El mundo empresarial está adoptando la tecnología móvil debido al impulso del personal distribuido, la necesidad de permanecer conectado y la capacidad productiva de los modernos dispositivos portátiles. Sin embargo, a diferencia de los PC que generalmente pertenecen y son gestionados por el departamento de TI, los dispositivos portátiles son inherentemente personales: los utilizamos para ver películas y fotos, para charlar con familiares y amigos, y para jugar.
Las compañías no pueden tolerar el uso de estos dispositivos personales que no gestionan para el proceso de información sensible y la conexión a redes corporativas e industriales. La inexorable entrada de las TI en el mercado de consumo exige una solución al concepto Bring Your Own Device (BYOD), es decir, “traiga su propio dispositivo”, según el cual un trabajador puede utilizar un dispositivo portátil para actividades personales o en el lugar de trabajo, asegurando al mismo tiempo que ambas partes estén satisfechas con su seguridad, usabilidad y coste.
Los sectores del control industrial y la automatización ofrecen un excelente ejemplo de la necesidad de dispositivos que cubran el hueco existente entre dispositivos electrónicos diseñados para el mercado de consumo en general y herramientas desarrolladas para que el trabajador móvil ejecute una aplicación determinada. Los trabajadores utilizan dispositivos móviles para el seguimiento de existencias, comunicarse con otros trabajadores y directivos, realizar búsquedas de información relevante en bases de datos corporativas, así como para la puesta en servicio y la gestión inalámbrica de sistemas de control industrial y otros equipos informáticos en planta.
Un gran ejemplo del creciente uso de dispositivos móviles en instalaciones industriales es Opto aPAC, una aplicación para Android creada por Opto 22. Opto 22 fabrica controladores, E/S y relés de estado sólido para automatización y control industrial. Los ingenieros y técnicos de automatización utilizan aPAC para supervisor y controlar de forma inalámbrica el hardware Opto en campo. La aplicación se puede utilizar para depurar, responder a alarmas y configurar el sistema. El software aPAC aprovecha la potencia de la electrónica moderna de consumo para que los trabajadores industriales sean más eficientes, ahorren tiempo y dinero durante la instalación y el mantenimiento.
El sistema tradicional de equipar a los trabajadores con dispositivos móviles depende de la compañía: ésta adquiere los dispositivos “aprobados” por el departamento de TI, como por ejemplo una Blackberry, en nombre del empleado, y paga la factura mensual por el servicio. El resultado es un dispositivo denostado por el empleado y que representa un coste total de propiedad para la compañía que es aproximadamente igual al de un PC nuevo. Para la mayoría de compañías, esto supone duplicar el coste informático para cada cliente per cápita.
¿Y si se permite al empleado traer su smartphone o tableta personal para que los utilice el lugar de trabajo? El sistema basado en la responsabilidad del empleado parece resolver algunos problemas importantes: el empleado puede utilizar los dispositivos electrónicos más nuevos y atractivos, y no hace falta que la compañía compre un dispositivo (solo ha de reembolsar las facturas correspondientes por el servicio). Si bien la compañía puede exigir la instalación de soluciones de gestión de dispositivos móviles (mobile device management, MDM) para asumir el coste de mantenimiento de tales dispositivos, al final resulta ser una batalla perdida cuando se utilizan los sistemas operativos móviles más habituales: sencillamente no ofrecen el aislamiento necesario para evitar que interfieran entre sí las aplicaciones, redes y datos personales e industriales. Los empleados no se sienten satisfechos con la privacidad de su información y las compañías no se sienten satisfechas con la responsabilidad asociada a este riesgo de privacidad ni a la inviolabilidad de sus propias redes internas y de su información.
Personalidad múltiple
Una respuesta en auge frente a BYOD es el concepto de personalidad múltiple: un único dispositivo portátil dividido en entornos virtuales aislados entre sí: uno para la información y las aplicaciones personales del usuario y otro para un espacio de trabajo gestionado por TI. Algunos ejemplos ya disponibles en el mercado son AT&T Toggle y VMware Horizon. El concepto de personalidad es fácil de comprender, utilizar y gestionar. LO que tienen estos productos en común es que aprovechan las capacidades nativas de Android para establecer áreas seguras.
Resulta sencillo ver que el sistema operativo móvil, en este caso Android, actúa por sí mismo como área de vulnerabilidad, un área que ha demostrado ser extremadamente fértil. Dado que Android y su núcleo Linux han sido desarrollados para adoptar estándares de desarrollo abiertos, la falta de un diseño formal que ofrezca una elevada garantía y la dependencia de una arquitectura monolítica aseguran un flujo estable de vulnerabilidades severas que han sido bien publicitadas. Estas carencias se utilizan habitualmente para acceder ilegalmente a smartphones y tabletas. Las vulnerabilidades permiten que el software malicioso que se origina en la personalidad privada se apropie o desactive las protecciones al nivel de aplicación asociadas a los productos antes citados. Cada año se descubren aproximadamente unas 100 vulnerabilidades en los núcleos de Android y se dan a conocer públicamente a través de la U.S. CERT National Vulnerability Database. Con un 100% de probabilidad, existen a día de hoy centenares de defectos no descubiertos y se añadirá un incontable número a la inmensa cantidad de código: literalmente miles de ediciones al día realizadas por miles de autores en todo el mundo.
El software aPAC de Opto 22 se comunica de forma inalámbrica con los controladores industriales de campo, por lo cual surge la pregunta: ¿cómo se protegen estas conexiones frente a las vulnerabilidades y sus consecuencias? Incluso si se utiliza un protocolo de seguridad, como SSL, para autenticar el dispositivo móvil y para criptografiar los datos sensibles transmitidos del controlador al dispositivo, ¿qué sucede una vez almacenados los datos en el dispositivo portátil? ¿Y qué garantía pueden tener los propietarios de equipamiento industrial de que un smartphone Android, que es muy Bueno para descargar software malicioso y aplicaciones de Internet, no vaya a infectar el sistema de control? Si bien el virus Stuxnet fue introducido a través de lápices USB manipulados, una conexión inalámbrica proporciona un objetivo mucho más atractivo para los piratas informáticos.
La tecnología de personalidad múltiple debe asegurar que el salvaje mundo del entorno abierto no afecte al entorno industrial. De hecho, un técnico de Opto 22 necesita una personalidad dedicada en exclusiva a gestionar el equipo y a conectarlo a la red industrial. La tecnología de áreas seguras debe ajustarse a una política en la cual el entorno industrial quede protegida mediante un cortafuegos frente la conexión a nada que no sea un túnel seguro que proteja la red industrial.
Veamos cuáles son los principales tipos de arquitecturas de personalidad múltiple en el contexto del objetivo de proporcionar un mayor nivel de aislamiento entre el dominio personal del empleado y el dominio industrial.
Contenedores
Linux tiene un concepto denominado contenedores o LXC. Los contenedores no son una forma de virtualización del sistema, sino que implementan la denominada virtualización del sistema operativo y ofrecen entornos de ejecución con acceso a un subconjunto de del sistema de archivos disponibles y en ocasiones separa los recursos planificados de la CPU. Los contenedores pueden parecer personalidades múltiples, al ejecutar por ejemplo dos elementos de Android y/o otros entornos de software. Está claro que esta técnica se puede utilizar para implementar el concepto de doble personalidad. No obstante, ambas personalidades dependen de la seguridad del único sistema operativo móvil subyacente.
Hipervisor de tipo 2
Los hipervisores de tipo 2 son similares a los contenedores ya que el entorno secundario se ejecuta como una aplicación en la parte superior del sistema operativo primario. No obstante, en lugar de albergar un solo sistema de archivos privados y sus aplicaciones, la personalidad secundaria es un sistema operativo huésped completo que se ejecuta en una máquina virtual creada por la aplicación del hipervisor. El hipervisor utiliza el sistema operativo primario para manejar las E/S y otras funciones de gestión de recursos.
Los productos hipervisores móviles de tipo 2, como VMware Horizon, se utilizan para proporcionar una personalidad industrial en la parte superior del entorno primario personal del empleado.
No obstante, una vez más el modelo del tipo 2 falla a la hora de proporcionar un potente aislamiento. Los fallos o vulnerabilidades de seguridad en el sistema operativo general primario afectarán a funciones críticas que se ejecuten en la máquina virtual. Además, en las propias aplicaciones del hipervisor de tipo 2 instaladas en el espacio de la compañía se han hallado vulnerabilidades que rompen el área segura.
Hipervisor de tipo 1
Los hipervisores de tipo 1 también ofrecen todas las funciones y la ejecución concurrente de una personalidad secundaria. No obstante, debido a que el hipervisor se ejecuta desde cero, el aislamiento de la personalidad no puede ser violado porque haya un punto débil en el sistema operativo móvil. Por tanto, un hipervisor de tipo 1 representa una opción prometedora tanto desde el punto de vista de la funcionalidad como de la seguridad.
Pero todavía existe la amenaza de vulnerabilidad para el hipervisor y no todos los hipervisores de tipo 1 están diseñados para alcanzar altos niveles de seguridad.
Una versión en concreto, el hipervisor de tipo 1 basado en micronúcleo, está especialmente diseñado para cumplir estos requisitos de garantía y críticos desde el punto de vista de la seguridad. Se sabe bien que los micronúcleos proporcionan una arquitectura superior para una seguridad relativa a grandes sistemas operativos de aplicación general como Linux y Android.
En un hipervisor de tipo 1 con micronúcleo, la virtualización del sistema se incorpora como servicio en el micronúcleo. Por tanto, además de las máquinas virtuales aisladas, el micronúcleo proporciona un interface estándar abierto para aplicaciones críticas de tipo ligero que no pueden confiarse a un sistema de aplicación general. Por ejemplo, la autenticación del usuario y el criptografiado de datos se pueden conseguir mediante aplicaciones del micronúcleo, que son inmunes a las vulnerabilidades en cualquier personalidad.
Las propiedades en cuanto a aislamiento de algunos micronúcleos seguros pueden ofrecer protección incluso frente a sofisticados ataques de software por canal secreto y canal lateral.
El micronúcleo también puede gestionar y utilizar una raíz de confianza de hardware, como un microcontrolador para tarjeta inteligente (smart card) embebido en una tarjeta microSD o SIM cuando se encuentre disponible, ofreciendo así protección frente a ataques físicos sobre datos críticos, como claves criptográficas. Un ejemplo de hipervisor de tipo 1 con micronúcleo es el INTEGRITY Multivisor de Green Hills Software. El micronúcleo de Multivisor se encuentra ampliamente instalado en electrónica corporativa y embebida, así como en dispositivos criptográficos certificados por la NSA, y es la única tecnología de software certificada para Common Criteria EAL 6+ / High Robustness, el nivel exigido para proteger información altamente valiosa frente a ataques sofisticados.
El BYOD de doble personalidad, basado en la tecnología de virtualización segura, proporciona una estrategia para aumentar las garantías de protección y aislamiento de los datos en dispositivos móviles entre los mundos abierto e industrial.
Sencillamente existe demasiada vulnerabilidad como para prevenir la subversión entre áreas seguras construidas sobre sistemas operativos móviles de aplicación general.
Una solución moderna de BYOD combina la potencia del multimedia móvil y la instalación de una infraestructura de aplicaciones que cuenta con la capacidad de gestionar y controlar de forma inalámbrica sistemas en campo con la confianza de que el entorno industrial quedará protegido.
