jueves, abril 10, 2008

Tecnología Intel vPro: Mejor virtualización pero también más DRM y control de contenidos

Acabo de leer el artículo que ha publicado Jon Stokes en Ars Technica sobre la nueva plataforma de virtualización que ha publicado Intel, denominada vPro. A primera vista Intel ha implementado una serie de tecnologías que permite hacer que todo el juego de instrucciones x86 sea virtualizable fácilmente (sin recurrir a emulación tras traps por instrucciones ilegales) y por otra parte ha implementado una IOMMU, una unidad que permite implementar entrada y salida a direcciones virtualizadas. Con ayuda de estas dos technologías, Intel se ha permitido presentar la primera implementación de trusted computing. La técnica de virtualización permite proteger diferentes sistemas opertivos que estén ejecutándose sobre la misma plataforma unos de otros, y al hypervisor encargado de manejar todos los recursos físicos, en especial en lo referente a las peticiones DMA y a las interrupciones, asegurándose que estas sean rutadas hacia la máquina virtual correcta. Del propio artículo
No longer will a device under the control of one VM be able to access another VM's memory space because the IOMMU knows which regions of physical memory correspond to which VM, and it can block or grant access to those regions based on the source of the I/O request.

DRM: El control de lo que puedes ejecutar en tu propia plataforma

¿Y que tiene que ver todo esta tecnología con el control de lo que puedes ejecutar en el PC?. Pues supongamos que tengamos un hypervisor que sólo se arranca si puede comprobarse que no ha sido modificado. El chip TPM puede hacer que toda la cadena de programas que se ejecuten, desde la BIOS hasta el reproductor de vídeo esté protegido por una firma criptográfica, ejecutándose todo el sistema en un entorno en el que se pueda confiar.

Ahora, si le añadimos las extensiones virtuales, pueden protegerse estas zonas de memoria de cualquier otro tipo de acceso, ya sea por otras máquinas virtuales, ya sea por binarios modificados del sistema.La IOMMU puede proteger el acceso a nivel de página de esta información y de borrar la información de la memoria usada una vez que ha sido liberada. Aunque se vende como un sistema de gestión ideal para la empresa, hay que tener esta cara oculta que presenta la tecnología.

Por cierto, ya hay IDS implementados como hypervisores como el Virtual Security Solution de Syamantec.

Por último este párrafo del artículo:

the NSA and the U.S. Army now rely on technology from the Trusted Computing Group, with the Army mandating the same TPM v1.2 modules that form the basis of vPro in all of its computers for network security reasons. This being the case, many folks, myself included, look at "trusted computing" technologies and wonder how the federal government allows them to proceed to market absent the export controls that are typical of strong encryption and so-called "dual-use" technologies that could have potential military applications. But that's a topic for another day.
A lo mejor, hay alguna puerta trasera que desconocemos ....

Referencias

Technorati Tags: ,

No hay comentarios: