YA ESTÁ AQUÍ: TU COCHE CONTROLADO DE MANERA REMOTA POR HACKERS

De vez en cuando (una vez cada muchos años), ocurre algo muy desagradable en el cibermundo, surgen nuevas maldades inesperadas que pueden derribar al mundo entero. Para la mayoría de las personas es sólo una de las constantes y molestas cibersorpresas. Mis colegas del gremio y yo, normalmente asentimos, parpadeamos, hacemos gestos y levantamos las cejas a lo Roger Moore mientras exclamamos algo como: “Le estábamos esperando Sr. Bond. ¿Por qué ha tardado tanto?”

Por eso continuamos estudiando y analizando las tendencias principales de la Dark Web, y así hacernos una idea de quién está detrás de la oscuridad y las motivaciones que intervienen; de esta manera podemos predecir cómo se van a desarrollar las cosas.

Cada vez que uno de estos eventos “inesperados” ocurre, normalmente me encuentro en la delicada situación de dar un discurso (o discursos) junto con la frase “Bienvenidos a la nueva era”. Lo más difícil de todo es admitir que estoy repitiendo un discurso de hace años. Lo fácil: solo tengo que actualizar un poco ese antiguo discurso, añadiendo algo como: “¡Os advertí sobre esto; y vosotros pensasteis que os estaba alarmando para vender el producto!”

Bueno, es comprensible (a nadie le gusta que le digan “te lo dije”, así que seguiré).

Entonces. ¿De qué sorpresa cibernética se trata esta vez? De hecho, una que me afecta especialmente: ¡el mundo de los automóviles!

Hace unos días, la revista Wired publicó un artículo con un enunciado que decía: “Conducía a 120 kph bordeando el centro de San Louis, cuando el exploit empezó a controlar el coche”. ¡Eh!

La noticia describía un experimento exitoso en el que unos investigadores de seguridad de hackers tomaron el control de un coche de forma remota: analizaron (durante meses) el sistema de Uconnect de un Jeep Cherokee, finalmente encontraron una vulnerabilidad, y luego lograron tomar el control de las funciones críticas del vehículo vía Internet,¡mientras que el periodista de Wired conducía el vehículo por una autopista! No estoy bromeando, amigos. Y no estamos hablando de un caso aislado probado en un laboratorio y que sólo afecta a un coche. No, la brecha de seguridad que encontraron y explotaron los investigadores, afecta casi a medio millón de coches. ¡Ups!

can2

Sin embargo, el problema de seguridad de los coches “inteligentes” no es nada nuevo. Primero bromeé sobre este tema en 2002. Bueno, fue el 1 de abril. ¡Pero ahora es cierto! Ya sabes lo que dicen… Ten cuidado con las bromas (hay mucha verdad en las ellas).

No sólo no se trata deun problema nuevo, también es bastante lógico que se vuelva algo serio: los fabricantes compiten por los clientes, y ya es difícil encontrar clientes que no llevensu smartphone a todas partes, es normal que el coche (cuanto más caro,más rápido) se haya transformado en su apéndice (el apéndice del smartphone, no del usuario, en caso de que alguien no me haya entendido bien).

Cada vez hay más funciones de los coches inteligentes que pueden ser controladas por el smartphone. Y el Uconnect no es el único; prácticamente cada fabricante de coches tiene su propia tecnología similar, unos más avanzados que otros: está el de Volvo On Call, el de BMW Connected Drive, MMI de Audi, COMAND de Mercedes-Benz, Onstar de GM, Blue Link de Hyundai y muchos más.

Más y más comodidades para el consumidor de los coches modernos. El problema es que en esta competición entre los fabricantes que intentan superarse unos a otros,la seguridad informática suele ser ignorada.

¿Por qué?

Primero, los fabricantes buscan ir por delante de los demás: tener la funcionalidad tecnológica más innovadora vía smartphones vende coches. “¿Aspectos de seguridad? Eso lo vemos después, ¿no? No, esto era para ayer”.

En segundo lugar, el mercado de los coches por control remotoes un mercado con buenas perspectivas.

En tercer lugar, ¡aún! existe la tendencia en la industria automovilística de ver toda la tecnología computarizada de los coches como algo aparte, misterioso, como un capricho (¡sip!), y no como algo que forma parte de los coches, por lo tanto, nadie dentro de la industria quiere ensuciarse las manos con este tema; así que, los cerebros destinados a ello, son crónicamente insuficientes para crear una tecnología segura.

Todo esto se suma a una situación en la quelos automóviles de lujo son cada vez más fáciles de hackear, y por lo tanto, fáciles de robar. Genial. Justo lo que el mundo necesita en estos momentos.

¿Pero qué…?

Vale. Ese es el esquema básico. Ahora vamos con los antecedentes técnicos y detallados para que tal vez podamos llegar a saber ¡qué #@*! está pasando aquí.

Allá por el año 1985, Bosch desarrolló CAN. No, no sus compatriotas rockeros vanguardistas (que llevan en funcionamiento desde 1968), sino un “controlador de red de área”, un bus (de acuerdo a la red de comunicación), el cual interconecta y regula el intercambio de datos entre diferentes dispositivos, de hecho, aquellos microcontroladores de los dispositivos, directamente, sin un ordenador central.

Por ejemplo, cuando se presiona el botón de “AC”, el microcontrolador del salpicadero envía una señal al microcontrolador del aire acondicionado diciendo “enciéndelo, el conductor se quiere refrescar”. O cuando se pisa el freno, el microcontrolador del mecanismo del pedal envía una ordena las pastillas de freno para presionarlas contra los discos de freno.

can

En otras palabras, el sistema electrónico de un automóvil moderno es una red P2P (red de pares), diseñada hace unos 30 años. Aún mejor: a pesar del hecho de que se ha actualizado y mejorado el sistema de CAN durante más de 3 décadas, ¡sigue sin tener funciones de seguridad! Tal vez era de esperar, ¿qué seguridad extra se puede ser esperar de un puerto serial? El CAN también es un protocolo de bajo nivel y sus especificaciones afirman que su seguridad necesita ser proporcionada por dispositivos/aplicaciones que lo utilicen.

Tal vez no se leen los manuales. O tal vez están demasiado ocupados tratando de llevarles ventaja a sus competidores y tener las mejores ideas para sus coches inteligentes.

Sea cual sea la razón, el hecho fundamental que provoca todo el problema, sigue existiendo: algunos fabricantes de coches, exprimiendo el CAN cada vez más, sin considerar las reglas básicas de seguridad. Fijan en un mismo bus, el completo sistema informático de gestión que lo controla absolutamente todo, que no tiene ni control de acceso ni cualquier otra característica de seguridad, Y está conectado a Internet.

com

Al igual que en una gran red informática (como por ejemplo, Internet), los coches también necesitan una “división de confianza” estricta para los controladores. Las operaciones en un coche donde hay comunicación con el mundo exterior, ya sea la instalación de una app en el sistema de medios de una tienda online, o el envío de un diagnóstico del desempeño del coche al fabricante, necesita ser firme y segura desde el control del motor, la seguridad y otros sistemas críticos.

Si le enseñan un coche a un especialista en seguridad informática, en el que muchas de sus funciones pueden ser controladas por ejemplo desde una app de Android, éste podría demostrar en cuestión de segundos una docena de maneras diferentes de evadir sus sistemas de “protección” y tomar el control de las funciones que la app puede controlar. Este experimento podría demostrar también, cómo un coche no es tan diferente de una cuenta bancaria: éstas se pueden hackear con tecnologías especialmente diseñadas, en su caso con troyanos bancarios. Pero existe un método potencial que podría ser usado para hackear un coche al igual que una cuenta bancaria: con el uso de una vulnerabilidad, como en el caso del Jeep Cherokee.

¿Hay alguna razón para alegrarse?…

…existen algunas.

Ahora, la industria automovilística (y casi todo el mundo) parece estar al tanto del grado de seriedad del problema de la ciberseguridad en el sector de los coches inteligentes (gracias a los investigadores de seguridad como aquellos del artículo de Wired, aunque algunos fabricantes están poco dispuestos a demostrar su gratitud abiertamente).

Una señal de esto es cómo recientemente la Alianza de Fabricantes de Automóviles de Estados Unidos (US Alliance of Automobile Manufacturers, en inglés), anunció la creación de un centro de análisis e intercambio de información, “que servirá como núcleo central de inteligencia y análisis, proporcionando un intercambio oportuno de información de ciberamenazas y vulnerabilidades potenciales en los electrónicos de vehículos, o asociados a redes a bordo de vehículos”. Simplemente no veo cómo pretenden continuar sin una industria de seguridad involucrada.

Y no es sólo la industria del motor la que está ahora a sus pies: horas después de la publicación del artículo de Wired (el momento de la publicación fue una simple coincidencia, informaron), se introdujo una nueva legislación federal en los Estados Unidos, estableciendo la estandarización de la tecnología de la industria del motor en el campo de la ciberseguridad. Mientras tanto, continuamos trabajando con una gran variedad de marcas de coches, consultándoles para ver cómo conseguir que la ciberseguridad de sus coches inteligentes sea adecuada.

Como puedes ver, hay una luz al final del túnel. Sin embargo…

…sin embargo, el problema de ciberseguridad descrito, no está limitado únicamente a la industria del motor.

CAN y otros estándares, son utilizados en la fabricación, el sector de energía, transporte, utilidades, “casas inteligentes”, incluso en el ascensor del edificio de tu oficina, ¡por TODOS LADOS! Y en todas partes existe el mismo problema: el crecimiento de la funcionabilidad de esta nueva tecnología está avanzando a toda velocidad ¡sin tener en cuenta la seguridad!

Lo que parece ser más importante es seguir mejorando rápidamente la tecnología, haciéndola mejor que la de la competencia, dándole conectividad al smartphone y conectándola a Internet. Y luego se preguntan ¡cómo es posible controlar un avión a través del sistema de entretenimiento!

https://twitter.com/Sidragon1/status/588433855184375808

¿Qué se tiene que hacer?

Lo primero es lo primero, necesitamos volver a las tecnologías previas a Internet, como el propulsor de aviones con sistemas de control mecánico analógico…

…No. Nadie planea viajar en el tiempo, y de todas maneras no funcionaría: las tecnologías del pasado son lentas, incómodas, ineficientes, inconvenientes, y… ¡mucho menos seguras! No, no hay vuelta atrás. ¡Sólo hacia adelante!

En nuestra era de polímeros, biotecnologías y todas las cosas digitales, estos avances están produciendo resultados muy extraños. Solo mira a tu alrededor y en tus bolsillos. Todo se mueve, vuela, se comunica, envía, recibe, intercambia… todo en grandes cantidades y velocidades más rápidas que en el pasado. Los coches (y otros vehículos) son sólo una parte de eso.

Todo esto hace que la vida sea más cómoda y conveniente, y la digitalización, está resolviendo muchos problemas de confianza y seguridad. Pero desafortunadamente, al mismo tiempo están creando otros nuevos.Y si seguimos avanzando a esta velocidad, sin mirar atrás, improvisando a lo largo del camino para obtener la mejor funcionalidad, al final habrá consecuencias impredecibles, o hasta terribles. Un poco como pasó con el Zeppelin.

Existe una alternativa mucho mejor: lo que necesitamos son estándares industriales; arquitectura nueva, moderna y una actitud responsable en el desarrollo de funciones, teniendo en cuenta la seguridad como prioridad..

A fin de cuentas, el artículo de Wired nos dio a conocer una investigación muy interesante. Será aún más interesante cómo progresan las cosas en la industria a partir de ahora. Por cierto, en la conferencia de Black Hat en las Vegas en agosto, habrá una presentación de los autores del hackeo del Jeep, valdrá mucho la pena…

LOS COCHES INTELIGENTES PUEDEN SER HACKEADOS DE MANERA REMOTA. ES UN HECHO. PUNTO. ¿DEBERÍAMOS VOLVER A LA EDAD DE PIEDRA? @E_KASPERSKY LO EXPLICA:Tweet

PD: llámame retrógrada (de hecho solo soy algo paranoico), pero, no importa lo inteligente que sea la tecnología de un coche, yo simplemente la desactivaría si existiera la posibilidad. Pero claro, no la hay. Debería haber un botón cerca del botón de las luces: “¡Desactivar Ciber!”…

…PPD: Puedes decir: “Sigue soñando, Kasper”. Y tal vez estés en lo cierto: al paso que vamos, ¡muy pronto los coches no funcionarán si no se conectan a la nube!

PPPD: Pero la nube (y todos los coches conectados a ésta), serán hackeados a través de alguna función crucial, como el reconocimiento facial del conductor para acomodar el espejo y el asiento de manera automática.

PPPPD: Luego los coches serán gratuitos, pero estarán ligados a una red específica de estación de servicios, con pop-ups saltando en el parabrisas. Durante la publicidad de descanso, se tomará el control y se activará el modo automático de Google.

PPPPPD: ¿Qué más se les ocurre añadir a esta lluvia de ideas?

LEER COMENTARIOS 0
Deja una nota