César Cerrudo y Lucas Apa descubrieron 50 vulnerabilidades en autómatas de seis fabricantes
El escenario digital es bastante siniestro a causa de los niveles de inseguridad que exponen computadoras, móviles y los dispositivos de la Internet de las Cosas (IoT) .
Pero, por lo menos, esos equipos no pueden moverse por sí mismos. Nada
más imaginen que los robots pudieran hackearse con la misma facilidad
que una notebook.
Por desgracia, los robots no escapan a la ley de
hierro de los tiempos. César Cerrudo (@cesarcer) y Lucas Apa
(@lucasapa) trabajan para IOActive
-una consultora de seguridad informática fundada en 1998 en Seattle,
Estados Unidos, y con presencia en Londres, Madrid, Abu Dhabi, Hong
Kong, Johannesburg y Buenos Aires- y acaban de descubrir que los robots
también son vulnerables a ataques informáticos.
A
Cerrudo, Director de Tecnología de la compañía, se le ocurrió
investigar el tema y, junto con Apa, Consultor Senior en Seguridad de la
empresa, propusieron la idea a IOActive. El resultado está muy cerca de
las distopías de la ciencia ficción (cosa que IOActive no quiso pasar
por alto, como se verá enseguida). Buscaron fallas en los robots de 6
fabricantes y encontraron 50 vulnerabilidades; algunas permiten tomar
control de autómatas que tienen una fuerza varios órdenes de magnitud
por encima de la humana. El informe está disponible en el sitio de la
consultora con el sugestivo título Hacking Robots Before Skynet.
En
la semana, hablé con Cerrudo y Apa para conocer los detalles -hasta
donde pueden revelarlos- de una noticia que oscurece todavía más un
panorama de por sí ennegrecido y que no nos ha ofrecido ni una sola
noticia esperanzadora en al menos una década.
-¿Qué descubrieron sobre la seguridad de los robots?
Cerrudo
-Tomamos diferentes robots para hogares, negocios e industriales y
analizamos su seguridad, y encontramos que tienen muchos problemas en
ese aspecto. Daría la impresión de ser algo generalizado en la industria
robótica; es decir que la mayoría de los robots actuales parecen ser
bastante inseguros y fáciles de hackear.
Apa -Ya hace algunos años
se ven en los medios noticias sobre competencias de robots, o se habla
sobre sus nuevas capacidades. Entonces nos pareció interesante analizar
la situación actual de su seguridad. Descubrimos, principalmente, que
las empresas más conocidas de robótica no promocionaban en ninguna parte
de la documentación las características de seguridad de sus robots. Eso
nos hizo dudar sobre si en realidad tienen seguridad o no.
-Ahora, hackear computadoras y la IoT ya es bastante serio. ¿Pero hackear algo que tiene ruedas y brazos?
Cerrudo
-Claro, eso incrementa mucho los riesgos y amenazas. Una computadora
común o un dispositivo IoT es algo estático, pero los robots se mueven,
tienen brazos, piernas o ruedas, y por lo tanto se pueden transformar en
una amenaza rodante.
Apa -Con la IoT el riesgo máximo termina en
general afectando solamente la privacidad o la integridad de la
información. Con robots es algo muy diferente.
Cerrudo -En el
reporte de la investigación mencionamos los incidentes con robots en los
que resultaron personas muertas o heridas. Si bien fueron accidentes,
lo mismo podría ocurrir cuando un robot es hackeado, ya que,
principalmente en el caso de los robots industriales, tienen mucha
fuerza y están configurados para hacer movimientos muy precisos. Un
pequeño cambio en esos movimientos puede terminar lastimando al operador
o causando algún destrozo importante.
Apa
-Además, los robots están incrementando su fuerza, su velocidad,
aceleración, equilibrio, todo eso está creciendo para lograr un producto
más fuerte y que pueda hacer mayor cantidad de tareas físicas. Incluso
en casas y negocios.
-¿Creen que podría ya haber casos de sabotaje industrial a causa de esto?
Cerrudo -Podría ser posible, seguro, pero no estamos al tanto de que haya ocurrido.
Apa
-No se conoce que haya existido ningún caso. Pero, como César decía,
hubo accidentes. Pero el sabotaje, ya sea para cambiar el comportamiento
del robot o para espionaje industrial, también podrían haber sido
llevado a cabo usando las técnicas que nosotros encontramos que eran
posibles.
-¿Qué nivel de vulnerabilidades detectaron? Por ejemplo, ¿se podría tomar control de un robot industrial? ¿Filmar lo que ve?
Cerrudo
-Encontramos varios tipos de vulnerabilidades que permitían desde tomar
control total del robot hasta abusar de sus funciones, por ejemplo
espiar con sus cámaras y micrófonos. Hoy en día no se ven muchos robots
alrededor, pero están empezando a aparecer por todos lados, en
aeropuertos, shoppings, comercios, y su uso se irá incrementando cada
vez más.
Apa -En general, el mayor riesgo se puede alcanzar cuando
es posible mover la parte mecánica del robot, sin ningún tipo de
limitación (por ejemplo, pasar por alto los sensores que protegen a las
personas), debido a que podría lastimar o causar daños en su entorno.
Pudimos encontrar ejemplos de que tales vulnerabilidades existen en
estos tipos de robots.
-¿Qué respuesta obtuvieron de parte de la industria cuando revelaron esto?
Cerrudo
-La respuesta no fue muy buena. De los seis fabricantes que
investigamos, sólo cuatro nos respondieron, y luego sólo dos nos dijeron
que iban a hacer algo, pero sin dar muchos detalles.
Apa -En
nuestra investigación encontramos 50 vulnerabilidades en 6 fabricantes
de robots. Nos comunicamos con las distintas compañías para compartir
esta información, para que lo arreglen lo antes posible. Y, como dice
César, solo dos dijeron que iban a hacer algo al respecto.
Cerrudo
-Podemos decir que los fabricantes son bastante inmaduros en cuanto al
tema seguridad, les falta mucho por hacer, y primero tienen que empezar
por aprender qué es lo que tienen que hacer para que los robots sean más
seguros.
-¿Puede haber un riesgo para la seguridad nacional de los países que usen robots con vulnerabilidades?
Apa
-Por ahora los robots no han sido adoptados masivamente, y no creo que
sea asunto de seguridad nacional, por ahora. Tampoco existe ninguna
regulación al respecto. Solamente existen estándares y regulaciones con
los robots industriales.
Cerrudo -No sé si actualmente hay riesgo para la seguridad nacional, pero en un futuro, si todo sigue igual, podría ser.
-¿Revelaron la lista de fabricantes? ¿Boston Dynamics, la compañía que Google compró en 2013, está en esa lista?
Cerrudo -Sí, los mencionamos, así como los modelos afectados por los problemas. Son estos:
* SoftBank Robotics- NAO y Pepper
* UBTECH Robotics: Alpha 1S y Alpha 2
* ROBOTIS: ROBOTIS OP2 y THORMANG3
* Universal Robots: UR3, UR5 y UR10
* Rethink Robotics: Baxter y Sawyer
* Asratec Corp: Tecnología V-Sido
"Asratec sólo hace software, pero ese software es utilizado por muchos otros fabricantes.
Apa
-Los robots que analizamos están entre los más utilizados y
distribuidos. Las empresas que los desarrollaron son de China, Japón,
Corea del Sur y Estados Unidos. Boston Dynamics por el momento no hace
robots comerciales. Nosotros analizamos productos comerciales ya que hay
muchos prototipos de investigación que son cerrados y no se tiene
acceso a pruebas.
-¿Qué piensa hacer IOActive con esta información?
Cerrudo
-Pensamos seguir investigando todo lo relacionado con seguridad en
robots y seguir compartiendo nuestros resultados, ya que le sirven a la
comunidad para conocer los problemas y de esta forma poder reclamar a
los fabricantes y gobiernos que empiecen a hacer algo al respecto. Si
no, pronto será muy tarde y los problemas serán muy serios. Esta
información también es usada por IOActive para mejorar los servicios que
presta y proteger mejor a nuestros clientes.
Apa -En general, es
común que los prototipos de investigación después terminen siendo
productos comerciales. Es un patrón que encontramos en varios robots. Y
por este motivo también algunos son deficientes en seguridad, ya que en
un prototipo la seguridad no es un requerimiento. Por ahora vamos a
esperar que las empresas afectadas solucionen los problemas que
encontramos. Luego la idea es compartir los detalles técnicos para
ayudar a otras organizaciones a identificar los mismos problemas en sus
productos, antes que salgan al mercado.
-¿Se puede sospechar que pasa algo semejante con los drones?
Cerrudo -No hemos investigado los drones, pero podrían tener problemas similares, como cualquier otra tecnología de esta clase.
Apa
-Con respecto a los drones, sí, son robots, aunque en general son
tripulados en tiempo real. En los próximos años les pueden ir agregando
una inteligencia artificial más evolucionada, para otorgarles cierta
autonomía.
-¿Qué tipo de superficie de ataque tienen los robots, principalmente? ¿Vulnerabilidades de día cero? ¿Vulnerabilidades públicas?
Cerrudo
-Todo lo que nosotros encontramos serían vulnerabilidades de día cero,
ya que no son conocidas. Tienen problemas de autenticación,
autorización, encriptación, privacidad, etcétera.
Apa -Nosotros
analizamos los ecosistemas de cada robot. Es decir, todos los tipos de
interacción que los robots pueden hacer, para de ese modo entender la
superficie de ataque. Y encontramos muchas vulnerabilidades de día cero
en distintos componentes. Tratamos de diversificar donde buscábamos las
vulnerabilidades para tener muchos ejemplos de puntos específicos donde
puede haber fallas
-¿Me pueden explicar cómo se busca una vulnerabilidad de día cero, en el caso de un robot?
Apa
-Primero hay que entender como funcionan los robots, desde la
documentación, identificando todo lo que el robot puede hacer, hacia
dónde puede comunicarse. Y luego hay que buscar minuciosamente dónde
puede existir alguna incongruencia, debilidad o error humano a la hora
de programarlo, es decir una vulnerabilidad. Cada vez que las empresas
agregan características a los robots, están expandiendo el código.
Entonces también pueden aumentar la cantidad de vulnerabilidades.
Cerrudo
-mientras más funciones y componentes, mayor es la superficie de
ataque, o sea lugares con posibles problemas de seguridad que puedan ser
aprovechados por atacantes.
Así que ahí tienen, una nueva mancha
en el indomable tigre de la inseguridad digital. Esta vez, y no es la
primera ni será la última, con la inteligencia argentina en el centro de
la escena.
Nos vemos en dos o tres semanas, al regreso de mis vacaciones.