Creación de un camino a través de la seguridad de la IO con ETSI EN 303 645

Blog post 27 May 2020 by Robin Vossen, Especialista Senior en Seguridad de Bureau Veritas Cybersecurity

Se eligió la norma ETSI EN 303 645 porque parece cubrir bastantes bases: el propio hardware, la privacidad, las políticas de la empresa y (lo más importante) la seguridad del software instalado.

Entonces, ¿qué es esta norma ETSI EN 303 645? se preguntará usted. Esta norma está elaborada por el grupo ETSI (Instituto Europeo de Normas de Telecomunicaciones) y se ha desarrollado para abordar la seguridad para el Internet de las Cosas de los consumidores. La palabra "consumidor" es clave aquí, ya que los objetivos no serán IIoT (Internet Industrial de las Cosas) o sistemas POS (Punto de Venta), sino hardware de grado de consumidor como ese nuevo gadget que compró la otra semana. Al modelar las amenazas de esta categoría de dispositivos en su conjunto, los riesgos principales son los relacionados con el software, como la fuga de datos o su explotación para convertirse en un bot (malware et. al.) para otros ataques, y no tanto el riesgo de comprometer el hardware (por ejemplo, el acceso físico necesario).

La norma dicta una serie de requisitos, que se definen en trece categorías;

1. Ausencia de contraseñas universales por defecto.
2. Implementar un medio de gestión de informes de vulnerabilidades.
3. Mantener actualizado el software.
4. Almacenar de forma segura los parámetros de seguridad sensibles.
5. Comunicar de forma segura.
6. Minimice las superficies de ataque expuestas.
7. Garantice la integridad del software.
8. Garantice la protección de los datos personales.
9. Haga que los sistemas sean resistentes a las interrupciones.
10. Examine los datos de telemetría del sistema.
11. Facilite a los consumidores la eliminación de datos personales.
12. Facilite la instalación y el mantenimiento de los dispositivos.
13. Validar los datos de entrada

Como queda claro al leer estos requisitos, estos puntos requieren conocimientos internos sobre el producto. Esto podría recopilarse con un enfoque de caja de cristal o de caja negra. Estos dos métodos de investigación serán muy diferentes.

Para un enfoque de caja de cristal, el fabricante tendría que implicarse suministrando el código fuente y la documentación del diseño, lo que permitiría realizar auditorías periódicas del código fuente utilizando la documentación para determinar cómo se establecen y mantienen los límites de confianza.

Sin embargo, cuando se emplea un método de caja negra, el firmware tendrá que ser volcado y sometido a ingeniería inversa para obtener una comprensión sólida de qué se hace cómo y qué medidas se toman para garantizar que el dispositivo no se vea comprometido.

El enfoque de caja de cristal ofrece la mayor comprensión y requiere menos tiempo, sin embargo, a menudo el vendedor del dispositivo IoT no es el constructor integral del hardware y el software del dispositivo. Esto suele dar lugar a un enfoque de caja negra, en el que los expertos tratan de abordar la mayoría de los requisitos en un plazo razonable.

Dado que existe bastante ambigüedad en la versión actual de la norma ETSI EN 303 645 (en cuanto a la formulación de los requisitos), es de suma importancia que se acuerden unos criterios mínimos específicos.

Un ejemplo de esta situación sería el requisito 4.3-5 - "Puntualidad de las actualizaciones de seguridad". La definición de "puntualidad" no está establecida y, sin un límite duro, siempre será un punto de discusión. La misma afirmación es válida para el requisito 4.3-12 - "Comprobación periódica de las actualizaciones". Una vez cada diez años también es periódico. Como se ha descrito anteriormente, cuando se establece un criterio de aceptación mínimo, por ejemplo una vez al mes, se reduce la posibilidad de exploit al tiempo que se mantiene la flexibilidad en la implementación.

Debido a que muchos de los requisitos se expresan de forma tan abierta, Bureau Veritas Cybersecurity ha creado una guía de pruebas propia. La razón por la que se desarrolló esta guía de pruebas fue impulsar al sector hacia la adopción de la norma, así como hacer que el enfoque de las pruebas fuera más concreto y menos ambiguo, manteniendo al mismo tiempo la flexibilidad. La creación de esta guía de pruebas dio lugar a una invitación de NEN (la organización holandesa de normalización) a uno de sus eventos organizados. El evento era una reunión con Personas de la industria, con el objetivo de hablar sobre los requisitos dentro de la norma ETSI EN 303 645, así como la aplicabilidad práctica y el valor de esta norma en el contexto del IoT de consumo.

Debido a la experiencia práctica de Bureau Veritas Cybersecurity en el uso de esta norma y al interés por la guía de pruebas desarrollada, Secura participó en este evento. Además, hubo interés en la guía de pruebas que Secura desarrolló sobre este tema. La razón por la que la desarrollamos fue impulsar al sector hacia su adopción, así como hacer que el enfoque de las pruebas fuera más concreto y menos ambiguo, manteniendo al mismo tiempo la flexibilidad. La participación dio lugar a muchos debates interesantes, relacionados con la adopción de la norma.

Una pregunta que se hizo durante este encuentro por parte de un desarrollador de dispositivos IoT fue: "¿por qué habríamos de adherirnos a esto?", lo cual es una pregunta honesta y crítica.

Al fin y al cabo, el cumplimiento de la norma (actualmente) no es obligatorio y, al mismo tiempo, a veces puede resultar costoso. Además del impulso intrínseco de crear productos seguros y evitar que su producto se convierta en un agujero en la red de los usuarios, la razón principal sería poner a prueba en el futuro a su empresa, sus productos y sus desarrolladores para cuando esta norma sí sea obligatoria. Dentro del uso de DigiD (Logius) hemos visto el mismo tipo de tendencia. Cuando se creó DigiD no existían leyes ni normativas que obligaran a utilizar esta metodología. Una situación similar se observa actualmente en torno a la norma ETSI EN 303 645.

Y hay algo que se desarrolla lentamente con el paso del tiempo en las leyes y en un Internet más seguro. Por esta razón, lo mejor sería prepararse ahora, cuando los errores aún no están penalizados para conocer el maravilloso mundo de la seguridad del IoT.

Por ahora, tenemos nuestros analizadores lógicos, soldadores y desensambladores para realizar la assessment de seguridad de los dispositivos IoT que está desarrollando o que tiene dentro de su red. Ya se trate de cámaras, radios u otros artilugios similares, estaremos encantados de ayudarle a garantizar que las entidades maliciosas no puedan explotar estos productos y abusar de ellos para que actúen como punto de entrada dentro de su red segura.

Como ocurre con una evolución; primero no hay nada, luego hay algo y después se desarrolla lentamente con el tiempo; para la seguridad concretamente en las leyes y un Internet más seguro. Por este motivo, lo mejor sería prepararse ahora y conocer esta norma del ETSI mientras aprendemos conjuntamente sobre el maravilloso mundo de la seguridad del IoT.

Lea más sobre la norma del ETSI en nuestra hoja informativa. . Si tiene alguna pregunta sobre la seguridad de la IO, póngase en contacto con nosotros en cybersecurity@bureauveritas.com.