¿Qué está pasando con QNX?
QNX es uno de esos sistemas operativos que, pese a estar muy presentes en nuestras vida diaria, el 99% de las ocasiones pasan totalmente desapercibidos. Y es lo lógico, puesto que a diferencia de aquellos de propósito general que empleamos a diario y de los que, por lo tanto, nos sabemos su aspecto y funcionamiento de memoria, QNX forma parte de los sistemas operativos integrados en todo tipo de dispositivos y dedicados a una función en concreto, que actúan en las sombras para que podamos disfrutar de todo tipo de funciones: desde el aspirador que limpia nuestras casas hasta el sistema del coche que nos alerta de que nos estamos saliendo de nuestro carril.
Dentro de ese grupo de sistemas operativos, QNX tiene una particularidad que lo hace especialmente interesante para muchos usos, pues es un sistema operativo de tiempo real. Esto lo convierte en la opción ideal para todos aquellos contextos en los que es imprescindible que el sistema operativo sea capaz de responder de manera inmediata ante determinados eventos, se encuentre en las condiciones en las que se encuentre.
Lanzado inicialmente al mercado en 1982 por Gordon Bell y Dan Dodge, dos estudiantes canadienses que acababan de formarse precisamente en el ámbito de los sistemas operativos en tiempo real, consideraron que existía un mercado comercial para los mismos, lo que les llevó a crear QUNIX (sí, efectivamente, está basado en Unix). Dos años después cambiaron su nombre a QNX para evitar problemas con el nombre, parecido a Unix, que era una marca registrada. Así nació QNX Software Systems.
Varias décadas después, en 2010, BlackBerry, que por aquellos tiempos ya empezaba a ver como su posición en el mercado de los smartphones decaía sin remisión, adquirió QNX Software Systems, en una inversión de lo más inteligente, y que probablemente sea la principal razón por la que la compañía sigue en pie pese al colapso de su posición en el mercado de la telefonía móvil y, muy especialmente, de su tremendamente popular servicio de correo electrónico móvil.
Desde entonces, BlackBerry ha licenciado QNX a múltiples fabricantes de dispositivos que necesitaban un sistema operativo en tiempo real (RTOS) para sectores de lo más diversos, desde motor hasta medicina, siempre para casos en los que una fracción de segundo puede marcar la diferencia. Y a este respecto el sistema operativo siempre ha cumplido, razón por la que muchos fabricantes siguen confiando en esa plataforma para sus desarrollos.
QNX y la seguridad
Cuando un fabricante elige un sistema operativo como QNX, lo hace confiando en que le ofrecerá un enorme nivel de seguridad. Claro, sabemos que la seguridad total es imposible, pero lo que resulta clave en estos casos es la respuesta ante dichos problemas. Y aunque en este punto, al hablar de seguridad muchos pensarán en fiabilidad, que evidentemente es muy importante, esto también debería aplicar a la seguridad entendida como ciberseguridad.
Y aquí es donde BlackBerry ha tropezado, y lo ha hecho profundamente, al punto de comprometer la buena imagen que, hasta ahora, tenía QNX. Y es que la compañía ha admitido, como podemos leer en Politico, que su sistema operativo tiene una vulnerabilidad. Algo que no se saldría de lo usual y comprensible, de no ser porque se ha sabido que la compañía era consciente de ello desde hace tiempo, pero que tomó la decisión de no divulgar ni solucionar este problema.
Antes de nada, y por evitar entrar en el alarmismo, hay que aclarar que las versiones de QNX afectadas por la vulnerabilidad son las publicadas en 2012 y anteriores. Es decir, cualquier dispositivo cuyo software se ejecute en una versión posterior, está a salvo de esta vulnerabilidad y, por lo tanto, no tiene de qué preocuparse. Para más nivel de detalle, este es todo el software afectado:
| Producto | Versiones afectadas |
| QNX SDP | 6.5.0SP1, 6.5.0, 6.4.1, 6.4.0 |
| QNX Momentics Development Suite | 6.3.2 |
| QNX Momentics | 6.3.0SP3, 6.3.0SP2, 6.3.0SP1, 6.3.0, 6.2.1b, 6.2.1, 6.2.1A, 6.2.0 |
| QNX Realtime Platform | 6.1.0a, 6.1.0, 6.0.0a, 6.0.0 |
| QNX Cross Development Kit | 6.0.0, 6.1.0 |
| QNX Development Kit (Self-hosted) | 6.0.0, 6.1.0 |
| QNX Neutrino RTOS Safe Kernel | 1.0 |
| QNX Neutrino RTOS Certified Plus | 1.0 |
| QNX Neutrino RTOS for Medical Devices | 1.0, 1.1 |
| QNX OS for Automotive Safety | 1.0 |
| QNX OS for Safety | 1.0, 1.0.1 |
| QNX Neutrino Secure Kernel | 6.4.0, 6.5.0 |
| QNX CAR Development Platform | 2.0RR |
¿Significa esto que no hay de qué preocuparse, y que BlackBerry no tenía razón para informar de esta vulnerabilidad? En absoluto. Es cierto que, de manera general, hablar de un sistema operativo de 2012 nos hace pensar en algo muy antiguo, que es normal que ya no reciba actualizaciones ni soporte, y que lo normal es migrar a una versión más actual para mantenerse a salvo.
Claro, esa perspectiva es aplicable a sistemas operativos de propósito general, de servidor, etcétera, pero recordemos algo comentado al principio, y es que este sistema operativo se emplea en soluciones cerradas de diversos dispositivos, desde coches hasta instrumental médico.
Esto nos lleva a pensar en dos cosas. La primera es que el tiempo de vida de los dispositivos no es una constante, no aplicamos el mismo plazo de amortización para un portátil que para un coche. Trabajar a día de hoy con un ordenador de 2012, aunque posible, en no pocos casos supondrá un freno importante a la productividad. Sin embargo, emplear a día de hoy un coche de 2012 o años anteriores (el mío, por ejemplo, es de 2008 y espero que todavía me dure bastante) es lo más normal.
Así pues, si este problema afectara a un sistema operativo de escritorio, lo más probable es que el volumen de usuarios afectados fuera mínimo. En este caso, sin embargo, no podemos pensar del mismo modo. Con una terrible diferencia, y es que los afectados por una vulnerabilidad de un sistema operativo de los mencionados anteriormente pueden tomar medidas, algo que no es posible en este caso.
¿Sabes qué sistema operativo emplea tu coche? ¿Y qué versión del mismo? Si sabemos que Windows, Linux, macOS, Android o el sistema que sea tiene una vulnerabilidad, podemos comprobar rápidamente si nuestra versión está afectada y, en caso afirmativo, tomar medidas. En este caso, no sabemos si estamos afectados y, sea cual sea el caso, no podemos hacer nada. Y esto, pensando en sistemas de los que depende instrumental médico, me parece terrorífico.
La vulnerabilidad, identificada como CVE-2021-22156 puede ser explotada remotamente y puede llevar a la ejecución de código arbitrario y a forzar la denegación de servicio del sistema afectado. Un conjunto de riesgos más que suficiente como para que BlackBerry hubiera informado inmediatamente sobre ello, se hubiera puesto manos a la obra para solucionarlo, y en este momento los parches para los dispositivos afectados ya estuvieran en camino.
Pero no, BlackBerry optó por silenciarlo y, lo que es peor aún, tras publicar en su web una alerta sobre la vulnerabilidad, posteriormente han elegido borrarla, pese a que sigue estando enlazada desde múltiples webs, incluida al de la CISA, que informan sobre la incidencia.
Personalmente, una actitud así me hace pensar que BlackBerry es una empresa poco o nada confiable, que no respeta las prácticas establecidas en la comunidad de la ciberseguridad desde hace mucho tiempo, y que prefiere comprometer la seguridad de los productos de sus clientes a reconocer un problema. Y no lo entiendo, porque las vulnerabilidades son algo normal, algo común y extendido, y que no tiene por qué ensuciar la imagen de una marca. Lo importante no es el problema, sino la respuesta.
Y ahora, con la respuesta dada por BlackBerry, se abre el campo a la duda: ¿será la primera vez que la compañía sabe de un problema de seguridad y opta por mantenerlo en secreto? ¿Habrá contactado con todos los clientes afectados para que puedan tomar las medidas necesarias? ¿Podemos confiar en que un problema que afecte a versiones más actuales sí que será difundido? Creo que, con esta gestión de la incidencia, BlackBerry ha puesto muchas sombras sobre QNX y sobre su propia marca e imagen, y me parece un error imperdonable.
¿Y por qué? Ya he comentado antes que mi coche es de 2008, por lo que no sé si está afectado, pero peor aún que eso, mi madre se someterá dentro de tres días, el domingo, a una prueba de diagnóstico, una de esas pruebas para las que se emplean dispositivos enormes y tremendamente sofisticados… que emplean software. Y tampoco sé si dicha máquina emplea alguna versión afectada del software de BlackBerry.
Me ocurre a mí, pero también le puede ocurrir y le ocurrirá a muchas otras personas, que confían en que los responsables del software de misión crítica y del que dependen procesos tan importantes, antepongan la seguridad por encima de todo lo demás. Algo que, al menos en esta ocasión, la compañía ha optado por no hacer.
La entrada ¿Qué está pasando con QNX? es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico
