Carrier Level Immutable Protection (CLIP): nuestra tecnología segura y confiable para el empoderamiento de operadores

martes, 26 de marzo de 2019

Tras un año desde la firma de nuestro acuerdo de colaboración con Rivetz, donde sentábamos las bases para la creación de un nuevo modelo descentralizado para mejorar la seguridad y el control de los datos, nos encontramos en posición para hablar de los primeros prototipos de una tecnología concebida para proporcionar seguridad en todos los dispositivos móviles que dispongan de una SIM de Movistar, y para ello hemos utilizado unos componentes hardware ya presentes en miles de millones de dispositivos, los entornos de ejecución confiables (Trusted Execution Environments – TEE).

Alianza ElevenPaths seguridad móvil imagen

Durante los primeros días de la industria móvil, era fácil para los actores malintencionados clonar la identidad de nuestros terminales y realizar todo tipo de cargos con el número del teléfono. Los primeros operadores requerían a los usuarios el uso de un PIN para utilizar los dispositivos. El Subscriber Identity Module o SIM (de la que seguramente todos hemos oído hablar) surgió de los esfuerzos del Instituto Europeo de Normas de Telecomunicaciones (European Telecommunications Standards Institute) para combatir el fraude. La SIM contiene la identidad del dispositivo y del propietario de forma que no puede ser interceptada por un usuario malicioso.

Hasta ahora, seguimos utilizando este enfoque, permitiendo que un único punto de acceso gestione nuestros activos (o cualquier cosa a tal efecto), lo que ha llegado a convertirlo en un vector explotable por actores maliciosos o criminales. Incluso si ese punto único está bien protegido, puede llegar a ser inútil si dejas el teléfono en la oficina, se te cae en un concierto o alguien con tu información privada lo roba y te suplanta. Primero aparece el temor cuando te das cuenta que lo has perdido junto a tus fotos y, en definitiva, tu vida privada; pero entonces, te llega el verdadero miedo cuando te das cuenta que has regalado tu identidad digital junto a los detalles de tu cuenta, privilegios y potencialmente tus ahorros.

La solución
Si la seguridad recae en un único punto, ¿por qué no distribuir los activos a proteger en dos o más localizaciones seguras dentro del mismo dispositivo móvil? De esta forma, cada uno puede proporcionar capacidades de gestión y una interoperabilidad y controles de seguridad diferentes. Por tanto, de acuerdo a la visión de nuestro proyecto, hemos tenido en cuenta que los smartphones actuales están equipados con capacidades independientes al operador. Un móvil actual posee dominios seguros de aplicación como la SIM, que es un dispositivo de seguridad certificado con EAL6+ junto al TEE, que es un entorno de seguridad probado y certificado con EAL2. Adicionalmente, hemos considerado elementos externos como capas adicionales de defensa en aquellos casos donde los usuarios no pueden depender de los componentes móviles, si hubiesen sido comprometidos. Dependiendo del caso de uso, esas funcionalidades adicionales pueden ser una red de dispositivos confiables, como por ejemplo un entorno IoT o una identidad basada en blockchain para escenarios empresariales.

Nuestro socio tecnológico y de investigación, Rivetz, se unió al proyecto de cara a proveer tecnología segura y políticas de seguridad hardware para ecosistemas basados en SIM, habilitando un modelo más seguro y simple de protección de los activos digitales de los usuarios, generando una identidad del dispositivo basada en el propio hardware. Rivetz trabaja estrechamente con otros socios esenciales para crear un conjunto enriquecido de utilidades y funcionalidades donde el TEE se convierte en la piedra angular de la confianza en la interoperabilidad de servicios. Para los servicios de identidad digital, Civic posee el rol principal. La necesaria interoperabilidad de las criptomonedas a través de cross-chain, gracias a Wanchain, para permitir la fidelización de la comunidad y la continuidad del proyecto. Telefónica, como el Operador de Red Móvil, que identifica y desarrolla la plataforma, el mercado y los casos de uso adecuados para la tecnología CLIP. Rivetz, Civic y Wanchain se unieron al programa de socios de ElevenPaths en la categoría de Investigación y Desarrollo para éste y futuros proyectos de colaboración.

Cómo funciona
Si podemos distribuir los activos entre dos o más dominios de seguridad, podemos crear un entorno tolerante a fallos o riesgos que pueden surgir en alguno de dichos dominios. Utilizando procesos de verificación y medición de la integridad, podemos atestiguar que esos activos distribuidos no han sido comprometidos antes de que la información sensible sea liberada.

Con CLIP, las claves de la aplicación son distribuidos entre dos raíces de confianza (Dual Roots of Trust - DRT) hardware del dispositivo. Probablemente, si garantizamos que ambas raíces participan en la ejecución de una transacción, podemos proporcionar frameworks de gestión dual con controles independientes y una mayor resistencia a ataques. Existen múltiples métodos para proteger criptográficamente y garantizar la persistencia de las claves de aplicaciones distribuidas. Entre ellos encontramos la división de clave, el anclaje criptográfico y los protocolos de conocimiento cero. Todos estos mecanismos deben proveer de capacidades de migración de clave y de depósito. La implementación inicial se ha realizado con una SIM y el TEE que demostrará su aplicación en varios casos de uso. Los mecanismos de protección de contraseña en la SIM se realizan a través de un applet confiable (Dual Roots Applet – DRA). El protocolo es también extensible a más de dos dominios de seguridad de cara a expandir o adaptar la distribución de activos de acuerdo a la configuración de los escenarios objetivo.

Dual Roots Applet - DRA imagen

La imagen anterior refleja nuestro enfoque inicial en un escenario típico móvil utilizando un smartphone que incorpora tecnología TEE, dividiendo la clave entre la SIM de Movistar/Telefónica y el TEE gestionado por el middleware de Rivetz y la App. Una de las razones para dicha distribución entre las dos raíces, teniendo en cuenta que ambas están en el mismo dispositivo, es que ambas están bajo el control de entidades completamente diferentes. El Operador posee el control de la SIM, mientras que el TEE sigue bajo el control del fabricante del dispositivo, aunque puede ser accedido por terceros como Rivetz. A través de una aplicación especial que le permite realizar operaciones dentro del TEE, el usuario mantiene el control de los secretos contenidos ahí.

Algunas de las propiedades de seguridad más destacables de este enfoque son:
  • API móvil abierta que provee de acceso permisionado a la SIM a través de llamadas nativas Android.
  • Provisionado de la SIM con una Aplicación de Reglas de Acceso (ARA) que habilita a las aplicaciones de un REE (Rich Execution Environment) identificado p.ej. Android, el acceso a la Java Card de la SIM
  • Provisionado de la SIM con una Aplicación Java Card DRA para el algoritmo de división de clave CLIP
  • Acceso desde el TEE a la DRA controlada con la lista de control de la ARA.

Descripción del CLIP Lab
A medida que el desarrollo fue avanzado superamos las capacidades de los virtualizadores de tarjetas SIM y los emuladores de control OTA de los operadores. Así que, como siguiente paso de nuestra colaboración entre Rivetz y ElevenPaths, hemos creado una pequeña infraestructura de red móvil,denominada CLIP Lab, para desarrollar, probar y validar nuestras aplicaciones y los servicios de red en un entorno similar al de producción. El CLIP Lab será la plataforma que usemos para desarrollar operaciones OTA y concebir la tecnología DRT en un dispositivo funcional – sin emuladores ni virtualización. Por tanto, nos entusiasma anunciar y mostrar todo el esfuerzo realizado para para crear y conformar este entorno real.

CLIP Lab posee tres componentes conectados que operan conjuntamente para formar el entorno de desarrollo y prueba. El núcleo de la red móvil está gestionado en el data center de Telefónica en Miami, llamado Keycenter, y ejecuta el core de una red full LTE capaz de soportar un pequeño número de dispositivos móviles. Adicionalmente, hay dos emplazamientos con antenas y cajas de Faraday, donde las aplicaciones móviles serán demostradas, desarrolladas y probadas. Estas localizaciones de antenas se localizan en San Francisco, California y nuestras oficinas en Málaga.



Caso de Uso sobre Fraude
Uno de los casos más típicos de fraude sucede cuando alguien suplanta un usuario porque la persona legítima ha perdido su smartphone y se lo han robado. Esta situación posee varias amenazas y vectores de ataque:
  1. En caso de cambiar la SIM a otro dispositivo móvil, con una SIM teóricamente desbloqueada, el usuario sigue estando protegido ya que la clave está localizada en el hardware del teléfono, por tanto, un usuario malicioso no será capaz de registrarse en la infraestructura del Operador debido a la falta de atestación remota positiva realizada por el Operador en la negociación inicial.
  2. Lo mismo ocurre si la SIM confiable es sustituida con otra, el atacante no será capaz de obtener contraseñas, claves de carteras, etc. Ya que sus datos están protegidos porque la SIM original contiene parte de la contraseña necesaria que fue distribuida. Literalmente, un atacante obtendrá un error cuando trate de descifrar la contraseña a través del teléfono.
  3. Finalmente, cuando un usuario pierde el teléfono, obtiene una nueva SIM, llama al Operador de Red Móvil (Mobile Network Operator – MNO) para activarla en la red, pero incluso si el MNO verifica la identidad y la contraseña a través de la SIM, el usuario sigue protegido a través de la red de confianza. Este concepto consiste en un proceso de backup y migración basado en 2 o 3 dispositivos de confianza de los usuarios (Otros teléfonos, Smart TV, Set-Top Box, etc.) Por tanto, cualquier suplantación utilizando detalles privados del usuario fallará porque no serán capaces de registrarse en la red del Operador.
Este último escenario es la mejora de seguridad definitiva del proyecto CLIP. La provisión de un “backup de confianza”, una manera en la que los usuarios pueden colocar su smartphone en una red de confianza con varios de sus dispositivos (Smart TV/Laptop/Tablet), para vincularse con ellos. En caso de perder la SIM y el dispositivo, el usuario puede gestionar las claves a través de esta copia de seguridad, deshabilitando o recuperando las claves perdidas. Con la ayuda del operador, los usuarios pueden bloquear o desbloquear SIMs, además de poseer otras funciones de gestión. Por defecto, un usuario tendría que recuperar el estado de confianza del nuevo dispositivo, un atacante no tiene posibilidad de acceder a los datos o robar dinero sin alcanzar ese estado. Este estado de confianza evitaría la reconstrucción de la confianza en un nuevo dispositivo por un actor malicioso. Solamente el legítimo usuario que intenta recuperar la activación del Operador con su nuevo teléfono y SIM podrán activarlo, mediante la configuración y atestación de su dispositivo en esa red de confianza operando en modo de backup de los dispositivos.

Caso de uso sobre fraude imagen

Caso de Uso de IoT en Automoción
Los vehículos actualmente se han convertido en complejos entornos IoT con numerosos sensores, paneles y pasarelas. Junto a la tecnología, las preocupaciones de seguridad y los riesgos han aumentado, algunas de esas amenazas son el robo de coches debido a tecnologías inalámbricas, o el car hacking, que puede realizar acciones maliciosas como bloquear el arranque del motor o apagarlo durante la marcha.

Esos problemas de seguridad se magnifican con los coches de conducción autónoma que usan tarjetas SIMs M2M, lo que aumenta su factor de alcance, donde solo mecanismos seguros como nuestra red de confianza puede proveer de unos niveles de protección avanzada y ventajas relativas a la resiliencia. En este sentido, CLIP interacciona con la SIM y la centralita que dispone del TEE para garantizar un nuevo nivel de seguridad. Si un atacante intenta robar el vehículo, la red de confianza no liberará la llave y el coche no arrancará. Alternativamente los datos del vehículo (matrícula, número de identificación de vehículo - VIN) pueden ser registrados junto a la red de servicios de Rivetz, donde automáticamente se generarán avisos en caso de que alguna política se viole o haya intentos de acceso. Por ejemplo, el coche puede bloquearse si el VIN es reportado como robado. El interfaz de usuario confiable (Trusted User Interface – TUI) podría recibir la petición de liberar las claves para arrancar el coche si la localización actual no corresponde al domicilio de la vivienda registrada por el usuario. En este escenario los carjackers no podrán tomar control del vehículo sin las claves CLIP.

Caso de Uso de IoT en Automoción imagen


Conclusiones
Necesitamos una forma de distribuir activos criptográficos sensibles que están aparentemente protegidos, separando el control de acceso y otras capacidades de seguridad en dos o más entidades independientes. Hemos comenzado con las raíces de confianza existentes en plataformas móviles. La SIM y el TEE son dos de los mejores enclaves ubicuos de seguridad que no están controlados por la misma entidad, uno está protegido por el operador y el otro por el fabricante. Si iniciamos con estos dos, podemos proteger una amplia cantidad de dispositivos del mercado, y desde ahí podremos escalar y movernos a otros escenarios con el tiempo. Ya que nuestros dispositivos móviles se han convertido en elementos fundamentales en nuestras vida y contienen tanto información personal y datos vulnerables, necesitamos mejores formas de protegerlos. Dual Roots of Trust desarrollada en nuestro proyecto CLIP proporciona el siguiente paso para mantener nuestros activos seguros y protegidos.

Innovación y laboratorio en ElevenPaths

1 comentario: