Miles de productos podrían ser copiados tras descubrirse fallos en estándar de propiedad intelectual

por

92 posts

Compañías como AMD, Intel, Qualcomm, Cisco, IBM, Samsung o Synopsys, podrían verse comprometidas.

Investigadores anunciaron recientemente el descubrimiento de varias vulnerabilidades críticas en el estándar criptográfico IEEE P1735, del Institute of Electrical and Electronics Engineers, que posibilitan la explotación para desbloquear, modificar o sustraer planos e información de los sistemas que lo utilicen. Y por ende, varias compañías del mundo electrónico podrían verse afectadas.

La alerta comenzó tras la publicación de un informe académico desarrollado por investigadores de la Universidad de Florida, titulado “Estandarización de la mala práctica criptográfica” que reportó un total de siete vulnerabilidades en el estándar IEEE P1735. Tras esto, recientemente el US-CERT del Departamento de Seguridad Nacional advirtió que el estándar IEEE P1735 es endeble: “La implementación de IEEE P1735 se encuentra débil ante los ataques criptográficos que buscan permitir la obtención de la propiedad intelectual en texto plano sin una contraseña”, dijeron en una declaración pública.

El esquema IEEE P1735 fue diseñado para cifrar las producciones de hardware y software que cuentan con propiedad intelectual (PI); sirve a los fabricantes para dificultar la ingeniería inversa, una vez que comienzan a comercializar los productos. La industria electrónica lo utiliza para que sus diseñadores de chips resguarden la información y dinámica contenida en su interior. Gran parte de los dispositivos de la industria tecnológica incluyen un sistema de chips (SoC), por lo que el descubrimiento podría dar pie a la copia de un sin número de productos.

Se puede acceder en texto plano

Dentro de las vulnerabilidades encontradas, destaca el la posibilidad de evadir el cifrado y acceder al contenido relacionado a la propiedad intelectual en texto plano, cuestión que posibilita la copia entre empresas u organizaciones. Sin embargo, los expertos aseguran en el documento que también podrían presentarse variadas intervenciones:

Explotamos los errores de diferentes maneras y, además de encontrar la forma de recuperar todo el texto plano de la propiedad intelectual, mostramos como se pueden hacer modificaciones para introducir troyanos-hardware. Las soluciones rápidas u obvias no detienen los ataques, de modo que sugerimos una revisión significativa que considere los riesgos.

Durante esta semana, compañías como AMD, Intel, Qualcomm, Cisco, IBM, Samsung, Synopsys, Mentor Graphics, Marvell, NXP, Cadence Design Systems, Xilinx y Zuken, fueron contactadas por el US-CERT para ser alertadas de las vulnerabilidades. La lista de las mismas fue registrada con los títulos: CVE-2017-13091; CVE-2017-13092; CVE-2017-13093; CVE-2017-13094; CVE-2017-13095; CVE-2017-13096; CVE-2017-13097.