Tenemos otro sistema operativo nuevo en el mundo de la tecnología, pero esta vez no es ni una nueva distribución Linux, ni otra versión de Mac o Windows. Viene de los laboratorios Kaspersky, y está dirigido a sistemas industriales que necesitan tener un SO robusto, muy seguro y que funcione de forma prácticamente continua.
Como podréis imaginar, esto no va a ser un sistema operativo “al uso”. En las palabras de Eugene Kaspersky: no será un sistema donde juegues al Half-Life, edites los vídeos de tus vacaciones o parlotees en redes sociales. Este SO estaría dirigido sólo a funcionar en entornos industriales, que piden una seguridad y fiabilidad muy alta.
¿Cómo hacerlo, cuando todavía no ha creado nadie un sistema que sea siquiera medianamente seguro? Controlando absolutamente todos los aspectos de la ejecución.No se podrá ejecutar código de terceros, *ningún ejecutable podrá hacer nada que no haya declarado previamente. Es el estado policial de los sistemas operativos.
Mejorando la seguridad de los Sistemas de Control Industriales actuales
Un esquema de un sistema y red industrial, incluyendo el ICS. Kaspersky apunta a los sistemas ICS, Industrial Control System o Sistema de Control Industrial. Estos sistemas controlan multitud de servicios críticos: generadores de energía, redes de telecomunicaciones, centrales nucleares e incluso actúan como controles de armamento.
La palabra blindado se queda corta ante los requerimentos de fiabilidad y seguridad que tiene un ICS. Lo malo es que no son tan seguros como podamos imaginar. Hasta hace poco no se planteaba la posibilidad de ciber ataques (Stuxnet o Duqu, por ejemplo, están dirigidos especialmente a ICS), y por tanto los ICS no están preparados.
Nosotros, usuarios normales, estamos tan acostumbrados que la solución nos parece obvia: ¡Actualiza! Pero no es tan fácil. Los ICS tienen que estar funcionando siempre, y por esto mismo una de las recomendaciones, en muchos casos regla estricta, es “Si funciona, no lo toques”. Es decir, que sólo se actualiza (con suerte) cuando se encuentra una vulnerabilidad que está siendo explotada activamente.
Shodan indexa sistemas abiertos a Internet, incluyendo ICS como SCADA. Y aunque el sistema sea seguro, muchas veces los administradores de los ICS los dejan accesibles desde Internet y con las credenciales por defecto. Incluso hay buscadores, como SHODAN, dedicados a indexar este tipo de servidores. Al final tenemos sistemas fiables, sí, pero que no son totalmente seguros. La base son sistemas con vulnerabilidades, los humanos dejan puertas abiertas y la falta de actualizaciones impide mantener el sistema al día.
¿En qué se basa el sistema de Kaspersky para ser totalmente seguro?
La idea principal de los Kaspersky Lab es crear un sistema en el que sea absolutamente imposible ejecutar código no autorizado. Para eso, reescriben el núcleo del sistema desde cero, con el mínimo código funcional posible para tratar de garantizar que funciona sin fallos ni vulnerabilidades.
Por lo tanto, cualquier código que no sea esencial estará fuera del kernel. Nada de drivers ni de interfaces complejas, que se ejecutarán sobre el kernel como código controlado. Cualquier programa que se ejecute en el sistema también funcionará de forma controlada, y no podrá ejecutar ninguna función no declarada.
Es quizás la panacea de los programadores: donde los programas hacen lo que tienen que hacer y nada más. La estructura haría imposible instalar virus o inyectar código en programas (vulnerabilidades de stack overflow) por muy malo que fuese el diseño de las aplicaciones que funcionen sobre el sistema.
De todas formas, Kaspersky no es tan optimista como pueda parecer. No pretenden que su SO se use en todas y cada una de las partes de un ICS, sino crear una base para una estación raíz fiable y segura, que permita monitorizar y controlar el resto de sistemas.
La idea es muy interesante, y si estáis interesados en la seguridad informática os recomiendo que os leáis el documento completo de Kaspersky. No están todos los detalles (es un sistema que todavía está en desarrollo y del que muchas partes serán secretas siempre) pero sí explica los ICS actuales y cómo pretende Kaspersky crear un sistema totalmente seguro.
Vía | Kaspersky Lab
Más información | Informe compelto
 |
 |
