Actualidad Info Actualidad

Correlación entre la defensa en el ciberespacio y en el mundo físico

Protección contra ataques hardware en ecosistemas de industria conectada 4.0

Javier Areitio Bertolín, Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas.12/04/2017
El éxito de la Industria conectada 4.0 reside en la capacidad de implantar una arquitectura global de ciberseguridad-privacidad profesional desde la primera fase del desarrollo (diseño). Añadir la protección a posteriori además de ser más caro genera debilidades y superficies de ataque impredecibles y muy difíciles de detectar y de subsanar.

Las funciones físicamente no clonables o PUF son un agente fundamental para la protección de entornos de Industria conectada 4.0 o Smart-factory o Smart-manufacturing. Existen dos grandes categorías de ciber-ataques:

(1) Ataques que no causen daño a activos físicos. El objetivo principal de esta clase de ataque es entre otras cosas crear una brecha a la confianza por ejemplo a las autoridades nacionales y causar un malestar-descontento social y perjudica el estado financiero. Otro tipo de ciberataques en esta categoría son ciberataques dirigidos a sistemas bancarios (por ejemplo los ataques a cajeros automáticos o ATM) y los ciberataques a sistemas TIC.

(2) Ataques dirigidos a causar daños a activos físicos. Estos son ciberataques a ICS (Sistemas de Control Industrial), infraestructuras críticas y CPS (Cyber Physical Systems), donde se combinan IT (Information Technologies) y OT (Operational Technologies). En el ciber-terrorismo en áreas industriales, el enemigo toma control sobre el centro de toma de decisiones por ejemplo un sistema de control sobre los procesos industriales y genera todo tipo de desastres visibles o invisibles. A esto se añade la pérdida o daño de información técnica, por ejemplo de las bases de datos del sistema de control, la fuga de todo tipo de datos/conocimientos, la pérdida de reputación, los gastos para defenderse y gestionar los ciber-ataque, los gastos medioambientales, a la integridad de personas y seres vivos, los gastos por no cumplimientos de leyes-regulaciones, etc.

Actualmente debemos abordar la protección profesional en ciberseguridad-privacidad de la industria conectada 4.0 con una estrategia global de seguridad y privacidad por diseño y las PUFs deberían estar presentes. Los ataques hardware pueden atenuarse implantando PUF (en todas sus variantes). Estos y otros agentes de defensa son esenciales para la protección en ciberseguridad-privacidad en entornos/ecosistemas de Industria conectada 4.0. La cuarta revolución industrial conlleva una gran diversidad de aportaciones-beneficios pero su hiper-conectividad a través de la IIoT abre la “Caja de Pandora” a un universo de dimensiones crecientes e impredecible de todo tipo de ataques en el mundo real y en el ciberespacio con resultados nefastos no sólo a nivel económico, de reputación sino afectando también a seres humanos y al medio ambiente de forma tanto directa y clara como subliminar y oculta.

Imagen

Tipos de ataques físicos hardware en ecosistemas de la industria conectada 4.0

Las funciones físicamente no clonables o PUF son un componente clave y esencial para la protección en ciberseguridad-privacidad en entornos de industria conectada 4.0 e infraestructuras críticas. Los ataques físicos-hardware pueden clasificarse en función de diferentes criterios en muy diversas categorías:

1) Ataques invasivos. Son ataques de penetración, normalmente caros de realizar y necesitan equipamiento costoso, bastante tiempo y los atacantes poseen conocimientos para entender las funcionalidades de los chips/dispositivos atacados. Requieren abrir (o desempaquetar) el chip/dispositivo y obtener acceso directo a sus componentes internos (buses, registros, clocks, etc.). Un ejemplo típico de esto es la conexión de hilos conductores sobre un bus de datos para monitorizar las transferencias de datos. En este tipo de ataques el atacante accede físicamente al chip y trata de modificar su estructura. Las principales herramientas utilizadas son: estaciones de soldado/desoldado de circuitos integrados, laboratorio químico y microscopios ópticos de alta resolución, estación de micro-probing, sistema de corte por láser, máquinas de unir hilos, osciloscopios, analizadores lógicos, generadores de señal, estaciones FIB, microscopio electrónico de exploración, etc. Se utiliza la penetración-sondaje mecánico, el FIB, etc. Una contramedida de protección física para este tipo de ataques son las mallas-sensor. Existen diferentes modalidades de ataques invasivos: basados en plataformas de sondeo mecánico a los buses del chip/dispositivo, estación de micro-probing FIB (Focused Ion Beam), SEM (Scanning Electron Microscope), microprobing, ingeniería inversa, etc. Las fases de un ataque invasivo son: preparación de la muestra (desencapsular y deprocesar), ingeniería inversa (imagen óptica para la reconstrucción del trazado, extracción de memoria), microprobing (corte láser, estación de trabajo FIB), modificación del chip.

2) Ataques no invasivos. No necesitan desencapsular el dispositivo, de modo que no son destructivos. No requieren una preparación inicial del dispositivo bajo ataque. Sólo explotan la información disponible externamente (la emisión de la cual es, sin embargo, a menudo no intencionada) como por ejemplo tiempo de ejecución y consumo de potencia eléctrica. En este tipo de ataques el adversario realiza medidas sin modificaciones de la estructura del dispositivo/CI/chip. Pueden clasificarse en las siguientes categorías:

(a) Pasivos. Son ataques side-channel como ataques de timing, ataques de análisis de potencia, ataques de emisión electromagnética, etc. (b) Activos. Son ataques por fuerza bruta, ataques de 'glitch', ataques por sobre-voltaje o infra-voltaje, ataques sometiendo a gradientes de temperatura, campo magnético, radiactividad, etc. Se utilizan instrumentos como los magnetómetros, medidores de parámetros físico-cuánticos, etc.

3) Ataques semi-invasivos. Son similares a los ataques invasivos ya que necesitan desencapsular el dispositivo, pero el atacante no requiere disponer de herramientas caras como una estación FIB. Se pueden clasificar en las siguientes categorías:

(a) Ataques utilizando luz UV (Ultra-Violeta). Se utilizan luces UV para inhabilitar los fusibles de seguridad en memorias EPROM y microcontroladores OTP (One-Time-Programmable).

(b) Técnicas de imagen avanzadas. Se utiliza luz infrarroja, ondas milimétricas, rayos X, etc. para observar el chip desde el lado trasero. Se utilizan también técnicas de exploración láser para analizar la seguridad hardware.

(c) Inyección de fallos ópticos. Se utiliza para inducir fallos transitorios en un transistor iluminándolo con luz coherente láser. (d) Análisis side-channel ópticos. Se basa en observar la emisión de los fotones desde los transistores, etc.

4) Ataques locales. Se requiere estar cerca, en las proximidades del dispositivo bajo ataque (por ejemplo, por conexión directa a su fuente de alimentación eléctrica), es externo y es no invasivo.

5) Ataques a distancia. Pueden operar a mayor distancia, por ejemplo, midiendo un campo electromagnético desde varios metros o cientos de metros de distancia. Una posible contramedida es la tecnología Tempest, Soft-Tempest, cortinas y manparas de compartimentación/aislamiento.

6) Ataques-análisis side-channel (EMA, Electro-Magnetic Analysis). Se basan en monitorizar síndromes de actividad como tiempo, consumo de potencia eléctrica, emisiones electromagnéticas (como contramedida utilizar la tecnología Tempest (Transient ElectroMagnetic Pulse Emanation Surveillance Technology) / soft-Tempest basada en Cajas de Faraday y cortinas de apantallamiento electromagnético), etc. El DPA (Differential Power Analysis) consiste en monitorizar las variaciones en el consumo de potencia (en watios o dBW) de un circuito durante la ejecución. Es posible deducir que bits de datos se están procesando en un tiempo dado. Por ejemplo, si el procesador de coma flotante necesita una cantidad considerable de potencia en un microcontrolador, un atacante puede monitorizar la potencia durante la ejecución. Cuando un atacante observa que el uso de potencia tiene un pico puede inferir que tiene lugar una operación de coma flotante. Existen diferentes modalidades de análisis side-channel: DFA (Differential Fault Analysis), DPA/HO-DPA (High Order-Differential Power Analysis), SPA (Simple Power Analysis), timing, inyección de fallos, perturbaciones (flashes de luz, glitches de tensión, condiciones extremas en frecuencia, voltaje, temperatura, reset, luz, radiación, V/m, campo magnético en gauss, nivel de sonido-frecuencia, nivel de radioactividad en rems/curies, etc.), etc. Para este tipo de ataques existen ciertas contramedidas algorítmicas.

Imagen

7) Ataques basados en fallos. Se basan en inducir comportamientos de fallo modificando la tensión de la fuente de alimentación, la frecuencia del reloj, la temperatura, condiciones medio-ambientales, etc.

8) Ataques intrusivos. Se basan en modificar el dispositivo, eliminar la funda, cortar o reparar hilos conductores, sondear nodos, etc.

9) Ataques pasivos de sondeo. Se basan en monitorizar el chip o los buses de la tarjeta y extraer datos o ejecutables.

10) Ataques activos de sondeo. Se basan en realizar ataques de interceptación MITM (Man-In-The-Middle) sobre el chip o sobre los buses de la tarjeta/dispositivo.

11) Troyano hardware. Se define como la adición o modificación maliciosa de los elementos de circuitos electrónicos existentes que pueden cambiar las funcionalidades, reducir la fiabilidad, cambiar las especificaciones, generar denegación de servicios o fugar información valiosa y que puede ser insertada en cualquier fase del ciclo de vida de un circuito integrado (diseño, implementación, construcción, configuración, test-auditoria, operativa final). En la composición de un troyano hardware se identifican:

(a) Un disparador. Se encarga de activar la lógica maliciosa, utilizando diversos mecanismos

  1. Entradas externas.
  2. Lo que sucede internamente dentro del dispositivo.
  3. Utilizando sensores que dependen de condiciones físicas como temperatura, voltaje, humedad, campo gravitatorio, V/m, etc.
  4. Utilizando condiciones de estado lógico como valores de contadores, estado de los registros, etc.
  5. (b) La carga útil. Se encarga de llevar a cabo los objetivos del atacante como realizar el ataque y no ser descubierto, hacer el mal y esconderse o desaparecer. El troyano hardware se localiza en diversos puntos como procesador/CPU, memoria, unidades de E/S, fuente de alimentación, reloj, circuito pegado, etc. Se inserta en diversas fases de su ciclo de vida en: la especificación (características operativas y del sistema), el diseño (eligiendo tecnologías), la fabricación (al hacer el dispositivo, alterando la composición química, etc.), el ensamblaje, el testeo-verificación (asegurándose de que el chip cumpla las especificaciones maliciosas o no haciendo el test bien). Los troyanos hardware se pueden clasificar en tres categorías de acuerdo a sus características físicas, de activación y de acción.

Las características físicas se pueden dividir en cuatro categorías: tipo (se divide en clases funcionales que incluye troyanos realizados físicamente añadiendo o eliminando transistores-puertas lógicas y las clases paramétricas que se realizan modificando grosor de hilos conductores y la lógica como debilitar transistores o modificar la geometría física diseñada para incrementar la probabilidad de un fallo funcional (obsolescencia programada) o de rendimiento y sabotear la fiabilidad), tamaño (cuenta el número de componentes en el chip que se han añadido, eliminado o comprometido; es un factor importante durante la activación; los troyanos más pequeños tienen mayor probabilidad de activación que los que poseen un elevado número de entradas), distribución (describe la localización del troyano en el trazado físico del chip, por ejemplo una distribución próxima describe un troyano cuyos componentes se encuentran topológicamente cerca, en cambio una distribución separada describe troyanos que se encuentran dispersos a lo largo del trazado del chip) y estructura (describe el cambio en la estructura del trazado; si el atacante regenera el trazado para poder insertar el troyano en la circuitería, entonces cambian las dimensiones del chip. Este cambio puede dar lugar a diferentes localizaciones para algunos o todos de los componentes del diseño).

Las características de activación hacen referencia a los criterios que causan que el troyano se haga activo y realice una función perjudicial. Las características de acción identifican los tipos de comportamiento perjudicial introducido por el troyano. Las acciones de un troyano se pueden dividir en tres categorías: modificar función (el troyano cambia la función del chip utilizando lógica adicional o eliminando por bypass la lógica existente), modificar especificación (el troyano enfoca su ataque en cambiar las propiedades paramétricas del chip como retardo-latencia; modifica el cableado y la geometría de transistores) y transmitir información (el troyano transmite información clave desde el modo de misión de diseño al atacante). Los troyanos pueden ser software (segmentos de código, programas de instrucciones), firmware (basados en segmentos de microinstrucciones), hardware (basados en circuitos) y biológicos (implantes de tejidos malignos, inyección de virus, bacterias, hongos, placas metálicas maliciosas, prótesis diabólicas, chips maliciosos, etc.).

12) Otro tipo de ataque físico es la clonación de chips/dispositivos. El proceso de clonar un dispositivo consta de dos fases:

(a) Caracterización. Es un proceso en el que un atacante trata de obtener el conocimiento del dispositivo a falsificar.

(b) Emulación. Es el proceso de recrear o modelizar la respuesta de dicho dispositivo, es decir crear otro dispositivo, clon o avatar con idéntico o similar comportamiento. En el mundo digital es fácil pues el número de estados es finito, en el mundo analógico es extremadamente difícil pues el número de estados es infinito y en ingeniería trabajar con infinito es vidrioso.

Se pueden identificar las siguientes categorías de atacante a la seguridad física y resistencia al tampering según IBM:

(i) Clase I (entidades externas con aptitudes). Poseen habilidades pero disponen de conocimiento insuficiente del sistema y equipo.

(ii) Clase II (entidades de dentro con conocimientos). Generalmente tienen acceso a equipamiento y herramientas sofisticadas.

(iii) Clase III (organizaciones financiadas). Están financiadas por grandes organizaciones y tienen acceso a toda clase de recursos.

Imagen

Consideraciones finales

Las funciones PUF son un agente/broker imprescindible en todo entorno de Industria conectada 4.0 si nos preocupa la protección en ciberseguridad-privacidad ya que si no seríamos incapaces cognitivamente o simplemente trastornados. La Industria conectada 4.0 representa un nuevo nivel de organización y control de toda la cadena de valor a lo largo del ciclo de vida de los productos y la ciber-seguridad-privacidad debe presidir este paradigma desde el diseño. La cuarta revolución industria (Industria conectada 4.0, smart-manufacturing) se caracteriza por incrementar la digitalización y la interconexión de productos, cadenas de valor, modelos de negocio y sistemas ciber-físicos de producción. En el mundo actual no es de sorprender que proporcionar sólo seguridad física no es suficiente para asegurar la seguridad de los diversos sistemas incluyendo instalaciones, objetos, servicios y dispositivos.

La seguridad debe verse de una forma global y la ciberseguridad desempeña un papel clave y esencial en este contexto. En un entorno biomédico de industria conectada 4.0 con sensores como temperatura, parámetros de escala corporal (altura, peso, masa ósea, grasa corporal, masa muscular, agua corporal, tasa metabólica basal o índice de masa corporal, grasa visceral, etc.), capacidad pulmonar, electrocardiograma o ECG, electroencefalograma o EEG, electromiograma o EMG, ritmo cardíaco, glucosa, presión sanguínea, oxigeno en sangre vía oximetría, pulso, frecuencia respiratoria, flujo de aire, ondas de ronquidos-respiración, ondas cerebrales (alfa, beta, etc.), posición del paciente, respuesta galvánica de la piel, etc. los datos en tiempo real que se envían a la nube vía la IIoT deberían no sólo cifrarse sino dotarse de mecanismos de integridad, autenticación mutua, disponibilidad y trazabilidad para una protección mínimamente sensata.

Las estimaciones del CNI (Centro Nacional de Inteligencia) indican que las empresas españolas cerraron el 2016 con más de 25.000 ataques lo que supone un incremento del 64% en PYMES y del 44% en grandes compañías desde 2014, los principales riesgos ante los ciberataques son las alteraciones de información, falsificaciones, suplantación de la identidad, fraudes, estafas, robo, corrupción, espionaje, sabotajes en procesos industriales, pérdidas de reputación, pérdidas económicas, etc. El buscador de dispositivos Shodan para objetos IIoT como PLCs, sistemas SCADA, routers, cajeros automáticos/ATM, cámaras de video-vigilancia (en todo lugar incluso en juguetes para menores), motores, sensores-actuadores, etc. tiene la URL: http://www.shodanhq.com/.

Tres pilares a la hora de proporcionar ciberseguridad al control industrial, infraestructuras críticas, CPSs, sistemas de medida, etc. contra ciber-ataques son:

(i) Tener una arquitectura de seguridad corporativa para ICS/OT/IT en base a la gestión de la ciberseguridad.

(ii) Tener un sistema de diagnóstico online para identificar ciber-ataques, fallos y daños de los sistemas.

(iii) Implantar una arquitectura global de protección basada en predicción, disuasión, detección, prevención, investigación-forense y reparación.

Algunas vulnerabilidades usuales en la Industria conectada 4.0 son:

(1) Debilidades de seguridad de red. Reglas de firewall con fallos, no actualización de AV e IPS, superficies de ataque en el diseño de red, incorrecciones en la configuración e implementación de componentes de red, fallos en auditoría y trazabilidad.

(2) Debilidades de seguridad en el software y productos. Calidad del código deficiente, autenticación no adecuada, fallos en criptografía, gestión de credenciales defectuosa, configuración, implementación y mantenimiento deficiente, validación de entradas con fallos, permisos, privilegios y control de acceso con fallos, verificación insuficiente de autenticidad de datos.

(3) Debilidades de seguridad en configuración. Gestión de credenciales deficiente, fallos en procedimientos, políticas y planificación, autenticación deficiente, configuración de auditoría, backup, trazabilidad con fallos, configuración de permisos, privilegios y control de acceso deficiente, etc.

Recientemente se ha detectado un ataque masivo en más de cien países de un tipo de malware con diversas denominaciones Adwind, AlienSpy, jRat, Sockrat, Unrecom, etc. Se trata de una herramienta de acceso remoto o RAT del tipo backdoor multifuncional y multiplataforma que se distribuye vía cloud computing como malware-as-a-service. Las víctimas reciben falsos correos electrónicos con adjuntos zip infectados que al abrirlos permiten obtener el control del dispositivo comprometido y robar información de dicho dispositivo infectado. Los ciber-ataques DDoS basados en botnet Mirai se basan en dispositivos de IoT como cámaras IP permiten dejar fuera de juego a servicios de Internet como los proporcionados por los ecosistemas de la Industria conectada 4.0.

Referencias

  • Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2017.
  • Areitio, J. “Estrategias, enfoques y tácticas de protección para la Industria 4.0 en ciberseguridad-privacidad basada en tecnología PUF”. Revista Eurofach Electrónica. Nº 456. Febrero 2017.
  • Areitio, J. “Protección contra ciberataques en la IoE basada en la tipificación de vulnerabilidades”. Revista Eurofach Electrónica. Nº 454. Noviembre 2016.
  • Tehranipoor, M., Salmani, H. and Zhang, X. “Integrated Circuit Authentication: Hardware Trojans and Counterfeit Detection”. Springer. 2014.
  • Liu, W.M. and Wang, L. “Preserving Privacy Against Side-Channel Attacks: From Data Publishing to Web Applications”. Springer. 2016.
  • Brooks, C.J., Craig, P. and Short, D. “Cybersecurity Essentials”. Sybex. 2017.
  • Flammini, F. “Critical Infrastructure Security: Assessment, Prevention, Detection, Response”. WIT Press. 2012.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos