miércoles, 15 de junio de 2011

Vulnerabilidades COTS

En terminología de defensa se suele utilizar el término COTS (Comercial Off The Shelf) para denominar al uso de aquellos productos o tecnologías directamente disponibles en el mercado civil en aplicaciones militares. El propio nombre  COTS tiene su origen en que estos productos, en un sentido figurado, se adquieren directamente de la estantería como cuando uno acude a un gran almacén. El auge de la filosofía COTS en la electrónica militar se presentó con el fin de la guerra fría y el extraordinario desarrollo de las tecnologías de la información en el mundo civil.


Desde el final de la segunda guerra mundial la tecnología militar solía ser fruto de la I+D mas puntera, la carrera armamentística entre las superpotencias supuso que se dedicaran enormes esfuerzos al desarrollo y a la aplicación militar de tecnologías. Estas tecnologías eran primero adoptadas para uso militar y solo posteriormente para uso civil. Un ejemplo seria la creación de la red militar Arpanet que luego se convertiría en lo que actualmente conocemos como Internet.

Sin embargo durante los años 90 se produjo una curiosa paradoja: la tendencia de invirtió. El fin de la guerra fría y los recortes presupuestarios en defensa hacían inviable destinar enormes cantidades en desarrollo de sofisticados programas de armamento. Al mismo tiempo la revolución de las nuevas tecnologías, con su amplia difusión en el mundo civil y la consecuente reducción de precios por la economía de escalas hizo que la tecnología disponible al ciudadano de a pie no solo superara a cualquier cosa que pudiera existir en el mundo militar sino que además lo hacía de forma más barata.

La consecuencia lógica en el sector de la defensa fue aprovechar esta tendencia, mediante el uso de productos COTS es posible abaratar costes y reducir tiempos de desarrollo. COTS no tiene porque significar usar directamente productos ya terminados, normalmente lo que se emplea son componentes específicos disponibles para formar un sistema militar. Un ejemplo típico seria el implementar un sistema militar en torno a una CPU disponible en el mercado (x86, ARM, etc.) en lugar de diseñar un sistema informático desde cero como se hacía hasta los años 80.

Pongamos como muestra un caso curioso, los SUGV. iRobot fabrica la familia de robots militares Small Unmanned Ground Vehicle, se trata de pequeños dispositivos controlados a control remoto, de un tamaño reducido como para ser transportado en una mochila. Estos robots permiten al soldado en el campo de batalla realizar tareas de reconocimiento como ver que hay al otro lado de una esquina o aventurarse en un edificio, así como tareas como la manipulación de objetos para la neutralización de artefactos explosivos a distancia.

iRobot incorpora diversas tecnologías COTS y de hecho un ejemplo de la sinergia entre el mundo civil y el militar en robotica es que iRobot es también el fabricante de los conocidos robots de limpieza caseros Roomba. La curiosidad COTS viene derivada de que el mando de control que se usa para este robot en el campo de batalla es ni más ni menos que el mando de la conocida consola Xbox. Seguro que durante el desarrollo del robot un ingeniero tuvo que hacer la siguiente elección, que es mejor como interfaz de control ¿un dispositivo a medida con los gastos asociados de diseño, desarrollo, test y posterior fabricación a pequeña escala? ¿un mando barato, ampliamente disponible y que sabe manejar hasta un niño?


¿Y que supone COTS en cuanto a seguridad informática? Pues el cambio es evidente, anteriormente los sistemas de defensa estaban compuestos por aplicaciones, hardware y protocolos diseñados a medida para el mundo militar e imposibles de ver fuera de este ámbito. Eso se traducía en Seguridad a través de la oscuridad, quizá no la mejor forma de seguridad pero desde luego efectiva, especialmente si se combina con una buena seguridad “real”. Sirva de ejemplo que incluso hoy en día fallos en sistemas tan críticos como SCADA continúan ocultos por la simple razón de que los dispositivos tienen un mercado pequeño, tremendamente especifico y de altos costos lo que los hace difíciles de llegar a las manos de la mayoría de los investigadores de seguridad.

El cambio hacia el empleo de COTS nos quedo patente en lo que pudimos observar durante nuestra visita a la última edición de la feria de Seguridad Homsec, todos los sistemas allí presentados que necesitaban hacer uso de un ordenador, ya fuera como interfaz con el operador humano o como plataforma, lo hacían mediante sistemas operativos de la familia Windows, con una única excepción de una consola para submarinos basada en Linux. Esos sistemas en otros tiempos hubieran estado basados en sistemas arcanos como Solaris con toolkits gráficos escritos a medida, sistemas embebidos como VxWorks o incluso sistemas operativos diseñados exprofeso. Y cabe preguntarse ¿Qué es más fácil de explotar para un intruso? ¿Un sistema poco conocido , para el que prácticamente no existen herramientas de ataque, o uno idéntico al usado por la mayoría de usuarios y para el que se conocen multitud de vulnerabilidades?

En definitiva COTS es un concepto lleno de bondades, pero también de algunas desventajas: la rápida incorporación de tecnologías ampliamente conocidas por los intrusos puede tener como consecuencia la transfusión de vulnerabilidades del mundo civil al mundo militar.

1 comentario: