¿Qué es un troyano de hardware? Por qué sus teléfonos inteligentes pueden estar en riesgo

Hace unas pocas semanas, Bloomberg informó que China estaba espiando a firmas de tecnología estadounidenses, incluidas Apple y Amazon, mediante la instalación de microchips secretos en placas de servidores durante el proceso de producción. Estos hardware troyanos Son, como el caballo griego que solía infiltrarse en soldados, diseñado para parecer inofensivo, mientras que en la actualidad realizan operaciones maliciosas secretas.

Las firmas tecnológicas nombradas han negado este informe; en este momento, no tenemos forma de saber quién tiene la razón. Si es verdadero, este es potencialmente el mayor fallo de seguridad de hardware malicioso que hemos visto. Si no es cierto, bueno … todavía hay suficientes vulnerabilidades de seguridad de hardware para todos.

A principios de este año, se reveló el error Spectre / Meltdown. Esta vulnerabilidad de seguridad afecta prácticamente a todos los procesadores, desde aquellos que alimentan las computadoras de los consumidores hasta los servidores de la compañía, y permite que los códigos maliciosos accedan a información potencialmente confidencial. Esto fue un fallo en el diseño de hardware: software parches (las actualizaciones destinadas a corregir la falla) se pusieron a disposición poco después y, oficialmente, con un impacto insignificante en el rendimiento (no es realmente despreciable).

Pero esto no afecta tú directamente, aparte de una computadora ligeramente más lenta … ¿o sí?

Los microprocesadores están en todas partes.

La persona promedio interactúa con decenas de microprocesadores todos los días. Esto no incluye los servidores y los enrutadores de Internet que procesan su correo electrónico y redes sociales: piense más cerca de casa. Es probable que tenga un teléfono inteligente y una computadora personal o tableta.

Vídeo relatado:

Tal vez un eco de Amazon u otro altavoz inteligente? ¿Un timbre electrónico o un intercomunicador? Su auto solo, si tiene menos de 10 años, tiene docenas de procesadores responsables de todo, desde controlar la radio hasta actuar sobre los frenos. Un error similar a Spectre / Meltdown en los descansos de tu auto es una idea aterradora.

Estos errores se producen porque el diseño de hardware es difícil. Como parte de mi investigación, tuve que diseñar e implementar procesadores. Hacer que funcionen es lo suficientemente desafiante, pero ¿garantizar que estén seguros? Exponencialmente más difícil.

Algunos podrían recordar que en 1994, Intel tuvo que recordar una línea de procesadores con errores, lo que les costó millones de dólares. Este fue un caso en el que los mejores diseñadores de chips del mundo produjeron un chip defectuoso. No es una vulnerabilidad de seguridad, solo un resultado incorrecto en algunas operaciones.

Esto es mucho más fácil de detectar y corregir que una vulnerabilidad de seguridad, que a menudo está increíblemente matizada: aquellos interesados ​​en leer más sobre el exploit Spectre / Meltdown verán que es un ataque muy, muy sofisticado. El año pasado, un investigador de ciberseguridad encontró varias instrucciones no documentadas en un procesador Intel i7. Las instrucciones son las operaciones atómicas que puede realizar un procesador: por ejemplo, agregar dos números o mover datos de un lugar a otro. Cada programa que ejecutes probablemente ejecuta miles o millones de instrucciones. Los descubiertos no se divulgan en el manual oficial, y para algunos, su comportamiento exacto no está claro.

El procesador que posee y utiliza puede hacer cosas que el proveedor no le informa. ¿Pero es este un problema de documentación? ¿O un defecto de diseño genuino? ¿Propiedad intelectual secreta? No lo sabemos, pero es probable que haya otra vulnerabilidad de seguridad en espera de ser explotada.

Las vulnerabilidades del hardware

¿Por qué el hardware es tan inseguro? Por un lado, la seguridad es un aspecto que a menudo se pasa por alto en una educación de ingeniería en todo el espectro, desde el hardware hasta el software. Hay tantas herramientas, conceptos, paradigmas que los estudiantes deben aprender, que hay poco tiempo para incluir consideraciones de seguridad en el currículo; Se espera que los graduados aprendan en el trabajo.

El efecto secundario es que en muchas industrias, la seguridad se considera la guinda del pastel en lugar de un ingrediente fundamental. Afortunadamente, esto está empezando a cambiar: los programas de seguridad cibernética están apareciendo en todas las universidades y estamos mejorando en la capacitación de ingenieros conscientes de la seguridad.

Una segunda razón es la complejidad. Las compañías que realmente fabrican chips no necesariamente los diseñan desde cero, ya que los bloques de construcción se compran a terceros. Por ejemplo, hasta hace poco, Apple compró diseños para el procesador de gráficos en iPhones de Imagination Technologies. (Desde entonces se han trasladado a los diseños internos). Idealmente, las especificaciones coinciden perfectamente con el diseño. En realidad, las características no documentadas o documentadas erróneamente a través de diferentes bloques de construcción pueden interactuar de manera sutil para producir lagunas de seguridad que los atacantes podrían explotar.

A diferencia del software, estos puntos débiles tienen efectos duraderos y no se corrigen fácilmente. Muchos investigadores están contribuyendo a resolver estos problemas: desde las técnicas para verificar que los diseños coincidan con las especificaciones hasta las herramientas automatizadas que analizan las interacciones entre los componentes y validan el comportamiento.

Una tercera razón es la economía de escala. Desde la perspectiva empresarial, solo hay dos juegos en la ciudad: rendimiento y consumo de energía. El procesador más rápido y la vida de batería más larga ganan el mercado. Desde la perspectiva de la ingeniería, la mayoría de las optimizaciones son perjudiciales para la seguridad.

En sistemas de tiempo real críticos para la seguridad (piense en autos autónomos, aviones, etc.), donde cuánto tiempo Algo que lleva ejecutar es crítico. Esto ha sido un problema por un tiempo. Los procesadores actuales están diseñados para ejecutarse lo más rápido posible. la mayor parte del tiempo, y de vez en cuando tomará largos períodos; predecir cuánto tiempo tomará algo es increíblemente desafiante. Sabemos cómo diseñar procesadores predecibles, pero prácticamente ninguno está disponible comercialmente. Hay poco dinero por hacer.

Cambio de enfoque en la ciberseguridad

A largo plazo, lo mismo no se aplicará a la seguridad. A medida que se avecina la era de Internet de las cosas, y el número de procesadores por hogar, vehículo y entre las infraestructuras sigue aumentando, las empresas indudablemente avanzarán hacia un hardware consciente de la seguridad.

Ingenieros mejor capacitados, mejores herramientas y más motivación para la seguridad, cuando un sello de calidad de seguridad significa que usted vende más que sus competidores, impulsará la buena ciberseguridad en todos los niveles.

¿Hasta entonces? Tal vez los países extranjeros lo hayan interferido, tal vez no; Independientemente, no confíe en su hardware. ¿Esa notificación de actualización molesta que sigue apareciendo? Actualizar. ¿Comprar un nuevo dispositivo? Verifique el registro de seguridad del fabricante. ¿Consejos complejos para elegir buenas contraseñas? Escucha. Estamos tratando de protegerte.

Este artículo fue publicado originalmente en The Conversation by Paulo Garcia. Lee el artículo original aquí.