Sistema de segurización de las netbooks EXOmate (Conectar Igualdad)

Durante todo este último tiempo aparecieron en Internet varias publicaciones que hablaban sobre cómo “hackear” las netbooks que el gobierno entrega a los alumnos de las escuelas de toda la República Argentina. Dichas publicaciones brindaban instrucciones detalladas siendo estas completamente erróneas conceptualmente. La única manera de cortar todo tipo de especulación inútil que pone en riesgo real al equipo es explicando la mecánica simplificada del todo.

Básicamente, la EXOmate es una Classmate customizada por y para EXO. Al ser una Classmate está apadrinada por Intel, tanto en hardware como en algunos aspectos de software.

Recordemos que la entrega de las netbooks a los alumnos que aún cursan en la escuela se realiza bajo la modalidad de comodato y son justamente estas quienes utilizan activamente el sistema de seguridad.

El sistema regular de seguridad está conformado por:

  • Servidor escolar: Mediante Intel Theft Deterrent Server, se encarga de generar y administrar los diversos certificados de seguridad que serán provistos a las netbooks registradas en el mismo.
  • Netbook: Mediante Intel Theft Deterrent Agent, es la encargada de recibir y almacenar (en un chip TPM) los certificados de seguridad emitidos por el servidor.

Una vez que el servidor genera y envía un certificado, cada netbook lo recepciona y lo autoinstala. Completado este proceso, el encendido del equipo queda limitado por dos parámetros: la fecha de expiración del certificado y los arranques restantes. Si la fecha actual del sistema es mayor a la fecha de expiración del certificado y/o no quedan más arranques restantes, la netbook se bloqueará.

Para desbloquear una netbook se necesita un código de desbloqueo que se genera manualmente en el servidor.

Con toda esta información básica en nuestras manos, es hora de desmentir los mitos:

  • La netbook se puede abrir y tocarla ya que es de uno: FALSO, la netbook queda en comodato (bajo la responsabilidad de la persona que firma el contrato) hasta que el alumno egrese del colegio sin ninguna materia adeudada. En caso de apertura, la garantía del equipo caduca automáticamente y la escuela puede disponer quitarle la netbook al alumno.
  • Puentear ciertas patitas de un chip desactiva el sistema de seguridad: FALSO, ya que el chip de seguridad no puede ser borrado haciendo jumping de contactos.
  • Hacer un clear CMOS desactiva el sistema de seguridad: FALSO, ya que el certificado se almacena parmanentemente en un chip TPM  el cual es arquitecturalmente independiente del BIOS.
  • Quitar la batería del CMOS desactiva el sistema de seguridad: FALSO, ya que la batería interna sirve para mantener las configuraciones del BIOS y alimentar el RTC (Reloj de Tiempo Real).
  • Cambiar el software de la netbook desactiva el sistema de seguridad: FALSO, ya que lo único que conseguiría esto es impedir la actualización del certificado almacenado en la netbook y, por ende, el inminente bloqueo del equipo.

Hay una única manera de desactivar permanentemente el sistema de seguridad: egresando de la escuela. No es mucho esfuerzo. Sólo requiere estudiar y hacer las cosas como se debe.

Fuente: http://blog.eduardobenzecri.com.ar/