Raspberry Pi ha otorgado premios por extraer un valor secreto de la memoria programable una sola vez (OTP) del microcontrolador Raspberry Pi RP2350, otorgando una gran cantidad de dinero en efectivo a los cuatro participantes.
El RP2350 salió a la venta al público el 8 de agosto de 2024, una mejora sustancial con respecto a su predecesor, el RP2040. Un área de cambio notable fue la seguridad; Una debilidad del RP2040 había sido un factor para algunos clientes potenciales que lo consideraban un fracaso.
Deseoso de cambiar esa percepción, Raspberry Pi ofreció un premio de 10.000 dólares a la primera persona que recuperara un valor secreto de la memoria OTP del dispositivo. De acuerdo a Para el supremo de Pi, Eben Upton, «Nuestro objetivo era eliminar las debilidades temprano, para poder solucionarlas antes de que RP2350 se implementara ampliamente en aplicaciones seguras».
A los piratas informáticos se les dio sólo un mes para realizar sus presentaciones. Nadie reclamó el premio. En septiembre, el premio se duplicó a 20.000 dólares y el plazo se amplió hasta finales de 2024. Esta vez, la empresa recibió cuatro presentaciones válidas.
Todos los hacks requirieron algún tipo de acceso físico al chip para recuperar los datos. Algunos jugaron con el poder para inducir fallas, y otros eliminaron parte del paquete del chip y dispararon un láser a las partes internas para causar una falla que podría aprovecharse. Un cuarto utilizó técnicas, incluido un haz de iones enfocado, para extraer los datos.
Raspberry Pi también encargó al equipo de ciberseguridad Hextree que evaluara el proceso de arranque seguro del chip. Al utilizar la inyección de fallas electromagnéticas (EMFI), que envía un pulso de alto voltaje a una pequeña bobina en la parte superior del chip, el equipo pudo inyectar fallas que no fueron detectadas por los detectores de fallas.
Si bien piratear su hardware no es nada ideal (aunque Upton nos dijo en ese momento que se dio cuenta de que la compañía estaba «pintando un objetivo en nuestras espaldas»), el fabricante de computadoras quedó muy impresionado por los ataques y optó por otorgar $20,000 a cada uno de los ganadores en lugar de elegir a los «mejores».
Imaginamos que el dinero del premio fue una ganga en comparación con el daño a la reputación que podría causar un ataque en el campo.
Upton describió el enfoque adoptado por Raspberry Pi como «seguridad a través de la transparencia», lo que contrasta con la filosofía de «seguridad a través de la oscuridad» en otras partes de la industria, dijo.
Hay un dicho que dice que la seguridad por oscuridad no es seguridad en absoluto, pero el enfoque adoptado por Raspberry Pi de publicar las hazañas de los piratas informáticos antes de que se hayan implementado las mitigaciones podría despertar una ceja o dos. Al menos dos requerirán cambios en el hardware. Sin embargo, como hemos señalado, todos los exploits requieren acceso físico al microcontrolador.
Otro desafío comenzará dentro de unas semanas. Mientras tanto, Upton reconoció los pros y los contras del enfoque transparente y dijo: «La estrategia óptima puede variar con el tiempo, a medida que aumenta la base instalada de dispositivos con vulnerabilidades críticas.
«Lo que no funciona es una estrategia en la que existen exploits y los malos actores los conocen ampliamente, pero uno pone cara de valiente y finge ante sus clientes que todo está bien». ®
