Microsoft adquiere ReFirm Labs para proteger el firmware de dispositivos IoT

A medida que los sistemas operativos se vuelven más seguros, los atacantes están desplazando cada vez más su atención al firmware, que es menos visible, más fundamental y raramente bien protegido.

Las vulnerabilidades en el firmware son un porcentaje cada vez mayor de los nuevos problemas agregados a la Base de Datos Nacional de Vulnerabilidades del NIST: hay cinco veces más ataques en comparación con hace solo cuatro años. Muchas organizaciones están experimentando ataques en el firmware (el 83% según una encuesta reciente de Microsoft, y eso solo son las organizaciones que saben que han sido atacadas), pero proteger el firmware recibe solo una pequeña parte del presupuesto de seguridad.

Índice de Contenido
  1. Lack of Tools and Fragmented Updating Processes
  2. Obteniendo visibilidad
  3. Los planes de ReFirm de Microsoft

Lack of Tools and Fragmented Updating Processes

Parte del problema es la falta de herramientas utilizables para escanear y determinar qué firmware se está utilizando en toda la red y qué vulnerabilidades están presentes. Hay mucho código mal escrito y reutilizado en el firmware, y pocos dispositivos se envían con una "lista de materiales" de software que le indique qué hay dentro del estuche. Si encuentra un problema, actualizar el firmware es un proceso fragmentado y de bajo nivel, y no hay formas de aplicar mitigaciones de vulnerabilidad por debajo de la capa del sistema operativo.

Todo esto es la razón por la cual Microsoft está comprando ReFirm Labs, la empresa detrás de la herramienta de código abierto Binwalk, cuya plataforma de firmware Centrifuge automatiza el proceso de ejecutar análisis estáticos para descubrir a qué vulnerabilidades de firmware ya está expuesto.

"Las herramientas de seguridad básicas que tienes en el mundo de las computadoras de escritorio, eso sería pan y mantequilla para el CISO, simplemente no existen para IoT", dijo David Weston, director asociado de seguridad empresarial y del sistema operativo en Microsoft. "No hay forma de que conectemos 50 mil millones de dispositivos a la nube y salgamos de este mundo de tecnología operativa cerrada y pasemos al mundo conectado de la IA en la nube sin resolver estos problemas básicos".

"Es muy difícil para mí decir que Windows es seguro o que Linux es seguro sin decir que el firmware es seguro, y es el lugar que menos atención recibe. Es el código con más privilegios en la plataforma, incluso puede modificar el hipervisor, es el menos observado y el menos actualizado. Es invisible para la mayoría de la tecnología de seguridad en la actualidad".

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

De hecho, la mayoría de la tecnología de seguridad depende del firmware para almacenar de forma segura las credenciales; si el firmware está comprometido, también lo está la herramienta de protección del endpoint. "Pago a personas para que sean los atacantes más eficientes posibles", señaló Weston (uno de sus roles es dirigir un equipo de ataque al sistema operativo de Windows). "Y nueve de cada diez veces, elegirán un vector de firmware".

El firmware es un problema potencial de seguridad en PC, servidores, dispositivos IoT, enrutadores de red y muchos otros equipos. "Cada dispositivo informático moderno generalmente está compuesto por seis o siete, si no más en el caso de un servidor, sistemas operativos diferentes, uno de los cuales tenemos visibilidad. Toma una computadora portátil Surface: tienes un chip de Wi-Fi allí, ejecutando algo como ThreadX, un sistema operativo en tiempo real que [Microsoft] compró [en 2019], tienes una unidad de estado sólido (SSD) con un controlador integrado separado con una versión diferente de Linux: ¿qué hay en esa SSD?"

Microsoft adquiere ReFirm Labs para proteger el firmware de dispositivos IoT - Seguridad | Imagen 1 Newsmatic

Algunos dispositivos IoT están bien diseñados, con buenas opciones de seguridad como el arranque seguro y la aleatorización del espacio de direcciones en memoria (ASLR); otros tienen puertos abiertos y contraseñas predeterminadas absurdamente vulnerables. "Podrían haber hecho un gran trabajo o podrían ser terribles; simplemente no se puede saber", advirtió Weston. "Simplemente tener la capacidad de determinar qué es bueno y qué es malo es algo fundamental que necesitamos".

Un investigador de seguridad experimentado como Weston puede utilizar herramientas como Binwalk para investigar, pero incluso llegar al punto donde se puede realizar un análisis estático para buscar vulnerabilidades en el firmware ha sido un proceso manual que involucra mucho scripting y desempaquetado, que ReFirm acelera y simplifica.

"Tengo un laboratorio de IoT. Siempre puedo invertir el proceso, pero ¿quién tiene tiempo para eso? Y tengo la ventaja de ser mi propio ingeniero de seguridad; ¿qué pasa con todos los demás? Con ReFirm, en 10 minutos pude tomar un montón de diferentes computadoras portátiles en mi casa y obtener una perspectiva, y mi mente quedó impresionada. Encontré problemas graves de seguridad que me asustaron".

Cómo proteger tu computadora de los virus: métodos y consejos

La fortaleza de ReFirm no es solo la calidad del escaneo y el análisis estático; es que está diseñado para ser fácil de usar.

"Es arrastrar y soltar. Vas al sitio web del fabricante de tu enrutador, descargas el archivo de firmware, lo arrastras y obtienes un informe de pentest de calidad impresionante de una herramienta de automatización. Produce un PDF que dice 'tienes estas CVE, aquí están los problemas de configuración y aquí es qué tan lejos está de los regímenes de cumplimiento y certificación muy comunes'. Es realmente útil, y mejorará al tomar tecnologías que Microsoft ya tiene en la compañía y comenzar a integrarlas en esta plataforma".

Esta simplicidad es fundamental para ayudar a las organizaciones a comprender las amenazas del firmware, sugiere Weston.

"La comunidad de seguridad siempre se enfoca en lo que es innovador y lo que viene, y la comunidad de seguridad empresarial está luchando con lo básico", señaló Weston. "Ellos esperan que yo haga las cosas fáciles. No se trata tanto de agregar nuevas capacidades, aunque también las desean: se trata de tomar cosas que hoy son difíciles y hacerlas más fáciles para que la gente tenga tiempo para ocuparse de problemas más estratégicos".

Obteniendo visibilidad

El CEO de Microsoft, Satya Nadella, predice que habrá 50 mil millones de dispositivos conectados para 2030; eso significa muchas vulnerabilidades potenciales en sistemas críticos que el software de seguridad actual generalmente no aborda.

"Una fracción muy pequeña de ellos serán cosas que se pueden analizar con las herramientas actuales, y algo como ReFirm puede crecer para hacer todo lo demás", dice Weston. "Estos son dispositivos similares a electrodomésticos donde no puedes simplemente instalar un paquete de análisis de vulnerabilidades, o incluso iniciar sesión en ellos. Debemos tener medios alternativos, y este tipo de análisis estático de firmware tiene mucho sentido".

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Encaja bien junto con la herramienta de descubrimiento de activos CyberX que Microsoft adquirió, que ahora forma parte de Azure Defender para IoT, que encuentra qué dispositivos están conectados y qué protocolos usan. Por simple que parezca, pocas organizaciones lo saben.

"Lo primero que te dice es la cosa más importante en seguridad, que es ¿qué hay en mi red? No subestimes lo difícil que eso es en una red empresarial promedio", señaló Weston. "Simplemente saber que '¡oh, mi ascensor está hablando SNMP en claro!' — eso es algo difícil de catalogar para la mayoría de las empresas".

Esto te da una línea base para que sepas cuándo se está produciendo un comportamiento inusual que podría indicar un ataque. "Si comienza a aparecer por tu red un protocolo Modbus que se ve extraño y que no estaba allí antes, podrías estar frente a un ransomware".

Lo que ReFirm agrega es saber si deberías sentirte cómodo con los dispositivos que descubre CyberX conectados a tu red, dice Weston. "¿Debería haber conectado alguno de estos dispositivos en primer lugar? Si tienen OpenSSH y una contraseña como '123', por muy bueno que sea CyberX, simplemente no deberías tener eso en tu red".

Los planes de ReFirm de Microsoft

Hoy en día, ReFirm necesita que proporciones los archivos de firmware, pero Microsoft planea crear una base de datos de información de dispositivos, según comenta Weston. "Conectas CyberX y descubre los dispositivos, los monitoriza y le pregunta a ReFirm '¿sabes algo sobre el dispositivo IoT X o Y?' Con suerte, ya hemos escaneado la mayoría de esos dispositivos y podemos propagar la información; y para todo lo que no tengamos, está la interfaz de arrastrar y soltar para realizar un análisis personalizado".

Tener esa visibilidad de lo que hay en tu red y si es seguro tenerlo en tu red es un buen primer paso. El servicio de actualizaciones de dispositivos Azure ya puede enviar actualizaciones de firmware de IoT a través de Windows Update. La visión más amplia de Microsoft es crear un servicio basado en Windows Update que pueda manejar una variedad mucho más amplia de dispositivos de terceros, según Weston.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

"Vamos a tomar Windows Update, que la gente ya conoce y confía en los 'martes de parches', y queremos llevar los dispositivos IoT y Edge a ese modelo. El sistema de actualización de Microsoft es un bien conocido: prácticamente todos los reguladores gubernamentales lo han revisado de una forma u otra; así que nos sentimos cómodos en poder avanzar hacia eso con los clientes".

Los fabricantes más pequeños por lo general no tienen la experiencia para crear y asegurar sus propios mecanismos de actualización, señaló Weston. "Y no creo que los clientes quieran que lo hagan, porque no va a tener [opciones como] 'solo quiero que esto se realice a las 2 a. m., solo quiero poner en graduación este nivel de criticidad'. Ya tienen un proceso para eso. Tienen Qualys y Nessus en el escritorio, pero no tienen el equivalente para IoT. Lo que creo que ReFirm permitirá a las empresas hacer es llenar ese vacío, y luego permitir que las personas usen Azure Device Update para programarlo".

ReFirm será útil incluso con la seguridad de hardware para firmware, como los dispositivos Secured-core. Además de estar disponible en PC y servidores, Secured-core está disponible como una certificación para dispositivos IoT, que deben tener instalado el agente Azure Defender for IoT y realizar la recopilación de registros, telemetría y actualizaciones del dispositivo.

En el futuro, Weston le gustaría ver que ReFirm se convierta en parte de la certificación. "No solo para asegurarse de que se esté enviando el dispositivo de forma segura, sino también para que se esté escaneando regularmente por esta tecnología de firmware de ReFirm y para asegurarse de que se esté manteniendo actualizado".

A pesar del nombre, ReFirm podría no mantenerse restringido al firmware. Microsoft tiene herramientas de análisis estático y dinámico que puede agregar al producto, y Weston lo compara con las actualizaciones frecuentes de VirusTotal con nuevas opciones de análisis. "Puedo seguir agregando capas de herramientas en esa línea de análisis. Creo que esta tiene la oportunidad de ser un producto similar a VirusTotal que, en lugar de buscar malware, esté buscando vulnerabilidades en un objeto arbitrario. Estamos enfocados en el firmware porque parece ser la aplicación correcta, pero podría ser capturas de máquinas virtuales (VM) o muchas otras cosas".

También hay buenas noticias para los fanáticos de la herramienta de código abierto Binwalk. Microsoft invertirá mucho en eso, porque ya es ampliamente utilizado por múltiples equipos en la compañía que tienen solicitudes de funciones, dice Weston: "¡Creo que probablemente ya tenemos algunas ideas para años venideros!"

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Microsoft adquiere ReFirm Labs para proteger el firmware de dispositivos IoT , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.