, la protección contra revisiones del núcleo no puede prevenir completamente que éste sea parcheado.^[7] Así, el equipo de seguridad de McAfee y Symantec fueron los encargados de decir que la protección es una defensa imperfecta, los problemas causados a los proveedores de seguridad no son superiores a los Beneficios porque el software malicioso simplemente encuentra la forma de sortear las defensas de la protección.^{[15] [25]}

En enero de 2006, los investigadores de seguridad conocidos por los seudónimos "skape" y "Skywing", publicaron un informe que describe los métodos, algunos teóricos, a través de los cuales la protección podría ser dejada de lado. Skywing pasó a publicar un segundo informe en enero de 2007 para sortear la versión 2 de la protección, y un tercer informe en septiembre de 2007, sobre la versión 3 de la protección. Así mismo, en octubre de 2006 la empresa de seguridad Authentium desarrolló un método para eludir la protección.^[26]

Sin embargo, Microsoft ha afirmado que se han comprometido a eliminar los defectos que permiten que la protección sea dejada de lado, como parte de su estándar de Centro de Respuesta de Seguridad de proceso.^[27] En consonancia con esta declaración, Microsoft ha publicado hasta el momento dos grandes actualizaciones a la protección, cada una diseñada para romper las técnicas conocidas de circunvalación en las versiones anteriores.^{[2] [9] [10]}

Antitrust comportamiento

En 2006, la Comisión Europea expresó su preocupación por la protección contra revisiones del núcleo, diciendo que era contraria a la competencia.^[28] Sin embargo, el propio producto antivirus de Microsoft, Windows Live OneCare, no tiene ninguna excepción especial a la protección. Por el contrario, Windows Live OneCare usa (y siempre ha utilizado) métodos aparte de parchear el núcleo para proporcionar servicios de protección contra virus.^[29] Sin embargo, por otras razones una edición x64 de Windows Live OneCare no estuvo disponible hasta el 15 de noviembre de 2007.^[30]

Enlaces externos

• Protección frente a revisiones del núcleo para sistemas operativos basados en x64

Asesoramientos de Microsoft

• Actualización junio 13, 2006 a la protección contra revisiones del núcleo
• Actualización agosto 14, 2007 a la protección contra revisiones del núcleo

Referencias

1. ↑ ^{a b} «Kernel Patch Protection: Frequently Asked Questions». Microsoft (22-01-2007). Consultado el 30-07-2007.
2. ↑ ^{a b c d e f g} Skywing (September de 2007). «Introduction». UninformedPatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3. Consultado el 20-09-2007.
3. ↑ ^{a b c} Schofield, Jack (28-09-2006). «Antivirus vendors raise threats over Vista in Europe». The Guardian. Consultado el 20-09-2007. "Jamás hemos permitido que ésto llegase a ocurrir y de ningún modo lo endorsamos nosotros. Éstos parches, indroducen inseguridad, inestabilidad, y problemas de rendimiento, y cada vez que cambiamos algo en la estructura, el código de esas aplicaciones se rompe. —Ben Fathi, corporate vice president of Microsoft's security technology unit
4. ↑ ^{a b c} «Protección frente a revisiones del núcleo para sistemas operativos basados en x64». MicrosoftCambios de funcionalidad en el Service Pack 1 de Microsoft Windows Server 2003. Consultado el 13-04-2008.
5. ↑ skape; Skywing (December de 2005). «System Images». UninformedBypassing PatchGuard on Windows x64. Consultado el 21-09-2007.
6. ↑ ^{a b} Skywing (January de 2007). «Conclusion». UninformedSubverting PatchGuard Version 2. Consultado el 21-09-2007.
7. ↑ ^{a b} skape; Skywing (December de 2005). «Introduction». UninformedBypassing PatchGuard on Windows x64. Consultado el 20-09-2007.
8. ↑ Skywing (December de 2006). «Misleading Symbol Names». UninformedSubverting PatchGuard Version 2. Consultado el 20-09-2007.
9. ↑ ^{a b} Microsoft (June de 2006). «Update to Improve Kernel Patch Protection». MicrosoftMicrosoft Security Advisory (914784). Consultado el 21-09-2007.
10. ↑ ^{a b} Microsoft (August de 2007). «Update to Improve Kernel Patch Protection». MicrosoftMicrosoft Security Advisory (932596). Consultado el 21-09-2007.
11. ↑ ^{a b} Field, Scott (11-08-2006). «An Introduction to Kernel Patch Protection». MicrosoftWindows Vista Security blog. Consultado el 30-11-2006.
12. ↑ ^{a b} Allchin, Jim (20-10-2006). «Microsoft executive clarifies recent market confusion about Windows Vista Security». Microsoft. Consultado el 30-11-2006.
13. ↑ Skywing (June de 2006). «Patching non-exported, non-system-service kernel functions». UninformedWhat Were They Thinking? Anti-Virus Software Gone Wrong. Consultado el 21-09-2007.
14. ↑ Montalbano, Elizabeth (06-10-2006). McAfee Cries Foul over Vista Security Features. PC World. http://www.pcworld.in/news/index.jsp/artId=4587538. Consultado el 30-11-2006. 
15. ↑ ^{a b} Samenuk, George (28-09-2006). «Microsoft Increasing Security Risk with Vista». McAfee. Consultado el 20-09-2007.
16. ↑ «Symantec AntiVirus Corporate Edition: System Requirements». Symantec (2006). Consultado el 30-11-2006.
17. ↑ «64-bit Protection». ESET. Consultado el 05-10-2007.
18. ↑ «Minimum System Requirements». Trend Micro USA. Consultado el 05-10-2007.
19. ↑ «AVG Anti-Virus and Internet Security - Supported Platforms». Grisoft. Consultado el 05-10-2007.
20. ↑ Jaques, Robert (23-10-2006). Symantec and McAfee 'should have prepared better' for Vista. vnunet.com. http://www.vnunet.com/vnunet/news/2167016/symantec-mcafee-should-prepared. Consultado el 30-11-2006. 
21. ↑ Fulton, Scott M., III (20-10-2006). Sophos: Microsoft Doesn't Need to Open Up PatchGuard. BetaNews. http://www.betanews.com/article/Sophos_Microsoft_Doesnt_Need_to_Open_Up_PatchGuard/1161379239. Consultado el 22-01-2007. 
22. ↑ McMillan, Robert (19-01-2007). Researcher: PatchGuard hotfix stitches up benefit to Microsoft. InfoWorld. http://www.infoworld.com/article/07/01/19/HNpatchguardstitch_1.html. Consultado el 21-09-2007. 
23. ↑ «Notable Changes in Windows Vista Service Pack 1». Microsoft (2008). Consultado el 20-03-2008.
24. ↑ Hines, Matt (21-12-2006). «Microsoft Gets Positive Feedback for Vista APIs». eWEEK. Consultado el 05-07-2007.
25. ↑ Gewirtz, David (2006). The great Windows Vista antivirus war. OutlookPower. http://www.outlookpower.com/issuesprint/issue200611/00001883.html. Consultado el 30-11-2006.  "El sistema ya es vulnerable. La gente ya ha hackeado el PatchGuard. El sistema ya es vulnerable a pesar de cualquier cosa que se haga. PatchGuard tiene un efecto enfriendo en innovación. Los tipos malos siempre van a estar innovando. Microsoft no debe atar los manos de la industria de seguridad para que ellos no puedan innovar. Nos preocupamos por innovar más que los tipos malos." —Cris Paden, Manager on the Corporate Communication Team at Symantec
26. ↑ Hines, Matt (25-10-2006). Microsoft Decries Vista PatchGuard Hack. eWEEK. http://www.eweek.com/article2/0,1759,2037052,00.asp. Consultado el 30-07-2007. 
27. ↑ Gewirtz, David (2006). The great Windows Vista antivirus war. OutlookPower. http://www.outlookpower.com/issuesprint/issue200611/00001883.html. Consultado el 30-11-2006. 
28. ↑ Espiner, Tom (25-10-2006). EC Vista antitrust concerns fleshed out. silicon.com. http://software.silicon.com/os/0,39024651,39163525,00.htm. Consultado el 30-11-2006. 
29. ↑ Jones, Jeff (12-08-2006). «Windows Vista x64 Security – Pt 2 – Patchguard». MicrosoftJeff Jones Security Blog. Consultado el 11-03-2007.
30. ↑ White, Nick (14-11-2007). «Upgrade to Next Version of Windows Live OneCare Announced for All Subscribers». MicrosoftWindows Vista Team Blog. Consultado el 14-11-2007.