CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
6 d'agost de 2002


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

5 d'agost de 2002 - Palladium i TCPA: la resposta de la indústria per a millorar la seguretat... o, potser és una cosa diferent?

Recentment s'ha presentat una iniciativa de la indústria, TCPA, que es presenta com un mètode per a augmentar el nivell de seguretat dels sistemes informàtics. Hi ha qui veu, pel contrari, que d'aplicar-se podria suposar la mort del software de codi obert tal com el coneixem avui.

Palladium és el nom el clau que rep una iniciativa de Microsoft per a implementar l'especificació TCPA (Trusted Computing Platform Alliance). Aquesta iniciativa pretén crear un marc per a poder controlar el software que s'executa als sistemes informàtics. Les principals empreses del sector informàtic donen suport a TCPA: Microsoft, Intel, IBM, HP i d'altres empreses.

Palladium és un projecte molt ambiciós, sorgit arrel del famós missatge enviat per Bill Gates a tots els empleats de Microsoft el passat mes de gener i suposa una revolució a l'arquitectura del PC que avui coneixem.

L'objectiu final del projecte Palladium és crear una nova plataforma informàtica que millori ostensiblement la capacitat dels usuaris per a protegir la privacitat de les seves dades i controlar el software que s'executa a les seves màquines. Microsoft també planteja Palladium com una nova plataforma per a una sèrie de serveis, molts dels quals encara no estan disponibles, relacionats amb la privacitat, el comerç electrònic i l'entreteniment.

Un dels objectius bàsics de Palladium és posar fi al descontrol que hi ha en relació amb els virus informàtics. Així, una de les característiques que més ha cridat l'atenció és la possibilitat d'impedir l'execució de qualsevol codi que no estigui signat digitalment per una font de confiança. Aquest control es faria a nivell de hardware, per tal d'evitar els possibles problemes d'una implementació a nivell de software.

La implementació d'aquest control, suposaria, d'entrada, una important barrera no només pels virus informàtics sinó per a pràcticament la major part dels "exploits" basats en la utilització d'un desbordament de memòria intermèdia per a l'execució de codi arbitrari. Com que aquest codi no disposaria d'una signatura digital, no arribaria a ser executat.

Tal i com ja hauran intuït molts dels lectors d'aquesta secció "Una per dia", disposar d'aquest sistema significaria la reducció dràstica dels incidents de seguretat que avui per avui patim. Pràcticament gairebé totes les notícies que publiquem a "Una per dia" passarien a ser història, al deixar d'existir el codi malèvol.

Com afecta això al codi lliure

Des de diversos mitjans relacionats amb el codi obert, s'ha posat la veu d'alerta davant d'aquestes iniciatives. S'ha arribat a escriure que, de tenir èxit aquesta iniciativa, podria suposar la mort del software de codi obert... o això o Microsoft (o l'empresa responsable de signar el "codi legítim") hauria de signar els diferents paquets de software lliure. Si la nova versió del nucli de Linux no disposa de la seva signatura digital, un sistema basat en Palladium es negaria a executar-lo.

El món del software de codi obert està passant per una època molt negativa durant aquestes últimes setmanes. Les recents vulnerabilitats descobertes a Apache i OpenSSH han disminuït la confiança que fins ara es tenia en el software de codi obert. L'últim incident d'OpenSSH, on un intrús va ser capaç d'introduir un troià a la distribució oficial del paquet, posen de relleu la necessitat de replantejar-se l'status actual.

Ens troben doncs davant d'un tema que donarà molt de parlar els propers mesos i al que hi anirem dedicant més butlletins properament. A l'apartat "Més informació" el lector trobarà enllaços a un bon nombre de documents i seus webs on es discuteix àmpliament tot el relacionat amb Palladium i TCPA.

Més informació

Q&A: Microsoft Seeks Industry-Wide Collaboration for "Palladium" Initiative
http://www.microsoft.com/presspass/features/2002/jul02/07-01palladium.asp

Microsoft Executive E-mail: Trustworthy Computing
http://www.microsoft.com/mscorp/execmail/

Microsoft Palladium: A Business Overview
http://www.microsoft.com/presspass/features/2002/
jul02/0724palladiumwp.asp

Trusted Computing Platform Alliance
http://www.trustedcomputing.org/

Group forms to plug holes in PC security
http://www.eetimes.com/story/OEG20020426S0124

Una per dia (01-07-02): La seguretat del model de codi obert
http://www.quands.cat/unaperdia/arxiu/20020701.html

The Devil and The Deep Blue Sea
http://online.securityfocus.com/columnists/96

Una per dia (17-06-02): Vulnerabilitat a Apache
http://www.quands.cat/unaperdia/arxiu/20020617.html

Una per dia (20-06-02): Es publica l'actualització d'Apache
http://www.quands.cat/unaperdia/arxiu/20020620.html

Una per dia (24-06-02): Propera vulnerabilitat d'OpenSSH
http://www.quands.cat/unaperdia/arxiu/20020624.html

Una per dia (27-06-02): Es publiquen les vulnerabilitats d'OpenSSH
http://www.quands.cat/unaperdia/arxiu/20020627.html

Una per dia (03-08-02): Troià a la distribució d'OpenSSH
http://www.quands.cat/unaperdia/arxiu/20020803.html

Slashdot: The Power of Palladium
http://slashdot.org/article.pl?sid=02/07/12/1310253

Salon.com: Can we trust Microsoft's Palladium?
http://www.salon.com/tech/feature/2002/07/11/palladium/index.html

Wired.com: Palladium: Safe or Security Flaw?
http://wired.com/news/antitrust/0,1551,53805,00.html

Microsoft: Palladium not just for Windows
http://zdnet.com.com/2100-1104-941957.html

TCPA and Palladium: Sony Inside
http://www.kuro5hin.org/story/2002/7/9/17842/90350

TCPA/Palladium Frequently Asked Questions
http://www.cl.cam.ac.uk/users/rja14/tcpa-faq.html

Xavier Caballé
xcaballe@quands.com
Contacte: info@quands.com