Alias Robotics descubre peligrosas vulnerabilidades del Sistema Operativo de Robots
La firma vitoriana de ciberseguridad robótica Alias Robotics ha descubierto numerosas y peligrosas vulnerabilidades que pueden tener “devastadoras consecuencias de seguridad” en las comunicaciones del Sistema Operativo de Robots (ROS).
Casi una quincena de peligrosas vulnerabilidades han podido ser detectadas en más de 650 dispositivos robóticos que cuentan con el Sistema Operativo de Robots (ROS, en sus siglas en inglés) y cuya presencia es muy habitual en el ámbito Industrial, la Universidad, e incluso en Hospitales y Agencias Militares. Las vulnerabilidades descubiertas en las comunicaciones del sistema operativo ROS podrían tener “devastadoras consecuencias de seguridad”, según ha explicado Víctor Mayoral-Vilches, investigador líder de Alias Robotics, y fundador de la ‘startup’ vitoriana.
Alias Robotics, especialistas de ciberseguridad robótica, ha liderado de nuevo una investigación que ha involucra expertos internacionales sobre la importancia de la seguridad en el Sistema Operativo de Robots y el protocolo de comunicaciones DDS. Así, el equipo de investigadores de la firma de Vitoria ha trabajado junto con expertos en ciberseguridad de varias multinacionales y responsables de ciberseguridad de varios gobiernos.
Con sus pesquisas han descubierto cerca de una quincena de peligrosas vulnerabilidades, algunas críticas, en el Sistema ROS y los protocolos de comunicaciones DDS (“Data Distribution Service” o Servicio de Distribución de Datos, en sus siglas en inglés) que afectan a los sistemas y robots industriales y vulnerabilidades que de ser utilizadas por cibercriminales, podrían tener esas devastadoras consecuencias a las que se refieren los investigadores. A su vez, han detectado que estas vulnerabilidades están presentes en casi 650 dispositivos diferentes expuestos en Internet y utilizados no solo en la industria, sino en el campo de la salud o en ámbitos militares.
La investigación de Alias Robotics es de tal magnitud que ha sido citada y publicada por la Agencia de Seguridad e Infraestructuras de Ciberseguridad de Estados Unidos, lo cual refleja la importancia de las conclusiones expuestas. Los profesionales de seguridad robótica e informática de la firma alavesa han colaborado en los últimos meses junto a expertos en tecnologías de la información de todo el mundo.
Hay que tener en cuenta que el sistema ROS y el software de comunicaciones DDS están presentes en multitud de sistemas (coches autónomos, brazos robóticos industriales, sistemas aeroespaciales, equipamientos militares, infraestructuras críticas,…), además de en robots industriales. En particular, las vulnerabilidades afectan a DDS, un ‘software intermedio (denominado middleware) que es el principal bus de comunicaciones entre diferentes dispositivos robóticos, es decir, el núcleo de ROS (Robot Operating System), que usan la mayoría de ingenieras e ingenieros de robótica para todo tipo de robots industriales presentes o futuros, con aplicaciones en el mundo empresarial, en el ámbito industrial, pero también en el mundo de la salud, como es el caso de los robots quirúrgicos.
Un estudio independientea apunta a que el uso de ROS crecerá significativamente durante los próximos años y que en el 2024 el 55% de los robots comercializados utilizarán ROS. Desde Alias Robotics —especializada en ciberseguridad robótica— se considera que “DDS es un middleware de comunicaciones todavía ampliamente inseguro, que se utiliza en áreas donde la seguridad es muy importante, por lo que hace falta inversión en ciberseguridad de forma inmediata”.
Consideran, además, que los tiempos de respuesta de los fabricantes de DDS son largos, “lo cual expone mucho estos sistemas a ciberataques”, según denuncia Víctor Mayoral-Vilches, fundador de la ‘startup’ vitoriana. A su juicio, “cibercriminales podrían a día de hoy utilizar estas vulnerabilidades para paralizar robots e infraestructuras críticas por todo el mundo”, asegura. Desde la compañía se alerta que es necesario que las empresas de robótica y de automatización inviertan en ciberseguridad y cooperen “con grupos cualificados en la ciberseguridad robótica”.
Primeras claves encontradas
Los resultados de esta investigación son el fruto de la colaboración de varios investigadores que incluyen a Víctor Mayoral-Vilches, Federico Maggi, Mars Cheng, Patrick Kuo, Chizuru Toyama, Rainer Vosseler, y Ta-Lun Yen (Trend Micro y TxOne) y Erik Boasson (ADLINK Labs). Su impacto en la robótica ha sido liderado por Alias Robotics y las claves no son nada halagüeñas. Es más, las investigaciones han sido calificadas como “devastadoras” por las consecuencias que podrían tener en caso de utilización delictiva por parte de hackers informáticos, dado que buena parte de estas vulnerabilidades “solo han sido parcheadas o mitigadas por los fabricantes”, según denuncian los autores del trabajo de investigación.
Así, en un primer momento, el equipo liderado por Alias Robotics ha llegado a detectar hasta 13 vulnerabilidades de seguridad (algunas calificadas como “críticas” por expertos en ciberseguridad), que podrían afectar tanto a trabajadores y usuarios que manejan los robots industriales que incluyen este software DDS. No se descarta, sin embargo, la aparición de nuevas vulnerabilidades en los próximos meses, según se profundice en el estudio.
Una de las conclusiones es que estas vulnerabilidades están presentes en casi 650 diferentes dispositivos robóticos utilizados en todos los campos económicos de todo el mundo. Desde Alias Robotics han detectado dispositivos afectados por estas vulnerabilidades en organizaciones como la NASA, pero también en centros mundiales de datos (Huawei Cloud Service), grandes multinacionales industriales (Siemens), así como hospitales, bancos y universidades de 34 países, afectando a 100 organizaciones a través de 89 proveedores de servicios de Internet (ISP).
Principales vulnerabilidades
Estas vulnerabilidades detectadas podrían llegar a suponer la pérdida de control del dispositivo robótico, la pérdida de seguridad del mismo, la denegación de servicios mediante la fuerza bruta, la posibilidad de facilitar el acceso al dispositivo mediante la explotación de servicios remotos, o bien problemas en la cadena de suministro, o el que los atacantes abusen de los propios de protocolos de seguridad para crear un canal de mando y control eficiente.
Los autores del estudio, y pese a la insistencia en los últimos meses para su corrección y subsanación, han constatado que muchas de estas vulnerabilidades de seguridad —algunas incluso con el código fuente (propietario) expuesto a todo el público— han estado abiertas “por mucho tiempo, incluso años, por lo que cibercriminales podrían a día de hoy utilizarlas para paralizar infraestructuras críticas de todo el mundo”, según denuncia Víctor Mayoral-Vilches.
Según arguenta, “todavía muchos fabricantes de dispositivos robóticos priorizan el desarrollo de su negocio y continúan ignorando la ciberseguridad”. Mayoral-Vilches hace hincapié en que muchos de los fabricantes se niegan a solucionar los problemas “porque si lo hicieran incumplirían la norma/especificación de DDS”. Y continúa aclarando que “este es un problema de magnitud, ya que la revisión de la norma de DDS puede tardar años en ser revisada de forma apropiada”.
El informe fue presentado durante 2021 en varios foros incluyendo el “Black Hat 2021” de Las Vegas, (el mayor foro anual de ciberseguridad del mundo-), pero también en la ROS-Industrial Conference 2021, y más recientemente en una sesión organizada por la Comisión Europea. Su investigación continuará siendo presentada durante este 2022 en nuevas conferencias y foros industriales.
Herramientas para identificar vulnerabilidades de ROS 2 y DDS
A fin de mitigar las amenazas encontradas y capacitar a ingenieros de robótica en materia de seguridad, el equipo de Alias Robotics ha liderado un segundo esfuerzo de investigación que ha producido y liberado, con licencia de código abierto, una serie de herramientas que permiten detectar estas vulnerabilidades en ROS 2 y DDS.
Los resultados de este esfuerzo han sido resumidos en el artículo “SROS2: Usable Cyber Security Tools for ROS 2”, que ha sido enviado a la Conferencia Internacional de Robots y Sistemas (IROS 2022), uno de los eventos más relevantes cada año en el sector de la robótica y que se dará cita en Kioto (Japón) el próximo 23 de octubre.
