Environmental dataset

Definir el modelo de amenaza supone determinar las capacidades que un cierto atacante tiene sobre un determinado sistema. Dada una problemática de seguridad, determinar el modelo de amenaza adecuado permitirá dirimir cuáles han de ser los requisitos que han de cumplir las soluciones propuestas para ser realmente válidas en un determinado escenario de aplicación. Resulta evidente que, cuanto mayor poder tenga el atacante, tanto más estrictos habrán de ser los requisitos que condicionen el diseño de los mecanismos de seguridad implementados. Tradicionalmente, en las disciplinas relacionadas con el modelado de sistemas suelen contemplarse diferentes tipos de modelo, atendiendo al conocimiento que un observador externo tiene sobre el funcionamiento interno del sistema [Khan2012, Acharya2013]. Aquí se adaptarán estos tipos al ámbito de la seguridad, obteniéndose los diferentes modelos de amenaza en función, no tanto del conocimiento del observador externo, sino de la capacidad de un atacante de influir o comprometer un determinado sistema. Así, se contemplan las siguientes alternativas:

 Modelo de caja negra: Un modelo que supone que el atacante puede producir entradas para el sistema y obtener las salidas del mismo, pero sin la posibilidad de acceder a ningún otro dato relativo al dispositivo ni a la forma en la que éste produce las salidas a partir de las entradas. El atacante puede estimular el sistema mediante entradas controladas y tratar de inferir el funcionamiento del mismo, así como sus vulnerabilidades potenciales, a partir de las salidas que produce en respuesta a los estímulos aplicados. Este modelo es el menos restrictivo desde el punto de vista del diseño de soluciones de seguridad, puesto que supone que el atacante no tiene conocimiento alguno acerca del funcionamiento interno del sistema, lo cual limita de manera efectiva sus capacidades para manipularlo o influir en el mismo.

 Modelo de caja gris: En este modelo, el atacante puede proporcionar entradas para el sistema y obtener las salidas, como suponía el modelo de caja negra, pero además tiene acceso a información adicional fuera de banda (side-channel information) que le proporciona más datos acerca del funcionamiento interno del sistema, lo que puede permitirle realizar ataques más específicos con mayores probabilidades de éxito. Este modelo asume que el atacante tiene acceso físico al equipo y puede realizar pruebas para obtener información adicional, pero no cuenta con los privilegios necesarios como para alterar el funcionamiento interno del dispositivo.

Problemática: Especificación y Propuestas

61

 Modelo de caja blanca: El modelo de caja blanca es el más ventajoso para el atacante, puesto que supone que el mismo tiene acceso tanto físico como lógico al dispositivo, esto es, que cuenta con los privilegios necesarios para acceder también al entorno de ejecución del mismo. En un modelo como este el atacante podría no sólo producir las entradas necesarias para estudiar el sistema para contrastarlas con las salidas, sino también monitorizar las acciones que se producen para dar lugar a dichas salidas y, finalmente, influir de forma determinante en el sistema. Dado que asume que el atacante puede tener un control total sobre la plataforma, este modelo es el que impone los requisitos de seguridad más estrictos a las soluciones de seguridad que se implanten, que habrán de contar con mecanismos muy sofisticados para garantizar un cierto nivel de seguridad. El alto nivel de exigencia de este modelo hace muy difícil ofrecer garantías de seguridad elevadas, y las soluciones que resulten efectivas en escenarios de este tipo carecerán generalmente de la eficacia y/o la flexibilidad de las alternativas adecuadas para modelos menos restrictivos. Las características de los entornos modelados de esta forma hacen necesario rediseñar por completo las soluciones de seguridad existentes, al estar éstas basadas en asunciones en ningún caso aplicables al modelo de caja blanca [Chow2003, Wyseur2011].

La elección del modelo más adecuado depende, por supuesto, del escenario concreto objeto de estudio, ya que dependiendo del caso de uso tendrá sentido hacer unas asunciones u otras en cuanto a las capacidades de un atacante potencial. En función de las características del escenario de aplicación, el modelo de amenaza óptimo será aquél que imponga los requisitos de seguridad más bajos sin hacer asunciones que lo alejen de la realidad y que, por tanto, no resulten válidas cuando el modelo y las soluciones diseñadas se lleven a la práctica.

Puesto que este trabajo se caracteriza por la pretensión de proponer soluciones a la problemática descrita cuando se produce en paradigmas de computación móvil, se tomarán como referencia las características que definen las plataformas móviles actuales. De los múltiples aspectos que podrían considerarse para definir los dispositivos móviles modernos, los más relevantes a la hora de determinar el tipo de modelo de amenaza más apropiado son muy probablemente la apertura y la generalización de estas plataformas.

En los últimos años, se ha podido observar en el ámbito de los equipos móviles de comunicación una evolución similar a la que sufrieron los ordenadores tradicionales en las últimas décadas del pasado siglo, cuando dejaron de ser herramientas dedicadas utilizadas en entornos muy concretos para tareas específicas y empezaron a poblar los hogares y a ser utilizados por usuarios medios para aplicaciones generales. En el caso de los dispositivos móviles, la evolución ha sido parecida (aunque cabe destacar que se ha producido en un espacio de tiempo notablemente inferior). Así, los dispositivos móviles primigenios eran meros equipos de comunicaciones, en cuyo diseño primaban más los componentes de gestión de la interfaz radio, en aquellos momentos mucho más novedosa y, por tanto, menos estudiada. Las capacidades de estos dispositivos fueron aumentando de forma progresiva, y se fueron adoptando paradigmas de diseño bien conocidos. La incorporación de software a los equipos de comunicaciones móviles permitió que diesen el salto desde los sistemas dedicados que empezaron siendo hasta las actuales plataformas de propósito general que son en la actualidad.

Capítulo 4

62

Acompañando a esta tendencia a convertirse en sistemas cuyas aplicaciones van más allá de la mera comunicación oral original, y que pueden adaptarse a las necesidades concretas del usuario para satisfacer sus necesidades tanto en el ámbito laboral como en el ocio, en clara línea convergente con los sistemas de computación tradicionales, se produce también la apertura de los sistemas operativos empleados en los dispositivos móviles. En algunos casos, esta apertura es una característica de la plataforma, que se traslada a ella porque ya formaba parte de su filosofía de diseño. En otros casos, y a pesar de los esfuerzos del fabricante para impedir el acceso completo al sistema, surgen mecanismos externos que posibilitan dicho acceso para responder a la necesidad del usuario de modificar la plataforma para adaptarla a sus propósitos, necesidad ésta que se deriva del hecho de que el dispositivo se convierte cada vez más en una herramienta esencial en su quehacer cotidiano. De esta última observación no sólo se desprende que el usuario siempre encontrará formas de garantizar la apertura que requiera de la plataforma, sino que en muchas ocasiones el propio usuario puede tener los intereses suficientes para convertirse en atacante de la misma.

Por tanto, es posible afirmar sin temor a incurrir en equívocos que las plataformas móviles actuales son auténticos sistemas abiertos de propósito general, muy similares desde un punto de vista conceptual a los ordenadores tradicionales. Esta aproximación conceptual permite aplicar técnicas y principios propios de los paradigmas tradicionales de computación, más estudiados y comprobados, a las nuevas plataformas móviles, teniendo por supuesto en cuenta los aspectos específicos de estas últimas, que implicarán modificaciones y matizaciones sobre los conceptos originales.

En este escenario de plataformas abiertas y entornos ricos de aplicación parece claro que los modelos de caja negra y de caja gris, que quizá habrían resultado de aplicación para caracterizar los antiguos equipos de comunicaciones móviles, son demasiado optimistas en cuanto a las capacidades que se pueden presumir de un potencial atacante. Dadas las características del ecosistema que conforman las plataformas móviles actuales, el único modelo que es realista adoptar si se busca una solución capaz de ofrecer las garantías de seguridad más elevadas es el de caja blanca, que impone los requisitos más estrictos. En efecto, no parece descabellado asumir que un atacante potencial contará no sólo con conocimientos detallados sobre el sistema y las características de su funcionamiento interno, sino también con los medios y herramientas necesarios para alterar dicho funcionamiento en la medida en que resulte necesario para la exitosa implementación de un ataque que le permita comprometer cualquier componente objetivo crítico de la plataforma.