software empotrado - 2007
TRANSCRIPT
E
L
C
P
Como es habitual traemos hoy a esta
tribuna un asunto que nos preocupa y que
pensamos que no se le dedica la debida
atención: la seguridad del software que reside
en el interior de múltiples componentes de
nuestros sistemas y al que no prestamos
atención, al Embedded Software, que en
castellano podemos traducir como software
empotrado, encajado, embebido o embutido.
La utilización de soluciones basadas en
sistemas con software embutido de alta
fiabilidad va en aumento entre los sectores con
mayor uso de estos sistemas; podemos citar: el
ferrocarril, la aeronáutica, la medicina, la
automoción, la banca, los seguros y las
telecomunicaciones, sin olvidar su uso
generalizado en el sector de la producción
industrial y en otras muchas aplicaciones
emergentes.
Pero quiero hacerles notar un uso del
software embutido, en el que la seguridad es
crítica. En la página web del Ministerio del
Interior dedicada al DNI electrónico,
www.dnielectronico.es, describe
detalladamente nuestro DNIe, e indica las
características del chip que contiene:
Modelo del chip: st19wl34 y ICC ST19wl34
Sistema operativo: DNIe v1.1
Capacidad: 34 kbytes Eeprom
Como ustedes pueden ver nuestro flamante
DNIe, tiene embutido en su interior un
elemento software, un sistema operativo, y voy a
utilizar este caso como ejemplo, perfectamente
extrapolable a otros sistemas críticos
El DNIe contiene software embutido, que
es necesario que cumpla con unos requisitos
de seguridad muy estrictos; nadie puede poner
en duda que en este caso la seguridad es
crítica; la posible existencia de un problema de
seguridad del software embutido en el DNIe
supondría un riesgo inaceptable.
Pero si nos fijamos vemos que nos indican
que la versión del S.O. del DNIe es la v1.1; esto
significa que ha existido la versión 1.0 y que en
el futuro posiblemente existirá la versión 1.2 o
2.0; esto es algo habitual en el software. ¿Pero
qué diferencia existe entre la versión 1.1 y la
1.0? ¿Incluye una nueva funcionalidad o
corrige algún defecto?
La actualización del software para incluir
nuevas funcionalidades, corregir defectos o
problemas de seguridad, es algo a lo que
estamos acostumbrados y que habitualmente
gestionamos adecuadamente, pero no es lo
habitual en el caso del software embutido.
Volviendo a nuestro ejemplo, no conozco
ningún documento en el que se hable de la
actualización del S.O. del DNIe; entonces puedo
suponer, que en un breve plazo de tiempo, en
poder de los ciudadanos se encontrarán DNIe
con diferentes versiones de S.O.; en el
hipotético caso de que el origen de la nueva
versión sea corregir un fallo o vulnerabilidad,
muchos ciudadanos portarán DNIe vulnerables.
Tenemos que empezar a gestionar
adecuadamente la actualización y aplicación
de parches del software embutido cada vez más
presente en nuestros sistemas.
PUNTO DE ENCUENTRO: CARTA DEL DIRECTOR
«El embutido»
16Editorial
nº 10 � mayo 2007
RICARDO CAÑIZARES
La posibleexistencia de
un problema deseguridad del
softwareembutido en elDNIe, supondría
un riesgoinaceptable
Director de la Revista