¿Hardware troyanizado?

---

Lo leo en el blog de Schneier, que ha lanzado todo un flame en designing processor to support hacking. Menciona el premio al mejor documento de investigación (“best paper”) otorgado en First USENIX Workshop on Large-Scale Exploits and Emergent Threats, titulado "Designing and implementing malicious hardware".

Agrega que lo que se dice en ese documento es teórico, pero que claro, ¿qué pasaría si sumamos historias como la de los productos hechos en China y troyanizados?. A este enlace se le ha dado cierto eco, después de que fuera referenciado en Slashdot… La misma historia aquí.

El doc que comenta Schneier no lo he leído, pero he alucinado, reído y aprendido con los comentarios de la gente, pues se han dado tanto argumentos con sentido como tonterías de mucho calibre, por lo que pongo esta entrada.

Aunque uno no lleve veinte años en esto de la seguridad, basta una búsqueda en Google para saber que lo del hacking en hardware no es nuevo, y los rumores tampoco. Por lo que se del mundo de la empresa, no creo que una organización suela preocuparse de verificar si cada elemento hardware que compra es realmente original, sería inabordable para la mayoría.

Se podrá verificar números de serie, información que venga en cada equipo, se podrá ver que el firmware es el correcto o se podrá reinstalar por si acaso… pero me parece muy costoso y absolutamente paranoico. Por eso no se hace con equipos nuevos… más bien esta confianza es contractual: el vendedor, conocido (no es perico el de los palotes, en el caso de organizaciones grandes y/o importantes) firma en su contrato que te está vendiendo un sistema genuino, y cargará con las consecuencias si no es así.

Si se llegara a dar lo que se deduce que dice el documento que menciona Schneier (a partir del cachito que pone en su blog), a ver cómo se verifica cada elemento hardware que tenga cada trasto que se compre… no creo que exista jamás ninguna manera automática de hacer esto, es absoluta ciencia ficción (¿un antivirus para hardware? ¿un software que busque elementos o configuraciones hardware que no deberían estar ahí? ¿Que busque troyanos a nivel físico?¿Existirá Skynet?).

Es cierto que las buenas prácticas en gobierno TI dicen que este punto debería ser verificado de alguna manera. La norma ISO/IEC 15408 (o Common Criteria, para los amigos) establece las bases (requisitos) para la evaluación de las propiedades de seguridad de un producto tecnológico. Este ha sido uno de los puntos que se han mencionado: los niveles más altos de protección indicados en el Common Criteria indican que se debería contemplar la posibilidad de que te estén enchufando hardware malicioso.

En esta norma ISO (ver documento 15408-2), en efecto está la familia de requisitos de seguridad física para el hardware que una organización compre, por ejemplo en el apartado 10.7 “TSF Physical Protection” sobre detección de ataques al hardware (asumo que el uso de un backdoor en el hardware se considera un ataque al mismo, o a lo que el cliente cree que compró), en el apartado 10.10 “Referente Mediation” (que pone la norma genérica de que las funciones de seguridad del producto deben cumplir la política de seguridad de la organización que lo compró), o en el apartado 10.11 “Domain separation” establece que todas las funciones de seguridad deben estar protegidas contra la interferencia externa y la falsificación por parte de los malotes (“untrusted objects”).

Es decir, el producto debe protegerse a sí mismo. Eso incluirá demostrar que es genuino, ¿no?.

Sin embargo, lo mismo que creo que una organización no va a verificar que tiene un switch, un router o un firewall original, porque realmente es costosísimo (si no imposible) hacerlo con cada equipo que se compre, y que pone su confianza en su relación con el suministrador, estoy seguro que los grandes fabricantes de hardware se saben las ISOs de “pe-a-pá”, pueden demostrar que cumplen escrupulosamente, y no van a dejarse comer por rumores y alucinaciones de este estilo. Un poquito de confianza, por favor, que tanto darle vueltas a la cabeza no es bueno...

Es cierto que se han visto últimamente casos de productos con malware incorporado (a nivel software), como ha sido la distribución de llaves USB con gusano incluido (referencia del propio fabricante aquí ). Sin embargo, además de los reales, hay muchos otros casos en que lo que se genera es paranoia, como es este de los chinos, y uno debería seleccionar bien las fuentes de las que recoge información.

No puedo fiarme de lo que publique un sitio web en materia de seguridad informática, ni de cualquier otra cosa, si no se quiénes son los que lo hacen, y en su página principal tienen enlaces a temas poco serios, como contenidos o foros sobre el Área 51 (verídico, véase el raíz del primer enlace sobre los productos hechos en China). ¡No somos los Men In Black!. Tampoco si con el texto no se da ningún tipo de prueba u otra referencia.

Este tipo de “noticias” o rumores más bien, sólo sirven para aumentar la cantidad de bobadas que se oyen. Entre los comentarios por ejemplo había quien decía que para qué preocuparse por eso… que es más fácil modificar el software… que por ejemplo los chinos tienen acceso al código fuente de Windows… estoy seguro de que muchos pondrían el grito en el cielo sólo al leer eso ;), otra vez las tonterías de siempre.

A mi me suena a las historias del chino que viola jovencitas que han ido a comer al restaurante, o a las que dicen qué es en realidad la salsa que lleva el plato… trasladadas al ámbito informático.

Regla de oro: no te creas todo lo que lees en cualquier foro. Aunque lo pongan en Slashdot o donde sea. Mejor dicho, no pongas en Slashdot lo que sea. Y tampoco lo uses en tu blog para que la gente se lo flipe… si juntas un trabajo aparentemente serio con referencias a bulos y chorradas, más de uno se acaba creyendo las dos cosas. Y eso afecta a la seguridad informática...

Slds!