¿BRECHAS ABIERTAS? CON LA ROBÓTICA MODERNA, CIUDADES INTELIGENTES, EL MODELO DETERMINISTA NO PUEDE SER LA BASE DE LA SEGURIDAD INFORMÁTICA.

El nuevo mundo lleno de inventos y sorpresas avanza a una velocidad extremadamente rápida, tanto que olvidamos ingenuamente algunos principios vigentes desde hace más de 6000 años. Uno de ellos es la prevención, hermana gemela de la proactividad. Desde el amanecer de la civilización, nuestros antepasados estaban muy claros en un punto:

Un pequeño diferencial en la tecnología de defensa, o una brecha en el vecino, se traducía ni más ni menos en la diferencia entre dominar o ser dominados.

La era de la modernidad ha traído ventajas innegables, avance, comodidades, en eso no hay discusión. Sin embargo, aún cuando por ejemplo organismos internacionales como Naciones Unidas o el Foro Económico Mundial tienen más de 50 años intentando convencernos de que «vivimos un mundo más pacífico» y según ellos «no son necesarias tantas armas», en la práctica hemos visto todo lo contrario. El primer organismo no ha podido cumplir con la paz en el mundo, objetivo principal desde 1920 cuando se llamaba Liga de Naciones, y el segundo no ha parado de fomentar financieramente avances tecnológicos que luego son trasladados a las estrategias de defensa, la fabricación de nuevas y sofisticadas armas que son utilizadas en guerras por control y dominación de territorios. Es así como volvemos nuevamente al postulado que conocían nuestros antepasados quienes, muy a diferencia de nosotros, estaban muy atentos en todo momento.

Los modelos deterministas sólo sirven en sistemas no caóticos. Para sistemas aleatorios (no-determinista) y caóticos (determinista impredecible a largo plazo) los modelos deterministas no pueden predecir adecuadamente la mayor parte de sus características.

Del computador al robot

El sistema operativo es un conjunto de programas, librerías operacionales, funciones y procedimientos que hacen posible que una computadoras o un dispositivo móvil pueda conectarse con el mundo. En el caso de un computador personal, por lo general, no hay interconexión con funciones motoras de algún dispositivo externo, salvo cuando se ordena mover el motor de lectura de un CD o disco duro.

Si un computador es atacado por un hacker o un virus, lo máximo que puede pasar es que se roben o se pierda la información; a lo sumo el computador deja de funcionar por el nivel de corrupción del sistema, pero el daño no pasa de ahí.

¿Por qué en los últimos 30 años los esfuerzos para robustecer los sistemas operativos comerciales no lograron el objetivo esperado?

La aparición de nuevos programas, nuevos dispositivos de hardware todos los días, nuevas interconexiones, nuevos protocolos, resultaron en un fracaso del enfoque determinista de los gurús de la seguridad informática. ¿La razón? Fuimos incapaces de predecir todas las salidas del sistema a nivel de vulnerabilidades, porque en todo momento la industria introducía nuevas entradas. No importa si eres de los que prefiere Microsoft, Linux o Mac, estarás de acuerdo que nunca fue suficiente seguridad y aún con los esfuerzos de empresas famosas para producir anti-virus, anti-spam y anti-mailware, los resultados hoy no dejan de generar controversia.

En todo caso, siendo justos, este entramado puede ser tolerable en un ambiente de computadoras, teléfonos móviles y hasta en sistemas de control básico tipo válvulas industriales, puertas o servomotores de accionamiento unifuncional. Pero los avances que vislumbramos en los años venideros nos muestran que muy pronto habrá robots para uso cotidiano en hogares, en empresas y en los estamentos militares. Por lo tanto el asunto puede ser más complicado, o… mejor deberíamos usar una palabra más apropiada: peligroso.

Robot ruso FEDOR

Sistemas Operativos especializados para robótica

Siendo usuario y desarrollador del sistema operativo UBUNTU en computadores y móviles hace años, y con la experticia en seguridad informática hace más de una década, me llamó poderosamente la atención uno de los paper oficiales que recibí. Lo pueden descargar aquí. Allí se desarrolla toda la estrategia de un subproducto del sistema operativo Linux Ubuntu totalmente enfocado a robótica moderna: el ROS – Robotic Operating System. Lo tomaremos como ejemplo para ilustrar el punto de la seguridad, aclarando de antemano que podríamos utilizar cualquier otro sistema operativo.

En el documento de 11 páginas, al inicio, hay una declaración muy enfática acerca de lo qué es y cuáles son los objetivos para el mercado de aplicaciones industriales:

«Robot Operating System (ROS) es una popular plataforma de código abierto para robótica avanzada. Los robots modernos se implementan tanto en almacenes locales como en sitios remotos aislados de manera similar a los sistemas heredados de Control de supervisión y adquisición de datos (SCADA). Los sistemas SCADA se utilizan ampliamente en procesos industriales (fabricación, refinación, generación, ensamble, etc.), infraestructura (gasoductos y oleoductos, tratamiento y distribución de agua) e instalaciones (HVAC, acceso, etc.). Fueron diseñados para ser abiertos, robustos, fáciles de operar y reparar, pero la seguridad no fue parte del diseño hasta la proliferación de Internet. Al igual que SCADA, algunos de estos robots no están adecuadamente protegidos contra ataques. Al construir su robot en Ubuntu, existen sencillos pasos para proteger su robot contra atacantes.«

Paper Oficial Web Ubuntu

En el pasado, por experiencia propia lo digo, ya tuvimos algunos problemas con SCADA en la industria automovilística y en la refinación de petroleo, precisamente por la ligereza en la gestión de la seguridad del sistema en cada etapa. El problema próximamente con la robótica moderna, es que habrá muchas empresas que intentarán clonar todas las funciones motoras del ser humano: en ese orden de ideas los riesgos asociados a la seguridad se vuelven exponencialmente mayores.

Debo confesar que normalmente rechazo mucha información, pero en este caso al llegar a la frase en azul «….existen sencillos pasos para proteger su robot contra atacantes» supe que tendría que leer todo el documento. Un paper de robótica moderna que empieza catalogando de «sencillos pasos» el asunto de la seguridad en un sistema con tendencia al caos, merece toda nuestra atención. En resumen, describen las modificaciones que el ingeniero / técnico debería hacer en el sistema operativo básico una vez instalado en el robot, para luego (afirman ellos) convertirlo en «lo más seguro posible», veamos qué dicen.

Pasos para mejorar la seguridad del sistema operativo de robot

  • Remover el usuarios por defecto en Ubuntu: para evitar ataques no deseados ya que el usuario y contraseña por defecto son palabras demasiado simples.
  • Mejorar el acceso remoto por comando (llamado acceso SSH): evita el desvío de puertos, permitiendo tener un mejor control de los accesos remotos al sistema.
  • Activar el firewall interno del sistema operativo: limita los permisos apenas al puerto correspondiente de SSH (punto anterior).
  • Evitar que el directorio del usuario comparta archivos: manera que los usuarios en la red no puedan acceder a los archivos del robot.
  • Eliminar la posibilidad de creación de nuevos archivos en el sistema: eleva las directivas de enmascaramiento (umask) forzando el sistema para que solicite -usuario y contraseña administrativa- al intentar un cambio de esa naturaleza.
  • Activar las actualizaciones de seguridad de Ubuntu de forma automática: mejora la robustez del sistema y endurece la estructura de seguridad.
  • Si no lo usa, deshabilitar el protocolo de comunicación IP versión 6: evita posibles intrusiones.
  • Deshabilitar los puertos USB y conexiones Bluetooth cuando el dispositivo robotizado se encuentra en fase de producción / operación.
  • Si el robot es controlado con WiFi (inalámbrico): deshabilitar conexiones de red alambrada (Ethernet).
  • Si es controlado con red cableada (Ethernet): deshabilitar conexiones WiFi (inalámbricas).
  • Si ya el sistema está funcionado como deseado: deshabilitar el volcado de memoria para evitar que la memoria se desborde como resultado del registro de eventos erróneos, lo que podría ocasionar parálisis o anomalías en el robot.

Debería ejecutar todo esos pasos. ¿Y si no lo hace? Al menos 11 posibilidades de intrusión a un sistema, dejadas en mano de un ingeniero o en el mejor de los casos un equipo de proyectos, solo demuestra que a lo largo de la historia de la humanidad poco hemos aprendido de las guerras y la innovación en armas. No contentos con esto, el paper concluye así:

Mientras preparas tu robot para la producción, la seguridad no debe ser una ocurrencia tardía. Hacer un esfuerzo inicial puede, a la larga, ahorrarle recursos y un dolor de cabeza producto de una brecha de seguridad. A medida que nuestro mundo se vuelve cada vez más conectado, un cambio de paradigma de «si nos convertimos en un objetivo» a «cuándo nos convertimos en un objetivo» justifica un enfoque proactivo de la seguridad, y recuerde, la seguridad no es un solo interruptor de encendido / apagado. La seguridad son muchas acciones menores que, por sí solas, no necesariamente tienen un impacto significativo, pero fortalecen los números. Una gran cantidad de infracciones son oportunistas. Si coloca una cierta cantidad de barreras, los atacantes se moverán hacia un objetivo más débil.

Paper Oficial Web Ubuntu
¿A esta estrategia ellos le llaman enfoque proactivo? ¿Dejar todo abierto de entrada? ¡Increíble! No cabe duda que la robótica será un elemento trascendental en el futuro próximo. Sin embargo utilizar un enfoque determinista creyendo que tenemos todas las variables desde el comienzo y por lo tanto ilusionarnos que hemos analizado todas las posibles salidas, no es solo una tontería repetida antes, es una irresponsabilidad.

En los robot para uso industrial multifuncional y próximamente para uso en nuestra cotidianidad, el asunto de la seguridad informática no puede seguir así de ligero, mucho menos continuar con el acostumbrado enfoque determinista. Imposible aceptar la acostumbrada estrategia que ha aplicado Bill Gates «en la marcha vamos resolviendo». Si lo hacemos, dejaremos nuevamente a la suerte el impacto al consumidor final: la sociedad. Tampoco podemos dejar que los ingenieros carguen con el 100% de la responsabilidad. Es un asunto multidimensional que en algún momento se volverá un tema político (probablemente ya lo es) porque no se trata solo de fusionar motores con computadores y polímeros para hacer un producto a nuestra imagen y semejanza. Damas y caballero, estamos en presencia de un nuevo PODER sumamente complejo que merece la seriedad y la responsabilidad apropiada.

Es hora de abandonar el pensamiento desde la comodidad del mundo ideal de nuestro laboratorio de pruebas. Estamos frente a un sistema caótico, dentro de un mundo lleno de intereses POLÍTICOS y GEOPOLÍTICOS, al más mínimo paso en falso se mueren miles, quizás millones de personas.

Es necesario pensar las cosas de forma diferente. De ser necesario debemos analizar al revés: se cierran TODAS las brechas desde el inicio y se obliga a los ingenieros a abrir de manera controlada las necesidades que van surgiendo. Porque la libertad implica responsabilidad y el mundo está cansado de discursos políticos disculpándose por «errores». Errores que cometen ingenieros, es verdad, pero autorizados por políticos enfermos de PODER. ¿Qué pasaría si el robot del vídeo a continuación recibiera una intrusión de un grupo criminal y dejara de bailar para hacer «algo más»? ¿Te imaginas? Yo me lo imagino perfectamente porque conozco ambos mundos: la ingeniería y la geopolítica. ¿Y tú?

Avances de Boston Dynamics

«La humanidad llegará a un punto de tiranía global no por las acciones de los políticos, que por cierto poco hacen, sino por las nuevas generaciones de ingenuos ingenieros, diseñadores, directores de proyectos, científicos y programadores que no se preocupan en saber para quién trabajan».

Giuseppe Nocera

Giuseppe Nocera

Experto internacionalista con experiencia personal y profesional en varios países tales como Alemania, Brasil, Bélgica, Inglaterra, Venezuela, Chile, Colombia, Ecuador, Perú y por supuesto su país natal Italia, entre otros. Habla varios idiomas y curioso por naturaleza, la vida lo ha llevado a la investigación desde 3 ángulos distintos como los son: la tecnología, la geopolítica y la historia. También es Ingeniero electrónico, experto en seguridad informática, redes y autor de MIENTRAS DORMÍAMOS - El Engaño Maestro.

Un comentario

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.