Como parte de la segunda jornada de conferencias en la ekoparty, ayer le tocó el turno a la presentación titulada “Hacking robots before Skynet” de César Cerrudo y Lucas Apa. Mostraron una problemática de seguridad para el futuro cercano, cuando los robots puedan influenciar muchas actividades humanas.
La presentación trató las vulnerabilidades asociadas a la tecnología en robótica, lo que podría representar una seria amenaza para las personas y las organizaciones en distintos ambientes donde puedan operar robots.
La adopción de robots y su estrecha relación con la ciberseguridad
El rápido desarrollo de la tecnología contribuye a reducir su costo, distribuirla de forma masiva y mejorarla continuamente, y esto aplica a la tecnología en robots, que son cada vez más utilizados en los hogares y las industrias. Es probable que en el futuro cercano estén prácticamente en todos los lugares, facilitando nuestras actividades y haciéndolas cada vez más automatizadas.
Sin embargo, todos los beneficios que puedan proporcionar a las personas podrían verse opacados si estas “máquinas inteligentes” carecen de medidas de seguridad, lo que podría convertirlos en herramientas potencialmente peligrosas, capaces de generar de daños de mayor gravedad para las personas. A medida que pasamos de la utilización de robots en las grandes industrias hacia su uso en los hogares, se hace más necesario prestar antención a este asunto.
Donde hay software y hardware existen vulnerabilidades
La investigación de César y Lucas tiene como base las vulnerabilidades identificadas en la tecnología actual. A partir de un modelo de amenazas y evaluación de riesgos, una evaluación de vulnerabilidades y técnicas de ingeniería inversa, fue posible analizar la documentación y firmware de robots que se encuentra disponible en Internet.
El análisis se centra en ciberataques que tienen como objetivo el ecosistema de los robots, es decir, los elementos necesarios para su operación. Por ejemplo, el robot físico mismo, su sistema operativo, firmware, software, aplicaciones de control remoto/móvil, proveedores de servicios de Internet, servicios en la nube, redes, entre otros.
Las amenazas asociadas a un robot comprometido podrían derivar en el uso malintencionado por parte de atacantes para generar daños a empresas o consumidores, incluso ataques contra los humanos. La demo que los oradores hicieron en la charla fue divertida y escalofriante al mismo tiempo: el adorable robot que primero caminó, hizo un dab y bailó cumbia argentina, más adelante manipuló un destornillador como si fuese Chucky, el muñeco diabólico.
La adopción de robots modernos que interactúan cada vez más con las personas (robots colaborativos, por ejemplo para atención al cliente o como ayuda doméstica), los distintos ecosistemas, topologías y arquitecturas, así como accidentes e incidentes relevantes, son los elementos detonantes de la investigación.
Vulnerabilidades en robots actuales
El trabajo de investigación abarca distintos tipos de robots que se comercializan hoy en día, tanto hogareños como industriales, así como sus controladores, donde una parte importante utiliza sistemas operativos Linux y aplicaciones desarrolladas en lenguajes de programación como Java o C++.
El resultado de la auditoría arrojó que fueron identificadas alrededor de 50 vulnerabilidades en diferentes componentes del ecosistema de los robots; la mayoría se trata de problemas que podrían considerarse comunes.
Por ejemplo, el análisis de la conectividad a través de Bluetooth, Wi-Fi o Ethernet, mostró aspectos en malas configuraciones que permiten identificar puertos abiertos y la posibilidad de enviar comandos para la ejecución de acciones maliciosas. Del mismo modo, las vulnerabilidades en los mecanismos de autenticación y autorización permiten a un atacante poder interactuar con los robots.
Otro aspecto considerado es la posibilidad del espionaje, especialmente en robots que cuentan con micrófonos y cámaras, y por supuesto, conectividad a Internet. Esto permitiría considerar al robot como una amenaza interna, ya que una vez que ha sido comprometido podría ser utilizado para actividades de ciberespionaje o vigilancia. O al menos para observar a sus dueños... durante la charla, César y Lucas demostraron cómo el robot nos veía a todos en la audiencia.
En general, las principales vulnerabilidades identificadas en el análisis se resumen en las siguientes categorías:
- Comunicaciones inseguras
- Corrupción de memoria
- Ejecución remota de código
- Integridad de archivos no verificada
- Problemas en autenticación y falta de autorización
- Cifrado débil
- Problemas de privacidad
- Configuraciones por defecto
- Vulnerabilidades en bibliotecas de código abierto
Además, los servicios externos de interacción como redes sociales, aplicaciones almacenadas o sistemas en la nube podrían representar que un atacante acceda a información confidencial si el robot es comprometido. Al mismo tiempo, las aplicaciones de control remoto también podrían ser utilizadas para el envío malicioso de comandos.
La extensibilidad modular para el uso de aplicaciones en el robot también podría permitir la instalación de algún tipo de software malicioso, incluso ransomware para hacer inutilizable el robot, permitiendo la extorsión por parte de los atacantes hasta que se realice el pago del rescate. En el mismo sentido, otros elementos podrían ser atacados, como servicios en la nube de los fabricantes que permiten el control remoto de los robots.
Otras funcionalidades que podrían ser deshabilitadas son las características de seguridad, es decir, los mecanismos de protección (mediante sensores) que evitan que un robot pueda dañarse a sí mismo, dañar a humanos u objetos. La protección de seguridad para humanos o los mecanismos para detectar/evitar colisiones pueden ser deshabilitados si alguna vulnerabilidad es explotada.
Consecuencias de comprometer un robot
En la parte final de la presentación, César y Lucas hablaron de las consecuencias de comprometer un robot, mismas que pueden variar en función del tipo y modelo. Por ejemplo, en el hogar se puede atentar contra la privacidad, daños a las propiedades e incluso a los humanos mismos.
En el ámbito corporativo, las consecuencias están relacionadas con el espionaje, comprometer las redes, llegando también al daño de las personas e inmuebles. En otras industrias, como la militar o de la salud, los robots podrían convertirse en una amenaza directa para los humanos.
La industria de la robótica ha emergido de manera disruptiva en otras industrias, lo que obliga a este sector a madurar rápidamente en las prácticas de seguridad para evitar consecuencias de gravedad. La mayoría de los problemas identificados pueden ser prevenidos con la aplicación de prácticas de seguridad ya conocidas.
Por ello, resulta primordial que los desarrollos actuales y futuros se hagan pensando en la seguridad como un elemento esencial, que ya no solo puede afectar a los sistemas, dispositivos, redes o información, sino que incluso pueden atentar contra la integridad misma de las personas.