Per far fronte alla crescente complessità delle minacce alla sicurezza informatica, anche PC e dispositivi terminali si sono evoluti, integrando hardware e firmware dedicati al rafforzamento della sicurezza e diventati standard per i produttori. Se in passato prevenire vulnerabilità nelle applicazioni e proteggersi da attacchi esterni (via rete) era una priorità, ora che le tecnologie digitali sono essenziali per ogni business e veicolano informazioni sensibili è necessario proteggere i dispositivi da ogni possibile attacco o utilizzo malevolo. Tecnologie come TPM (Trusted Platform Module) e componenti firmware come UEFI giocano un ruolo fondamentale in questo contesto. La loro missione primaria è garantire autenticità, integrità e affidabilità del software in esecuzione su un dispositivo, assicurando anche la generazione e/o l’uso sicuro di chiavi di cifratura. Queste chiavi sono essenziali per prevenire minacce sia a livello software (accessi non autorizzati, furti di dati, vulnerabilità, sostituzione o manipolazione del sistema operativo, esecuzione di codice non autentico) che hardware (accesso fisico al dispositivo con conseguente accesso diretto al disco interno e ai dati). Tra le applicazioni più diffuse ci sono: Secure Boot, la cifratura dei dati “a riposo” e la mutua autenticazione di dispositivi.
Nel Secure Boot lo scopo principale è garantire l’autenticità e l’integrità del sistema operativo utilizzato, impedendo l’esecuzione con permessi privilegiati di codice non autenticato. Questa funzionalità è ormai largamente presente nello standard firmware UEFI (che spesso rimpiazza il vecchio BIOS). Secure Boot si affida a certificati (“firmati”) ritenuti sicuri e memorizzati nel firmware, che vengono usati per autenticare il software durante le fasi di avvio (boot) del sistema, assicurandosi che sul dispositivo siano avviabili solo sistemi operativi “sicuri” in quanto conformi al processo di certificazione. Un’estensione di questa modalità è quella in cui, oltre al sistema operativo, vengono verificate anche le applicazioni disponibili nel sistema, garantendo così una completa verifica di tutto il codice eseguito.
Un dispositivo TPM, invece, è un modulo in grado di generare e memorizzare al proprio interno (senza mai rivelare il proprio contenuto) una chiave segreta, oppure un certificato, che utilizza in operazioni di cifratura o firma offerte a “scatola chiusa”, delle quali rende disponibili solo il risultato.
La combinazione Secure Boot + TPM è fondamentale per realizzare la cifratura delle informazioni su disco, detta anche “cifratura dei dati a riposo”. Questa modalità consente l’accesso ai file su disco solo ad un’applicazione autentica, permettendo di proteggere oltre al codice eseguibile delle applicazioni anche dati generici e/o configurazioni. La chiave segreta di cifratura è saldamente memorizzata nel TPM, che è utilizzabile solo in caso di avvio autenticato tramite Secure Boot. Essendo il TPM integrato alla specifica CPU/board, lo stesso disco risulterebbe “non fruibile” se esportato e letto su un dispositivo diverso.
Questa modalità di utilizzo trova applicazione anche ove ci sia la necessità di stabilire una mutua autenticazione a livello applicativo tra dispositivi differenti; infatti, è possibile prevedere una fase di scambio di chiavi, in cui la chiave ricevuta dall’altro dispositivo viene memorizzata localmente nel TPM. Successivamente, il dispositivo può essere usato in contesti non sicuri, con la garanzia che la chiave sarà protetta nel TPM. Questo metodo è applicabile anche per garantire sicurezza end-to-end tra client e server (dove il client può essere un dispositivo operante in un ambiente non sicuro), o per verificare l’autenticità del codice o di licenza di uno specifico software installato sul dispositivo.
Tutte queste tecnologie sono alla base anche dei prodotti Praim, che sono in costante evoluzione per offrire sempre alle aziende funzionalità allo stato dell’arte anche nel campo della sicurezza informatica.
A cura di Luca Dariz, Senior R&D Engineer di Praim (nella foto qui sopra)