Tras la controversia de un reciente informe de Bloomberg, he aquí cómo debe abordar la seguridad de la auditoría de hardware físico.

    Cómo la guerra comercial de Trump con China podría afectar a la industria tecnológica estadounidenseAlex Feinberg, Director de Asociaciones de OKcoin, explica por qué la guerra comercial mundial podría obstaculizar la innovación estadounidense.

    Tras la controversia del informe de Bloomberg Businessweek, en el que se afirma que agentes del gobierno chino se infiltraron en la cadena de suministro del proveedor de hardware de servidores Supermicro, el director ejecutivo de Apple, Tim Cook, ha pedido a Bloomberg que se retracte de la historia, afirmando que «no hay verdad en su historia sobre Apple», durante una entrevista con BuzzFeed News. La declaración de Cook es quizás la más vociferante entre la cacofonía de denegaciones de empresas que, según el informe, han sido destinatarias de hardware comprometido. Además, el Departamento de Seguridad Nacional de los Estados Unidos y el Centro Nacional de Seguridad Cibernética del Reino Unido han respaldado estas negaciones, y una fuente citada en el artículo también ha puesto en duda las afirmaciones de Bloomberg.

    Más información sobre ciberseguridad

    Independientemente de la validez del informe, los directores de sistemas informáticos están trabajando sin descanso para verificar la seguridad y la integridad de sus sistemas por temor a que sus organizaciones estén siendo atacadas por actores maliciosos. La pregunta es, ¿cómo verificar que su hardware no está comprometido?

    VER: Kit de contratación: Director de auditoría de TI (Tech Pro Research)

    Como era de esperar, hacerlo es todo un reto. BuzzFeed News cita a un alto funcionario de seguridad nacional que afirma que hay un «esfuerzo altamente clasificado en el gobierno de EE.UU. para detectar cómo los adversarios implantan dispositivos» similares al tipo de implante a nivel de PCB descrito en el informe de Bloomberg.

    Jasper van Woudenberg, Director Técnico para Norteamérica de la firma Infosec Riscure, señaló en una entrada del blog que la manipulación del hardware puede detectarse comparando componentes con un tablero «bueno conocido». Hay varios niveles de esfuerzo que esto requiere – es relativamente trivial analizar la memoria no volátil, se necesita un tiempo moderado para identificar los circuitos integrados en una placa mediante el etiquetado y el tipo de envase, y es excesivamente lento y costoso descifrar los circuitos integrados en una placa para su análisis. Hay otros puntos a tener en cuenta cuando se realizan auditorías para garantizar la seguridad del hardware.

    Pensemos en esto con calma.

    Ciertas industrias son objetivos de mayor valor para los hackers. En general, las oficinas gubernamentales, los bancos y la infraestructura crítica, como las centrales eléctricas y los aeropuertos, serían los principales objetivos para la extracción de datos por parte de un actor a nivel estatal. Como resultado, es probable que no valga la pena el tiempo o el dinero para que la mayoría de las organizaciones separen los sistemas para descifrar los circuitos integrados en una tarjeta de circuito. Es vital señalar que intentar controlar un sistema a través de un implante a nivel de PCB, como se afirma en el artículo de Bloomberg, es un ataque de muy alto riesgo que requiere una gran cantidad de precisión y secreto para conseguirlo sin ser detectado. El uso indiscriminado de estos implantes en una recolección masiva de datos sería demasiado fácil de descubrir. Asimismo, van Woudenberg señala que intentar este tipo de ataque de esta manera «no es el medio técnico más fácil de controlar remotamente un sistema; reescribir el firmware es mucho más fácil desde una perspectiva de ingeniería».

    Verificar el firmware y el software del sistema, y mantenerlo actualizado

    Hablando con optimismo, los proveedores de hardware deberían ofrecer actualizaciones oportunas de seguridad y corrección de errores para sus productos. Éstas deben aplicarse de manera oportuna. Cuando descargue actualizaciones de firmware, especialmente para archivos de la BIOS del sistema, asegúrese de que el archivo descargado coincide con la suma de comprobación publicada por el proveedor. Del mismo modo, para las actualizaciones de software, asegúrese de que los paquetes de actualización estén firmados con una clave publicada y de confianza.

    Compruebe las cabeceras JTAG, los puertos PCI y USB

    Las cabeceras JTAG (Joint Action Test Group) que se encuentran en muchos productos electrónicos empresariales (y de consumo) ofrecen potentes capacidades de depuración y acceso a todo el sistema, destinadas a las pruebas de hardware y software. Estos son también puntos débiles críticos en muchos sistemas, y las cabeceras JTAG expuestas se han utilizado para obtener acceso de raíz a dispositivos de IO, routers y consolas de juego. La explotación de JTAG quedó demostrada en el implante GODSURGE desarrollado por la NSA, cuya evidencia fue descubierta en 2013 por Der Spiegel. Asimismo, una organización denominada «Equation Group» por Kaspersky Lab ha utilizado el acceso JTAG expuesto para modificar el firmware de los discos duros.

    Si bien estos pueden requerir más ingeniería del lado del software para lograr el acceso de raíz o permitir la exfiltración de datos, y existen en ubicaciones más obvias susceptibles de detección visual, los puertos PCI y USB también son objetivos útiles para los atacantes. Asegurarse de que no se insertan dispositivos desconocidos en estos puertos es un paso adicional importante.

    Equilibrio entre seguridad y riesgo (y paranoia)

    En la práctica, es imposible garantizar la seguridad con absoluta certeza. Existen múltiples niveles de verificación, que pueden ser explorados dependiendo de los recursos a su disposición y de las necesidades de validación o cumplimiento de su organización. Una buena higiene de seguridad y unas políticas bien pensadas, que se respetan sin excepción, son vitales para garantizar la seguridad de los datos en su organización.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves