A medida que el hardware de código abierto mejora la seguridad

Los hacks de hardware son especialmente aterradores porque superan cualquier garantía de seguridad de software; por ejemplo, pueden crear todas las cuentas en servidores sin contraseñas.

Afortunadamente, podemos beneficiarnos de lo que la industria del software ha aprendido después de décadas de lucha contra los fructíferos piratas informáticos: el uso de técnicas de código abierto quizás no sea prudente. hacer el sistema más seguro. Los equipos de código abierto y la producción distribuida pueden brindar protección contra futuros ataques.

Índice

    Confía - pero hazte realidad

    Imagina que eres el Agente 007 que tiene documentos clasificados. Ya sea que se sienta más seguro encerrándolos en una caja fuerte cuyo fabricante mantiene las cerraduras en secreto, o en una caja fuerte cuyo diseño se publica abiertamente para que todos (incluidos los ladrones) puedan juzgar su calidad, ¿entonces solo puede contar con la complejidad técnica para la protección?

    El primer enfoque puede ser completamente seguro, simplemente no lo sabe. Pero, ¿por qué confiar en cualquier fabricante que pueda verse comprometido ahora o en el futuro? Por el contrario, es casi seguro que un sistema abierto será seguro, especialmente si ha pasado suficiente tiempo para que varias empresas, gobiernos e individuos lo prueben.

    Gran parte del mundo del software ha visto los beneficios de cambiar al software libre y de código abierto. Es por eso que el código abierto funciona para todos superordenadores, 90% nube, 82% mercado de teléfonos inteligentes y 62% mercado de sistemas integrados. El código abierto parece estar a punto de dominar el futuro, con más de 70% Internet de las Cosas.

    De hecho, la seguridad es un gran beneficio fuente abierta. Si bien el código abierto no es en esencia más seguro, le permite probar la seguridad usted mismo (o pagarle a alguien más calificado). Con los programas de código cerrado tienes que creer sin comprobar que el programa funciona correctamente. Cita del presidente Reagan: "Confía, pero verifica". La conclusión es que el código abierto permite a los usuarios tomar decisiones más informadas sobre la seguridad del sistema, una elección basada en su propio juicio independiente.

    Hardware de código abierto

    Este concepto también es cierto para los dispositivos electrónicos. La mayoría de los clientes de productos electrónicos no tienen idea de lo que hay en sus productos, e incluso las empresas técnicamente sofisticadas como Amazon pueden no saber exactamente qué hay en el hardware que se ejecuta en sus servidores porque utilizan productos patentados fabricados por otras empresas.

    El incidente reportado BloombergLos espías chinos utilizaron recientemente un pequeño microchip, no mucho más grande que un grano de arroz, para infiltrarse en el hardware fabricado por SuperMicro (el mundo del hardware de Microsoft). Estos chips permitieron que infiltrados de terceros accedieran a las funciones centrales del servidor de algunas de las principales empresas y operaciones gubernamentales de Estados Unidos, incluidos los centros de datos del Departamento de Defensa, las operaciones de drones de la CIA y las redes de buques de guerra de la Marina a bordo. Los detectives del Ejército Popular de Liberación o grupos similares podían reconstruir o fabricar módulos idénticos o disfrazados (en este caso, los chips parecían más desenlaces para generar una señal, un componente común de la placa base, en lugar de spyware).

    Tener una fuente ayuda mucho más a los clientes que a los piratas informáticos, ya que la mayoría de los clientes no tienen los recursos para reconstruir los productos electrónicos que compran. Sin la fuente o el diseño del dispositivo, es difícil determinar si el equipo fue pirateado o no.

    Registrarse hardware de código abierto: un diseño de hardware disponible públicamente para que todos puedan estudiarlo, modificarlo, probarlo, distribuirlo, fabricarlo o venderlo o equipos basados ​​en él. La fuente del equipo está disponible para todos.

    Producción distribuida para la ciberseguridad

    El equipo de código abierto y la producción distribuida podrían evitar la piratería china, que ha asustado con razón al mundo de la seguridad. Las organizaciones que requieren una seguridad estricta, como los grupos militares, pueden verificar el código del producto y, si es necesario, introducir la producción ellos mismos.

    Este futuro del código abierto puede estar a la vuelta de la esquina. Recientemente fui coautor con Shane Oberloe y en artículo que analiza un dispositivo de escritorio económico de código abierto que permite a cualquiera crear una amplia gama de productos electrónicos de código abierto. Se están distribuyendo una serie de diseños electrónicos de código abierto en sitios web como Hackaday, electrónica abierta, y Instituto de circuito abiertoasí como productos basados ​​en la comunidad como arduino y alrededor de empresas como Industrias Adafruit y Electrónica SparkFun.

    Cada nivel de producción, que los usuarios pueden hacer por su cuenta, aumenta la seguridad del dispositivo. No hace mucho tiempo, tenías que ser un experto para hacer incluso un diseño simple. Ahora, las fábricas de código abierto para tableros y depósitos electrónicos, las pequeñas empresas e incluso los individuos pueden producir dispositivos electrónicos bastante sofisticados. Si bien la mayoría de los desarrolladores todavía usan chips de caja negra en sus dispositivos, esto también está cambiando Los chips de código abierto están ganando terreno.

    Definitivamente es posible crear productos electrónicos de código abierto hasta el chip, y cuanto más nos asedia la piratería de hardware, tal vez sea incluso inevitable. Las empresas de seguridad cibernética, los gobiernos y otras organizaciones deben pensar mucho en pasar al código abierto, tal vez estableciendo una política para comprar software y hardware que haga que el código esté disponible para que puedan verificar las vulnerabilidades de seguridad.

    Si bien cada cliente y cada fabricante de hardware de código abierto tendrá diferentes estándares de calidad y seguridad, esto no significa necesariamente una seguridad más pobre. Los clientes deben elegir cualquier versión del producto de código abierto que mejor se adapte a sus necesidades, al igual que los usuarios pueden elegir su propio gusto por Linux. Por ejemplo, corres Fedora gratis, o te gusta 90% de las empresas Fortune Global 500, pagar a Red Hat por su versión y soporte?

    Red Hat gana miles de millones de dólares al año por los servicios que brinda, además de un producto que supuestamente se puede descargar de forma gratuita. El hardware de código abierto puede seguir el mismo modelo de negocio; es solo un campo menos maduro, rezagado software de código abierto durante unos 15 años.

    El código fuente básico de los dispositivos de hardware será controlado por su fabricante, siguiendo "un dictador benévolo de por vida"modelo. Cualquier código (infectado o no) se prueba antes de que se convierta en parte de la raíz. Esto también es cierto para el hardware. Por ejemplo, los fabricantes de Objetos Aleph son populares La marca de impresora 3D de código abierto LulzBot, una impresora 3D comercial que está diseñada esencialmente para piratear. Los usuarios lo hicieron docenas de modificaciones (moda) en la impresora, y mientras estén disponibles, Aleph usa solo aquellos que cumplen con sus estándares de control de calidad en cada versión posterior de la impresora. Claro, descargar el mod puede arruinar tu propia máquina, pero infectar el código fuente del próximo LulzBot de esta manera será prácticamente imposible. Los clientes también pueden comprobar más fácilmente la seguridad de las máquinas.

    Hasta aquí Por supuesto, todavía hay problemas con la seguridad de los productos de código abierto., un modelo de equipo abierto puede ayudar a aumentar la ciberseguridad, desde el Pentágono hasta su sala de estar.

    Artículos de interés

    Subir