El caos de la empresa CrowdStrike ha reabierto la batalla por acceder al núcleo de Windows
El acceso al 'kernel' de Windows ayuda a detectar las ciberamenazas, pero los errores pueden colapsar los ordenadores
El apagón tecnológico de julio que dejó fuera de servicio a empresas de todo el mundo reaviva el escrutinio sobre por qué algunas empresas tienen acceso al corazón mismo de un ordenador y, por tanto, la capacidad de bloquearlo de repente.
El acceso al kernel, considerado el núcleo del sistema operativo de un ordenador, es fundamental para protegerse contra los virus. Sin embargo, el apagón tecnológico del mes pasado puso de manifiesto el riesgo de tal vulnerabilidad en los ordenadores con Windows de Microsoft. Los desarrolladores y fabricantes de software afirman que existen formas más seguras de acceder al núcleo sin acceso total, pero Microsoft no ha dado el salto.
En julio, una actualización de software incorrecta de la empresa de ciberseguridad CrowdStrike dejó fuera de servicio 8,5 millones de ordenadores con Microsoft Windows, interrumpiendo las operaciones de bancos, servicios de emergencia, escuelas y hospitales y obligando a las aerolíneas a interrumpir sus vuelos. Permitir a los fabricantes de software ejecutar "controladores del kernel", que son programas creados para acceder al núcleo de un ordenador y a su hardware, no es la única opción para que sus productos funcionen. Apple, por ejemplo, impide el acceso de terceros al núcleo de su sistema operativo MacOS, lo que obliga a los ciberproveedores a operar en el más restringido "modo usuario".
En modo usuario, donde se ejecutan la mayoría de las aplicaciones hoy en día, un software con errores no puede bloquear un ordenador. En modo kernel, donde CrowdStrike y la mayoría de los demás fabricantes de antivirus funcionan en Windows, una actualización defectuosa puede provocar la "pantalla azul de la muerte". Pero funcionar en modo kernel también tiene ventajas, como dar a los fabricantes de antivirus acceso a los datos de bajo nivel del sistema, fundamentales para detectar ciberataques y amenazas, y permitir que sus herramientas se activen antes de que lo haga el malware.
Lo que llama la atención es que ya existe otra alternativa de código abierto en el sistema operativo Linux, pero depende de Microsoft que esté disponible para Windows, explica Alexei Starovoitov, ingeniero de Meta Platforms y creador de esta nueva tecnología. Denominada Extended Berkeley Packet Filter o eBPF, esta nueva tecnología, de la que Starovoitov y otros fueron pioneros, podría haber contribuido a evitar el apagón mundial de CrowdStrike, afirman sus defensores y los proveedores informáticos. eBPF coloca los programas en un entorno aislado en el núcleo, lo que impide que una actualización maliciosa llegue a él y bloquee el ordenador.
CrowdStrike está de acuerdo. Se trata de una "tecnología superrevolucionaria", afirma Michael Sentonas, presidente de la empresa. "Si se produce un fallo, no se elimina todo el kernel". Mientras se sucedían los titulares sobre el impacto de la caída, Brendan Gregg, pionero de eBPF y miembro de Intel, declaró que él y otros líderes de la tecnología de código abierto estuvieron charlando sobre el tema: "Llevamos muchos años trabajando en la solución a esto".
Modo 'kernel' para todo
El uso del kernel no es nuevo. "Hay mucho software que ni siquiera sabemos que tiene acceso en modo kernel", afirma Allie Mellen, analista de ciberseguridad de Forrester Research. Según Microsoft, muchas funciones del ordenador funcionan mejor con acceso al núcleo. Los juegos, el software de edición de fotos, los programas de impresión y la activación de Bluetooth acceden al kernel para interactuar con el hardware del ordenador y mejorar su rendimiento. Cualquiera de ellos puede hacer que un ordenador colapse, y de hecho lo ha hecho. "Que los módulos del kernel bloqueen un sistema operativo no es nada nuevo", afirma Craig Connors, director de tecnología del grupo de negocio de seguridad de Cisco. "Lo único novedoso es que ha ocurrido ocho millones de veces, por el mismo motivo".
Para Microsoft, la decisión de dar a los desarrolladores acceso a nivel kernel se remonta a unos 15 años atrás. Un portavoz de la empresa dijo que no puede amurallar legalmente su sistema operativo debido a un acuerdo al que llegó con la Comisión Europea en su momento. El caso —iniciado por la Comisión por considerar que Microsoft podía haber abusado de su posición dominante en el mercado al vincular su navegador web y otros programas a Windows— se resolvió en diciembre de 2009, cuando Microsoft aceptó dar a los usuarios más opciones de navegador. La empresa también se comprometió a dar a terceros proveedores el mismo nivel de acceso al sistema operativo que Microsoft.
"Hay mucho software que ni siquiera sabemos que tiene acceso en modo kernel"
En otras palabras, el producto de seguridad Defender de Microsoft no puede mantener una ventaja competitiva sobre los productos de la competencia, impidiéndoles acceder al núcleo o ejecutar un controlador del kernel.
Con el acceso al núcleo de Windows, CrowStrike y otros fabricantes de antivirus deben determinar cuándo es mejor aprovechar el modo de usuario en lugar del modo de núcleo en sus productos, y los clientes, a su vez, han tenido que averiguar las ventajas y desventajas de las decisiones de programación del núcleo, una tarea nada fácil incluso para los desarrolladores de software experimentados.
Cambios en Microsoft Windows
Una de las principales ventajas del eBPF es que permite que software como el de CrowdStrike acceda al kernel, pero solo permite que se ejecuten programas seguros y verificados. Esto significa que la mala actualización de CrowdStrike habría quedado bloqueada. Además, un miembro de la comunidad de código abierto de eBPF podría haber detectado los errores mucho antes, dijo Starovoitov, "antes de que se despliegue en millones de servidores de todo el mundo".
Microsoft lleva varios años trabajando con la Fundación eBPF, que forma parte de la Fundación Linux, para que esté disponible en Windows, dijo Gregg, de eBPF. CrowdStrike dijo que utiliza eBPF para Linux, y está dispuesto a utilizarlo en Windows cuando Microsoft lo haga disponible. Sin embargo, Microsoft ha afirmado que el eBPF aún no está listo para Windows, alegando los nuevos riesgos de seguridad que podría introducir. Su tarea consiste en proteger y gestionar Windows de forma integral, no solo la parte que utilizan los proveedores informáticos.
Gregg señaló que, aunque llevará tiempo que la tecnología mejore en Windows, sus medidas de seguridad adicionales siguen haciéndola más segura que el uso del núcleo. Sin proporcionar un calendario concreto, Microsoft explicó que la solución más probable a corto plazo es ofrecer a los desarrolladores otras opciones de acceso directo e indirecto al kernel. A largo plazo, adoptará un enfoque similar al de Apple, en el que los desarrolladores se verán empujados hacia el modo de usuario y fuera del kernel. Esto requiere un trabajo de ingeniería personalizado, que en gran parte ya está hecho.
Microsoft ha señalado que ya ha trabajado con algunos proveedores, como CrowdStrike, para introducir más funciones en el modo de usuario. Independientemente de cómo acceda un desarrollador al kernel, puede bloquear un ordenador sin las medidas de seguridad, las pruebas y el despliegue de software adecuados, afirma Microsoft.
Un largo camino por delante
No obstante, algunos proveedores informáticos no están convencidos de que Microsoft vaya a habilitar el eBPF, considerado el método Linux, o a bloquear el acceso al kernel, siguiendo el método Apple. Alex Stamos, director de seguridad de la información de SentinelOne, competidor de CrowdStrike, afirmó que, independientemente de la opción que elija Microsoft, su propio producto de seguridad debe utilizar el mismo método de acceso que los competidores ecternos. De lo contrario, Microsoft obtendría una ventaja injusta como fabricante de sistemas operativos y como proveedor de seguridad. Mientras tanto, crece la presión para encontrar una alternativa. En julio, la poderosa agencia alemana de ciberseguridad pidió a Microsoft que desarrollara "estructuras más resistentes" para el software de protección de puntos finales con un acceso mínimo a nivel kernel.
Según Connors, Cisco también colabora con Microsoft en la creación de un eBPF para Windows, con el objetivo de utilizar esta tecnología en su software antivirus. Según Neil MacDonald, analista de ciberseguridad de Gartner, cualquier revisión del kernel requiere un cambio importante de producto y de mentalidad. Esto lleva tiempo y es costoso tanto para Microsoft como para sus socios de software.
Podría tomar la forma de una mayor renovación de Windows, dijo Stamos, al igual que Apple hizo su cambio como parte de una actualización de MacOS y el paso a su propio hardware. "Es algo doloroso, pero es una evolución necesaria", dijo MacDonald.
*Contenido con licencia de The Wall Street Journal. Traducido por Federico Caraballo
El apagón tecnológico de julio que dejó fuera de servicio a empresas de todo el mundo reaviva el escrutinio sobre por qué algunas empresas tienen acceso al corazón mismo de un ordenador y, por tanto, la capacidad de bloquearlo de repente.