Bloomberg Businessweek

Él descubrió una nueva era en hackeos… y tus gadgets podrían ser el blanco

Yuriy Bulygin, el antiguo gurú de las amenazas de Intel, lucha contra ataques al ‘firmware’, que guarda los más sensibles secretos de los chips.

TECNOLOGÍA

Bloomberg Businessweek

Yuriy Bulygin sabe todo acerca de las vulnerabilidades de la computadora. Pasó la mayor parte de su carrera en Intel Corp. estudiando defectos de seguridad en los chips, incluidos varios años como principal investigador de amenazas de la compañía, hasta el verano pasado. Así que puedes creerle cuando dice que ha encontrado algo nuevo: su última investigación, que se publicó este mes, muestra que los hackers pueden explotar fallas en los microprocesadores para acceder al 'firmware' (el microcódigo almacenado permanentemente dentro de procesadores y otros chips) para llegar a su información más sensible. "El firmware tiene acceso básicamente a todos los secretos que están en esa máquina física", dice.

La técnica de piratería que Bulygin descubrió explota las vulnerabilidades de Spectre, inicialmente descubiertas por Google y otros investigadores y divulgadas a principios de este año. El gigante tecnológico descubrió que millones de computadoras y teléfonos inteligentes podrían verse comprometidos por Spectre, que aprovecha las fallas en la forma en que los procesadores intentan predecir qué datos creen que los usuarios necesitarán a continuación, y los buscan de antemano. La técnica de Bulygin va un paso más allá al permitir que los hackers lean datos de un tipo particular de firmware llamado memoria del modo de administración del sistema (SMM por sus siglas en inglés). El código está vinculado a accesos que controlan las funciones clave de la máquina, incluido el cierre de la unidad de procesamiento central (CPU) si la computadora se calienta demasiado o permite que los administradores configuren el sistema. Con acceso a la memoria SMM, los piratas informáticos pueden obtener esencialmente cualquier información que deseen.

Los servicios de computación en la nube podrían estar en el mayor riesgo, dice Bulygin, porque la falla se podría utilizar para infringir las protecciones que mantienen separados los datos de las empresas en los servidores físicos. Los hackers que accedan al firmware de esos sistemas no solo pueden moverse entre las bases de datos y robar información, sino también revisar el código del firmware para hallar algunos de los secretos más fuertemente defendidos de los servidores, incluidas las claves de cifrado y las contraseñas administrativas.

Bulygin ahora dirige Eclypsium Inc., una startup enfocada en la protección contra amenazas al firmware. Atrajo 2.5 millones de dólares en fondos iniciales de Intel y de la empresa de capital de riesgo Andreessen Horowitz en octubre. (Bloomberg LP, que es dueño de Bloomberg Businessweek, es un inversor en Andreessen Horowitz). Hasta ahora, la mayoría de los equipos de seguridad cibernética se ha centrado en proteger el software y las redes, no las 'vísceras' de las máquinas. Los espías han sabido sobre los riesgos para el firmware desde hace tiempo; una lectura detenida de los documentos clasificados de la Agencia de Seguridad Nacional que Edward Snowden filtró revela que los servicios de inteligencia han usado durante décadas herramientas llamadas implantes. Esos pueden ser cualquier cosa, incluido el código malicioso o chips diseñados para secuestrar circuitos y modificar el firmware y otros códigos.

Las corporaciones y las compañías de ciberseguridad están prestando mucha más atención ahora a las amenazas al hardware, dice Joe FitzPatrick, un excientífico de investigación de seguridad con Intel y fundador de Hardware Security Resources LLC. "En general, si hay un implante en el hardware, no se puede confiar para nada en el sistema", dice.

El peligro atrajo poca atención hasta ahora porque las compañías estaban demasiado enfocadas en cubrir lo básico. Este año, Gartner Inc. proyecta que el gasto en ciberseguridad totalizará casi 100 mil millones de dólares, y la mayoría se destinará a servicios de consultoría, outsourcing y otros. Solo una fracción va a la defensa contra las amenazas a nivel del hardware. "No ha sido algo en lo que se haya centrado la industria de la seguridad", dice Martin Casado, un socio de Andreessen Horowitz que lideró la inversión de la compañía en Eclypsium. "Es un espacio muy, muy técnico, altamente especializado".

Eclypsium forma parte de un puñado de empresas que desarrollan tecnología para buscar modificaciones maliciosas en el firmware dentro de los centros de datos de las empresas. ReFirm Labs Inc. en Fulton, Maryland, cuyos fundadores trabajaron en la Agencia de Seguridad Nacional de EU, se ha asociado con desarrolladores de software para supervisar el firmware que están creando o utilizando de terceros para garantizar que no se agregue código malicioso en las primeras fases de desarrollo. Por otra parte, Apple Inc. compró en noviembre de 2015 LegbaCore, una empresa de Washington D.C. especializada en firmware.

Un cliente potencial obvio: el gobierno de Estados Unidos. El mes pasado, el FBI y el Departamento de Seguridad Interior advirtieron que, al menos desde 2015, piratas informáticos que trabajan para el gobierno ruso han explotado una gran cantidad de enrutadores e interruptores de red, incluido equipos domésticos, en parte modificando su firmware para establecer una presencia permanente en el máquinas afectadas. El objetivo era enrutar el tráfico a través de servidores controlados por el gobierno ruso y copiarlo con fines de espionaje, dijeron las agencias.

Bulygin no sabe si los hackers ya han intentado usar las técnicas que descubrió para infiltrar computadoras, porque esta nueva clase de ataque de hardware es prácticamente indetectable. Por lo general, se pueden eliminar los hackeos de software con una actualización de seguridad, pero el código malicioso que llega hasta el firmware podría estar allí para siempre debido a su lugar en la red troncal de un chip o procesador. "Es un punto ciego con una gran superficie de ataque", dice Bulygin, "lo que obviamente no es una buena combinación".

También lee: