software empotrado - 2007

1
E L C P Como es habitual traemos hoy a esta tribuna un asunto que nos preocupa y que pensamos que no se le dedica la debida atención: la seguridad del software que reside en el interior de múltiples componentes de nuestros sistemas y al que no prestamos atención, al Embedded Software, que en castellano podemos traducir como software empotrado, encajado, embebido o embutido. La utilización de soluciones basadas en sistemas con software embutido de alta fiabilidad va en aumento entre los sectores con mayor uso de estos sistemas; podemos citar: el ferrocarril, la aeronáutica, la medicina, la automoción, la banca, los seguros y las telecomunicaciones, sin olvidar su uso generalizado en el sector de la producción industrial y en otras muchas aplicaciones emergentes. Pero quiero hacerles notar un uso del software embutido, en el que la seguridad es crítica. En la página web del Ministerio del Interior dedicada al DNI electrónico, www.dnielectronico.es, describe detalladamente nuestro DNIe, e indica las características del chip que contiene: Modelo del chip: st19wl34 y ICC ST19wl34 Sistema operativo: DNIe v1.1 Capacidad: 34 kbytes Eeprom Como ustedes pueden ver nuestro flamante DNIe, tiene embutido en su interior un elemento software, un sistema operativo, y voy a utilizar este caso como ejemplo, perfectamente extrapolable a otros sistemas críticos El DNIe contiene software embutido, que es necesario que cumpla con unos requisitos de seguridad muy estrictos; nadie puede poner en duda que en este caso la seguridad es crítica; la posible existencia de un problema de seguridad del software embutido en el DNIe supondría un riesgo inaceptable. Pero si nos fijamos vemos que nos indican que la versión del S.O. del DNIe es la v1.1; esto significa que ha existido la versión 1.0 y que en el futuro posiblemente existirá la versión 1.2 o 2.0; esto es algo habitual en el software. ¿Pero qué diferencia existe entre la versión 1.1 y la 1.0? ¿Incluye una nueva funcionalidad o corrige algún defecto? La actualización del software para incluir nuevas funcionalidades, corregir defectos o problemas de seguridad, es algo a lo que estamos acostumbrados y que habitualmente gestionamos adecuadamente, pero no es lo habitual en el caso del software embutido. Volviendo a nuestro ejemplo, no conozco ningún documento en el que se hable de la actualización del S.O. del DNIe; entonces puedo suponer, que en un breve plazo de tiempo, en poder de los ciudadanos se encontrarán DNIe con diferentes versiones de S.O.; en el hipotético caso de que el origen de la nueva versión sea corregir un fallo o vulnerabilidad, muchos ciudadanos portarán DNIe vulnerables. Tenemos que empezar a gestionar adecuadamente la actualización y aplicación de parches del software embutido cada vez más presente en nuestros sistemas. PUNTO DE ENCUENTRO: CART A DEL DIRECTOR «El embutido» 16 Editorial nº 10 mayo 2007 RICARDO CAÑIZARES La posible existencia de un problema de seguridad del software embutido en el DNIe, supondría un riesgo inaceptable Director de la Revista [email protected]

Upload: ricardo-canizares-sales

Post on 15-Feb-2017

281 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Software empotrado  - 2007

E

L

C

P

Como es habitual traemos hoy a esta

tribuna un asunto que nos preocupa y que

pensamos que no se le dedica la debida

atención: la seguridad del software que reside

en el interior de múltiples componentes de

nuestros sistemas y al que no prestamos

atención, al Embedded Software, que en

castellano podemos traducir como software

empotrado, encajado, embebido o embutido.

La utilización de soluciones basadas en

sistemas con software embutido de alta

fiabilidad va en aumento entre los sectores con

mayor uso de estos sistemas; podemos citar: el

ferrocarril, la aeronáutica, la medicina, la

automoción, la banca, los seguros y las

telecomunicaciones, sin olvidar su uso

generalizado en el sector de la producción

industrial y en otras muchas aplicaciones

emergentes.

Pero quiero hacerles notar un uso del

software embutido, en el que la seguridad es

crítica. En la página web del Ministerio del

Interior dedicada al DNI electrónico,

www.dnielectronico.es, describe

detalladamente nuestro DNIe, e indica las

características del chip que contiene:

Modelo del chip: st19wl34 y ICC ST19wl34

Sistema operativo: DNIe v1.1

Capacidad: 34 kbytes Eeprom

Como ustedes pueden ver nuestro flamante

DNIe, tiene embutido en su interior un

elemento software, un sistema operativo, y voy a

utilizar este caso como ejemplo, perfectamente

extrapolable a otros sistemas críticos

El DNIe contiene software embutido, que

es necesario que cumpla con unos requisitos

de seguridad muy estrictos; nadie puede poner

en duda que en este caso la seguridad es

crítica; la posible existencia de un problema de

seguridad del software embutido en el DNIe

supondría un riesgo inaceptable.

Pero si nos fijamos vemos que nos indican

que la versión del S.O. del DNIe es la v1.1; esto

significa que ha existido la versión 1.0 y que en

el futuro posiblemente existirá la versión 1.2 o

2.0; esto es algo habitual en el software. ¿Pero

qué diferencia existe entre la versión 1.1 y la

1.0? ¿Incluye una nueva funcionalidad o

corrige algún defecto?

La actualización del software para incluir

nuevas funcionalidades, corregir defectos o

problemas de seguridad, es algo a lo que

estamos acostumbrados y que habitualmente

gestionamos adecuadamente, pero no es lo

habitual en el caso del software embutido.

Volviendo a nuestro ejemplo, no conozco

ningún documento en el que se hable de la

actualización del S.O. del DNIe; entonces puedo

suponer, que en un breve plazo de tiempo, en

poder de los ciudadanos se encontrarán DNIe

con diferentes versiones de S.O.; en el

hipotético caso de que el origen de la nueva

versión sea corregir un fallo o vulnerabilidad,

muchos ciudadanos portarán DNIe vulnerables.

Tenemos que empezar a gestionar

adecuadamente la actualización y aplicación

de parches del software embutido cada vez más

presente en nuestros sistemas.

PUNTO DE ENCUENTRO: CARTA DEL DIRECTOR

«El embutido»

16Editorial

nº 10 � mayo 2007

RICARDO CAÑIZARES

La posibleexistencia de

un problema deseguridad del

softwareembutido en elDNIe, supondría

un riesgoinaceptable

Director de la Revista

[email protected]