BLOG | OFICINA DEL CTO

Hacks de la cadena de suministro y el papel del hardware en la seguridad

Miniatura F5
F5
Publicado el 8 de octubre de 2018

En los últimos años hemos visto a empresas apresurarse a asegurar el alcance cada vez mayor de las implementaciones de software y de la nube. Y con razón, ya que una investigación reciente de F5 Labs muestra que las aplicações son los objetivos iniciales de más de la mitad de las infracciones denunciadas. Pero, a medida que las empresas se apresuran a reforzar este aspecto del negocio, necesitan permanecer vigilantes y estar alerta sobre lo que sucede también en el ámbito de la infraestructura y el hardware.

El reciente artículo de Bloomberg no es la primera afirmación que se hace respecto a lo que se conoce como un hackeo a la cadena de suministro. Durante los últimos cinco años al menos han circulado en Internet informes sobre terceros que interceptan equipos de red en la cadena de suministro con el fin de manipular, espiar o comprometer de alguna otra forma los datos.

De hecho, la amenaza de manipulación no se limita a la cadena de suministro de hardware. Es una forma bastante sencilla de entrar en el proceso, pero no es el único punto de entrada. Para ser claros, hoy en día no existe ninguna parte de un sistema (desde el hardware hasta el firmware, el sistema operativo y el software) que no esté sujeta a algún tipo de amenaza. Todos los días se ven violaciones de sistemas operativos y software en artículos que describen malware y vulnerabilidades explotadas. Se han distribuido amenazas persistentes a través de rootkits de BIOS (firmware). Y el uso creciente de subsistemas fabricados por terceros durante la última década da crédito a la viabilidad de un ataque a la cadena de suministro que afecte al hardware a nivel de placa. 

Sí, es posible. Sí, un ataque a la cadena de suministro sería difícil de detectar. Y sí, mientras el hardware desempeñe un papel en la distribución de aplicações en centros de datos y entornos de nube (léase: en el futuro previsible), es algo que las organizaciones deben tener en cuenta: independientemente de si los proveedores específicos dependen de su propio hardware o del de otros.

Los sistemas seguros deben tener en cuenta el hardware

Los ataques basados en hardware y firmware plantean un riesgo único en comparación con otros tipos de ataques, lo que en parte explica el profundo nivel de preocupación que tienen las organizaciones sobre el tema.

Los ataques basados en hardware y firmware son atractivos para los actores maliciosos debido a:

  1. Baja detectabilidad . El firmware funciona en segundo plano y a menudo no es visible para el software. Los sistemas modernos desalientan el acceso incluso al firmware BIOS, ya que cambios inapropiados pueden hacer que un sistema quede inutilizable.
  2. Alta persistencia . Una vez establecido, es difícil eliminar el malware de una plataforma infectada. Si bien los sistemas operativos se pueden reinstalar con relativa facilidad, restaurar el firmware a su estado original es una propuesta mucho más difícil.
  3. Alto privilegio . Cualquier código que se ejecute en hardware o firmware tiene acceso directo a nivel de hardware. El malware con este nivel de privilegios puede espiar e incluso controlar todo el sistema.


Si sumamos todo esto, vemos que las empresas que mantienen el control sobre su propio hardware obtienen ventajas tangibles. Por ejemplo, F5 supervisa cada paso (desde el diseño hasta el prototipo, la fabricación y, finalmente, la manufactura) para garantizar la integridad de nuestros sistemas. Sin este nivel de control, los proveedores pueden ofrecer una garantía comparativamente limitada de que el hardware que respalda sus sistemas está protegido.

El desafío de proteger lo que no controlas

En este punto, mencionaré que F5 no mantiene una relación de fabricación con Super Micro ni con ningún otro OEM de placa base de servidor. (Para obtener más detalles, consulte el artículo de la base de conocimiento de AskF5 relacionado con las noticias recientes de la industria). Sin embargo, este momento brinda una buena oportunidad para reforzar la importancia de las empresas que pueden emplear un conjunto rígido de procesos para protegerse contra la manipulación de su hardware, firmware y software en cualquier punto durante el desarrollo, la fabricación y el ensamblaje. Después de todo, si en algún momento tienes que confiar en el hardware, ¿no tiene más sentido confiar en un proveedor con experiencia en hardware?

Si bien es cierto que encontrará proveedores que están muy dispuestos a hacer que los elementos de hardware de seguridad sean "un problema de otros", este enfoque suele ser incompleto. Si necesita garantías sobre el hardware que respalda su infraestructura, querrá un proveedor que no juegue a la papa caliente con la responsabilidad de proteger en última instancia sus activos. Entonces, en el resto de este artículo, explicaremos qué hace F5 para mitigar este riesgo para sus clientes y luego identificaremos algunas preguntas que puede hacer a los proveedores para asegurarse de que estén limitando su exposición de manera responsable. Pero aquí está la versión tl;dr: Si no sabe cómo ni dónde se diseña, fabrica, prueba y ensambla el hardware de su infraestructura, es posible que tenga motivos para preocuparse; con F5, por otro lado, el proceso nunca deja de estar bajo nuestra supervisión.

Lo que F5 aporta: La parte complicada

F5 tiene su sede en Seattle y nuestro diseño y desarrollo de hardware se lleva a cabo en una instalación de la empresa al este de Seattle en Spokane. Este equipo supervisa todos los aspectos del desarrollo del hardware de F5. Nacido del deseo de desarrollar hardware específicamente para impulsar nuestra plataforma ADC, BIG-IP, esto nos permite integrar una atención fanática (¡en el buen sentido!) a la seguridad de nuestro hardware.

Resulta útil hacer una pausa aquí para obtener una visión general (muy) rápida de cómo se diseña y desarrolla el hardware. El diseño preliminar se realiza en un software CAD, a partir del cual se genera una imagen vectorial de la placa. Esto se llama archivo Gerber , basado en el formato estándar de facto de la industria para estas imágenes. A partir de ese archivo se fabrica una placa de circuito impreso (PCB). La PCB es simplemente la placa base: las pistas del circuito y la distribución de pines. El siguiente paso es fabricar un conjunto de circuito impreso (PCA), que agrega los componentes reales (CPU, memoria, circuitos integrados, transistores, etc.) a la PCB.

Los procesos de F5 también incluyen pruebas posteriores a la fabricación para ayudar a protegerse contra ataques a la cadena de suministro por parte de proveedores externos. Utilizamos una combinación de AOI (inspección óptica automatizada) así como inspección 5DX o AXI (rayos X). Cada uno está diseñado para encontrar una variedad de problemas que afectan la calidad y la integridad del sistema, incluida la identificación de cualquier elemento que no sea parte del diseño del producto.

Tanto la inspección AOI como la inspección por rayos X son procesos automatizados que comienzan con archivos Gerber que describen con minucioso detalle exactamente cómo debe verse la placa una vez fabricada. Los ingenieros de fabricación de F5 supervisan la configuración e implementación de estos subsistemas de prueba desde el primer PCA (conjunto de circuito impreso) y se perfeccionan constantemente. Esto nos permite comparar y verificar el producto final para asegurarnos de que es lo que esperábamos.

Más allá de estas medidas de seguridad, para ofrecer una mejor protección contra la amenaza de manipulación no autorizada de firmware y software, integramos dos capacidades principales en nuestro hardware: detección de manipulaciones y prevención de manipulaciones. El primero es posible gracias a la inclusión de un TPM (Módulo de plataforma segura). TPM (ISO/IEC 11889) es un microcontrolador dedicado que permite la verificación de la integridad del sistema mediante criptografía. La segunda capacidad implica firmar criptográficamente las actualizaciones de firmware posteriores y validarlas antes de la instalación, tal como se puede hacer con las actualizaciones de software de F5.

También me gustaría destacar el hecho de que la organización de TI de F5 posee y controla el acceso a todo el hardware y la red de nuestros subsistemas de prueba.

Preguntas para su proveedor

Cuando se trata de componentes críticos de su red y seguridad, la confianza y la comunicación abierta siempre deben estar en la ecuación. Si bien es cierto que existe un debate en curso en torno a los hechos del informe Super Micro, el tipo de amenaza que señala es muy real y muy creíble. Con respecto a la posibilidad de ataques de hardware y firmware desde cualquier fuente (cadena de suministro o cualquier otro), aquí hay algunas buenas preguntas que puede considerar hacerle a su proveedor:

  1. ¿Utiliza placas base desarrolladas por terceros en el diseño de sus sistemas?
  2. ¿Qué parte (si existe alguna) del proceso de diseño y desarrollo de hardware controla usted?
  3. ¿Qué nivel de pruebas de seguridad realiza en el hardware y cuándo?
  4. ¿Qué medidas de seguridad utiliza para proteger las actualizaciones de firmware y software?
  5. Por último, ¿qué protecciones tiene implementadas para prevenir y detectar manipulaciones de cualquier fuente a lo largo de la cadena de suministro?

____

Para obtener información adicional sobre cómo F5 puede mejorar la seguridad de las aplicação de su organización, visite: https://www.f5.com/solutions/application-security