Open Source Robotics Challenges es una serie de blogs que proporcionan pautas y consejos para que las empresas de código abierto superen las barreras del mercado.
Abordaremos temas que las empresas plantean regularmente en nuestra comunidad de código abierto, como la conciencia de seguridad, las estrategias de creación de prototipos, la arquitectura de seguridad, la adopción y más. Nuestro objetivo es ayudar a las empresas a superar los obstáculos asociados con la adopción de código abierto en robótica para que puedan experimentar los beneficios inherentes de las tecnologías de código abierto. La agilidad, la modularidad y la adaptabilidad son algunos de los mayores beneficios que la robótica de código abierto ha aportado al campo. Este primer blog trata sobre seguridad y cumplimiento de la seguridad.
Seguridad en la robótica de código abierto
Los escaneos de todo el espacio de direcciones IPv4 de Internet en instancias del Sistema Operativo de Robot (ROS) han identificado varios hosts que admiten ROS y están expuestos a la Internet pública. [1]. Esto significa que cualquiera puede acceder a los sensores y actuadores del robot. Con el consentimiento de los participantes, los investigadores han aprovechado este acceso para demostrar la falta de seguridad en la robótica de código abierto. Estos investigadores irrumpieron con éxito, leyeron la información del sensor de imagen y activaron los robots físicos.
Aún más alarmantes son los resultados de una encuesta de expertos en el dominio sobre la implementación de controles de robots industriales. [2] [3]. Los estudios muestran que el 30% de los participantes tanto del mundo académico como de la industria tenían robots a los que se podía acceder a través de Internet, mientras que el 76% nunca había realizado una evaluación profesional de ciberseguridad. Simplemente no parece importarnos.
Encuesta para colaboradores de software de código abierto
Toma eso por ejemplo Informe de la encuesta a los participantes sobre software libre de código abierto (FOSS) 2020 [4]. En un total de 1.196 encuestados de los proyectos de código abierto más utilizados, se encontró que los encuestados dedican muy poco tiempo a responder problemas de seguridad; dedicaron un promedio del 2,27% de su tiempo total a trabajar en su proyecto. Además, los encuestados no informan el deseo de aumentar esto significativamente; De hecho, el tiempo medio que querían dedicar a la seguridad era solo un 0,06% más alto. Algunos de los comentarios de los encuestados, como «Encuentro la seguridad como un obstáculo procesal insoportablemente aburrido», ilustran esta preocupante situación.
La seguridad en robótica debe ser una prioridad.
Sabemos que los atacantes intentan entrar en una red a través de cualquier conexión, incluso robots. Los robots, como cualquier otro dispositivo conectado a una red corporativa, podrían sufrir una violación y presentar riesgos para otros dispositivos de la red. La realidad es que es de conocimiento común que ROS1 no admite el cifrado que permitiría a los atacantes ingresar a su sistema. Debemos dar la misma importancia a la prevención de estos ataques que al desarrollo de nuestras soluciones.
Problemas de seguridad: casos de uso y ejemplo
Desconectar dispositivos de Internet ya no es una protección contra atacantes remotos. Es una irresponsabilidad de nuestra parte poner robots vulnerables detrás de cortafuegos y afirmar que están a salvo. Hemos visto malware penetrando redes aisladas antes. Por ejemplo Stuxnet [5]. Pero eso fue hace casi diez años. El malware actual es mucho más efectivo. Si el malware está atrapando una red y su robot es el enlace sin parche, su robot abrirá la puerta a los atacantes.
¿Crees que es poco probable conectar una memoria USB dañada a una computadora? Bueno, veamos otro ejemplo. ¿Qué sucede si hace clic en un enlace web malicioso con un teléfono? Se ha expuesto una nueva versión de un ataque conocido de traducción de direcciones de red (NAT) que permitiría a atacantes remotos llegar a múltiples dispositivos de red internos incluso si esos dispositivos no tuvieran acceso a Internet.
Aquí puedes ver un video de cómo funciona. Vea con qué facilidad se rompe el sistema. En unos minutos, el atacante puede cambiar el programa lógico en el que se ejecuta el PLC y las salidas digitales.
La capacidad de alcanzar dispositivos sin interacción humana significa que los atacantes pueden alcanzar no solo computadoras de escritorio, sino otros dispositivos que normalmente no tienen operadores humanos: dispositivos no administrados como impresoras, controladores industriales, accesorios bluetooth, cámaras IP, sensores, iluminación inteligente y más. El impacto de un ataque sobre ellos puede ser severo, desde denegación de servicio (DoS) hasta un ataque de ransomware completo.
¿Qué pueden hacer las empresas de robótica de código abierto?
Los riesgos son reales, pero pueden minimizarse.
Un informe de sinopsis encontró que el 84% de estas bases de código tenían al menos una vulnerabilidad, con un promedio de 158 por base de código. La mayoría de las vulnerabilidades de OSS se descubren en dependencias indirectas (Snyk). Una vulnerabilidad típica puede pasar desapercibida durante 218 semanas y tarda un promedio de 4 semanas en solucionarse una vez que el proyecto se da cuenta de ella.
Como explicó Jennifer Fernick, vicepresidente senior y jefa de investigación global del Grupo NCC, en un momento en el que el tiempo entre la divulgación de vulnerabilidades y la creación de exploits ha pasado de 45 a 3 días, “el número de vulnerabilidades en el velocidad con la que la comunidad de seguridad puede parchearlos o incluso identificarlos ”, y los ataques automatizados convierten rápidamente incluso las vulnerabilidades poco conocidas en armas.
Las organizaciones necesitan asegurar cada enlace o dispositivo en una red o sistema para proteger las partes más importantes de su organización. El uso de las herramientas básicas para garantizar la seguridad de cada punto de acceso reduce en gran medida los riesgos y costos de un ataque. Es importante dedicar un tiempo a asegurarse de que todos los puntos de acceso estén bien protegidos. Para esta defensa, la seguridad de los robots es vital. https://ubuntu.com/engage/securing-ros-on-robotics-platforms-whitepaper
Para garantizar que la seguridad de su robot sea compatible y segura, existen procesos que puede seguir. Estos protocolos ayudan a mitigar el riesgo y proporcionan un enfoque estructurado que facilita aún más la seguridad. Debido a estas consideraciones básicas, varias empresas ROS lo han logrado.
Para evitar vulnerabilidades (pérdida de información, valor o tiempo), se debe implementar un marco de seguridad. Estos marcos proporcionan un estándar establecido para los controles de seguridad. Se utilizan para mantener la seguridad en toda la empresa para que los atacantes no puedan establecerse en una parte aparentemente sin importancia del sistema.
¿Qué son CIS y NIST?
CIS significa el centro de seguridad en Internet. CIS crea puntos de referencia de seguridad a partir de un consenso de la comunidad. Fue creado por las mismas personas que lo usan todos los días para que sepa que funciona. El CIS 20 proporciona los 20 controles más importantes que se utilizan en el marco. No bloquea su sistema y se actualiza constantemente con el tiempo. Todos estos recursos son gratuitos y están disponibles para el público. Lo puedes encontrar aquí.
Para ROS dentro del CIS, tenemos un punto de referencia para ROS Melodic que se ejecuta en Ubuntu 18.04. Contiene más de 200 configuraciones recomendadas para el funcionamiento seguro de ROS. Incluso puede extraer todo en las instrucciones como una tabla separada. Lo puedes encontrar aquí.
En comparación, NIST se utiliza para sistemas de toda la empresa. Hay recomendaciones para lidiar con la ciberseguridad en un entorno orientado a los negocios. También se utiliza en todo el mundo. Está organizado en tres componentes principales, el núcleo, los niveles y los perfiles. El núcleo se puede describir como una colección de controles de seguridad. Los niveles indican hasta qué punto la gestión de la ciberseguridad está incorporada e integrada en los requisitos y prácticas comerciales. Los perfiles son una herramienta de personalización; Organice los controles de seguridad de tal manera que las organizaciones puedan diferenciar entre el estado real y el objetivo o proporcionar diferentes perfiles para diferentes partes de la organización. Para los controles de seguridad, el marco se refiere a otros estándares como CIS, NIST SP 800-53 y otros.
El impacto en su negocio
¿Necesita una pequeña o mediana empresa de robots de código abierto considerar un paradigma de seguridad y la adhesión a un marco de ciberseguridad? Piense en las implicaciones legales y el riesgo involucrado. A veces, dependiendo de la zona, solo hay que cumplir con la normativa. Tomemos el sector financiero, por ejemplo, las empresas deben cumplir con los estándares PCI. O el sector de la salud en los EE. UU. Y su cumplimiento con HIPAA. Todo el mundo en Europa tiene que seguir el RGPD. En la práctica, la respuesta es complicada ya que las organizaciones a menudo brindan servicios o actúan como una cadena de suministro para otras organizaciones, pasando los requisitos a todas las partes involucradas.
El enfoque de riesgo requiere que las personas clave de la organización comprendan las necesidades del negocio para reducir el riesgo de ciberseguridad. Es más probable que las pequeñas y medianas empresas (PYMES) digan que la modernización de la seguridad de datos y TI para fortalecer la resiliencia de las empresas, según el Estudio de prioridades de seguridad 2020, es la ventaja de agilidad inherente de las pequeñas y medianas empresas (PYMES).
En última instancia, no puedes simplemente evitar la conversación. La inseguridad podría costarle ventas, confianza de los usuarios y nuevas oportunidades de mercado. En última instancia, evita que escale. Pasar por alto la seguridad en las primeras etapas de producción es imprudente. Security by Design debe ser la mentalidad de todo ingeniero de código abierto.
Obtenga más información sobre la seguridad robótica empresarial de código abierto
Si desea obtener más información sobre el valor de los marcos de seguridad cibernética y enumerar las opciones disponibles, consulte nuestra Guía de seguridad cibernética para pequeñas y medianas empresas.
Si desea obtener más información sobre el mantenimiento de seguridad para ROS, lea nuestro mantenimiento de seguridad y soporte empresarial para su entorno ROS.
