La demanda de confianza en la actual sociedad digital superconectada no tiene precedentes. Los consumidores de software exigen una prueba garantizada de que la aplicación que utilizan es legítima. La firma segura de código valida al autor de software y demuestra que el código no ha sido alterado ni manipulado después de ser firmado. Para verificar la autenticidad se utilizan certificados de firma de código de confianza, pero ¿qué es lo que preserva la integridad de esos certificados?
Los certificados de firma de código pueden venderse o utilizarse para crear malware firmado. Los desarrolladores deben tener sumo cuidado a la hora de proteger las claves privadas asignadas a los certificados de firma de código para evitar complicaciones. Un proceso de firma de código racionalizado y seguro protege su negocio y proporciona confianza inherente a los consumidores de software .
Por qué es importante proteger los certificados de firma de código
Para la empresa
- Protección frente a infracciones. Los certificados de firma son activos valiosos para los piratas informáticos. Disponer de los certificados de firma de una organización permite a un hacker crear versiones fiables de malware que parecen haber sido creadas por la organización de desarrollo auténtica.
- Requisitos del sistema operativo. A menudo se exige a los equipos de desarrollo que firmen software para apoyar la instalación. Los sistemas operativos como Windows avisarán a los usuarios si software o los controladores no están firmados.
- Operaciones de equipos de desarrollo globalmente dispersos. Los equipos de desarrollo actuales están formados por miembros ubicados en oficinas dispersas por todo el mundo. Cuando un equipo remoto necesita firmar el código desarrollado software, la solución fácil es adquirir un certificado de firma de confianza. Una vez implementado, el equipo de desarrollo regional puede dejar el certificado de firma de código en un PC o portátil dispar, lo que introduce un riesgo. Colocar el certificado en ese lugar lo deja al alcance de un pirata informático o al olvido. Ambas situaciones suponen un riesgo de fallo o interrupción del servicio.
Por qué es importante proteger los certificados de firma de código
Para la Internet de los objetos (IoT)
- Inseguridades del bus CAN. Muchas máquinas grandes, como los vehículos ligeros, tienen buses de comunicación subyacentes que son intrínsecamente inseguros. Los vehículos utilizan principalmente una tecnología de bus denominada bus CAN. Este bus de comunicación se desarrolló en una época en la que no existía la noción de seguridad en este tipo de redes de comunicación, por lo que hoy en día sigue siendo inseguro. La industria del automóvil reconoce que hace tiempo que debería haberse cambiado el bus por una tecnología de red de comunicación más segura, como las comunicaciones basadas en TCP/IP. Sin embargo, el coste para la industria de cambiar esa tecnología será de billones de dólares.
- Firmware firmado por código para proteger las ECU. El firmware firmado por código y software impiden que se cargue código malicioso en las unidades de control electrónico (ECU) de los vehículos a menos que el código sea de confianza criptográfica con una cadena de confianza verificable. Dado que la comunicación subyacente no puede protegerse, la industria del automóvil ha optado por utilizar firmware seguro firmado criptográficamente y software (firmado por código) para desplegarlos en las ECU de los vehículos. El ya famoso pirateo del Jeep de 2014 modificó el firmware del bus CAN del Jeep para hacerse con el control remoto del vehículo en marcha.
- Hay muchos ejemplos de sistemas industriales similares a CAN-bus que, por un lado, utilizan un sistema de bus de comunicaciones inseguro y, por otro, quieren aprovechar las oportunidades de negocio que ofrecen las tecnologías de IoT .
- Ejemplos de sistemas de autobuses inseguros y bien arraigados:
- Bus CAN. Automoción, camiones, maquinaria pesada, ferrocarril, autobuses
- BAC-Net. Construcción, HVAC, Refrigeración, Iluminación
- Control industrial y SCADA
- Sistemas de servicios públicos y SCADA
- Sistema de control industrial
