Category: + Artículos


vehicle_hacking1

El año 2016 ya se conoce como “el año del ransomware“, una amenaza que se ha ganado su fama a pulso. Pero, ¿qué puede ocurrir cuando metemos en la batidora este tipo de amenaza junto con el concepto de Internet de las cosas (IoT)? Aquí tenemos un ejemplo.

> ¿Qué es el jackware?

Podemos definir el jackware como un tipo de software malicioso que intenta tomar el control de un dispositivo cuyo objetivo principal no es el procesamiento de datos ni la comunicación digital, sino un elemento conectado a internet para añadir y/o aumentar sus funcionalidades. Un automóvil, por ejemplo, podría ser uno de estos elementos.

Muchos de los automóviles que existen hoy en día llevan a cabo una gran cantidad de tareas de procesamiento de datos y comunicación; sin embargo, su objetivo principal es llevarte desde el punto A hasta el punto B. Por lo tanto, podemos pensar en el jackware como una forma especializada de ransomware. En el ransomware normal, como Locky y Cryptolocker, el código malicioso cifra los documentos del equipo y exige el pago de un rescate para desbloquearlos. De forma similar, el objetivo del jackware es bloquear un automóvil u otro dispositivo hasta que pagues el rescate.

Pese a que jackware, aparentemente, todavía se encuentra en su etapa teórica, todo hace pensar que será una de esas amenazas que deberemos afrontar a futuro si nos basamos en experiencias pasadas. Ya hemos visto que una empresa automotriz puede vender más de un millón de vehículos con vulnerabilidades que podrían haber sido objeto de ataques de jackware (Jeep, Fiat, Chrysler, etc.)

Sin embargo, la aparente falta de planificación para corregir vulnerabilidades en el diseño del vehículo es igual de grave. En otras palabras, una cosa es vender un producto digital en el que más tarde se descubren errores (de hecho, esto es prácticamente inevitable), pero otra muy distinta y mucho más peligrosa es vender productos digitales sin un medio rápido y seguro de corregir estas posibles vulnerabilidades.

Y aunque la mayoría de las investigaciones y los debates sobre el hacking de automóviles se centran en los problemas técnicos de los vehículos, es importante darse cuenta de que una gran cantidad de dispositivos digitales y de tecnologías del IoT requieren un sistema de soporte que va mucho más allá del propio dispositivo.

Encontramos este problema el año pasado con VTech, un dispositivo de juegos perteneciente a la Internet de las cosas para niños. La seguridad insuficiente del sitio web de la empresa expuso gravemente los datos personales de los niños, recordándoles a todos la gran cantidad de superficies de ataque que crea el IoT. También nos encontramos con este problema de infraestructura a principios de año, cuando se comprometieron algunas cuentas de usuarios de Fitbit (para ser claros, los dispositivos de Fitbit en sí no fueron atacados; Fitbit parece tomarse en serio la privacidad).

Entonces, ¿qué tiene que ver todo esto con los automóviles? Pensemos en el caso reciente de las vulnerabilidades encontradas en la aplicación web de servicios online para ConnectedDrive de BMW. Hay una gran cantidad de aspectos interesantes de IoT relacionados con ConnectedDrive. Por ejemplo, puedes utilizar el servicio para regular la calefacción, las luces y el sistema de alarma de tu casa “cómodamente, desde el interior de tu vehículo“.

La posibilidad de que las funcionalidades y la configuración de un sistema propio de un vehículo se puedan administrar en forma remota a través de un portal que podría ser comprometido es, como mínimo, inquietante.  Y las quejas por el diseño poco seguro de los automóviles inteligentes nos siguen llegando, como desde Mitsubishi con Wi-Fi o la posibilidad de robar automóviles tras acceder a su radio en las marcas BMW, Audi y Toyota.

> Cómo detener el jackware

Para detener el desarrollo y despliegue del jackware deben ocurrir varias cosas en dos ámbitos diferentes de la actividad humana. El primero es el técnico; recordemos que implementar la seguridad en una plataforma automotriz constituye un reto considerable.

Pensemos tan solo en la capacidad de procesamiento y ancho de banda que requieren las técnicas tradicionales de seguridad, como el filtrado, el cifrado y la autenticación. Esto conlleva una sobrecarga de los sistemas, algunos de los cuales necesitan operar con una latencia muy baja. Las técnicas de seguridad como las barreras de aire y la redundancia tienden a incrementar considerablemente el costo de los vehículos. Y sabemos que el control de costes ha sido siempre un requisito fundamental para los fabricantes de automóviles, que cuidan hasta el último céntimo.

El segundo ámbito es en el de la política y el establecimiento de medidas. Las perspectivas no son nada buenas, ya que hasta ahora el mundo ha fracasado estrepitosamente cuando se trata de disuadir los delitos cibernéticos. Estamos presenciando un fracaso colectivo internacional para prevenir el establecimiento de una infraestructura criminal próspera en el ciberespacio, que ahora ya está amenazando a todos los tipos de innovaciones en tecnología digital, desde la telemedicina hasta los drones, los grandes grupos de datos y los vehículos que se manejan en forma automática.

El ransomware se está extendiendo de forma descontrolada. Cientos de miles de personas ya han desembolsado millones de euros a cibercriminales para recuperar el uso de sus propios archivos y/o dispositivos. Y todas las señales indican que el ransomware seguirá creciendo en escala y alcance. Las primeras variantes de ransomware no eran capaces de cifrar las imágenes del sistema y las unidades de backup conectadas, por lo que algunas víctimas lograban recuperarse con bastante facilidad. Sin embargo, ahora también existe ransomware que cifra o elimina las imágenes del sistema, y que busca incansablemente las unidades de backup conectadas para cifrarlas también.

En un primer momento, los delincuentes que se dedicaban al ransomware se aprovechaban de las víctimas que hacían clic en enlaces de correos electrónicos, abrían archivos adjuntos o visitaban sitios infectados. Pero ahora también utilizan técnicas como la inyección SQL para entrar en la red de una organización específica y luego propagan estratégicamente el ransomware hasta llegar a los servidores (muchos de los cuales ni siquiera están protegidos con un programa antimalware).

Aunque cada día siguen produciéndose nuevos ataques, se han realizado muy pocas actuaciones legales en contra de los atacantes. Teniendo en cuenta los desafíos técnicos a los que habrá que enfrentarse para proteger los vehículos cada vez más conectados y la falta de progreso aparente en la disuasión de la delincuencia cibernética, las perspectivas del jackware no son nada buenas (a menos que seas un delincuente y estés planificando tus actividades a largo plazo).

> Conclusiones

Se podría argumentar que la razón por la que el jackware todavía no es algo común es simplemente porque aún no es el momento correcto. Después de todo, no hay tanta necesidad de pasar a otra cosa cuando el ransomware de cifrado tradicional sigue cumpliendo su función.

En este momento, el jackware automotriz es solo un “proyecto futuro” para los delincuentes informáticos. Técnicamente aún falta recorrer un buen trecho, por lo que los automóviles del mañana quizás estén mejor protegidos; sobre todo si FCA aprendió algo del hacking de su Jeep y VW, del escándalo con las pruebas de emisiones diesel; y si el programa de recompensas de errores de GM llega a funcionar; y si la infraestructura de soporte para vehículos conectados se crea teniendo en cuenta la seguridad.

Fuente | We live Security

En esta alianza participan investigadores y compañías líderes en el sector

Ni los gobiernos ni los ciudadanos aún están concienciados de lo importante que será velar por la seguridad informática de sus ciudades para evitar graves problemas. La iniciativa ‘Securing Smart Cities’ pretende crear conciencia y trabajar, desde ya mismo, para defender las ciudades inteligentes del futuro ante posibles ataques.

La ciudad ha quedado a oscuras, cunde el pánico, solo se escuchan sirenas y gritos. Hay accidentes de tráfico en cada esquina, han saltado las alarmas por inundación, el metro ha colapsado, miles de personas se aglomeran en las calles desorientadas y sin saber muy bien qué ocurre. Podríamos estar hablando de una ciudad propensa a sufrir desastres naturales, pero, si así fuera, sus autoridades tendrían planes de emergencia para controlar una situación crítica. También habrían hecho simulacros para que los ciudadanos supieran actuar en el momento del caos.

Pero, ¿y si ese caos no lo hubiera provocado un terremoto ni un tsunami? ¿Y si esa situación casi apocalíptica hubiera sido provocada por un ciberataque a gran escala? Aunque pocos sean conscientes del peligro, cada vez es mayor el número de tecnologías que se implementan en nuestras ciudades, casi siempre sin un plan de emergencia asociado que permita actuar ante un ataque o en el caso de que un sistema critico fallara.

Ahora son la excepción, pero en un futuro no muy lejano las ciudades inteligentes serán la norma. Trabajar desde ya en mecanismos de seguridad es una cuestión imprescindible. Defenderlas, blindarlas y hacer que los gobiernos tengan en cuenta la faceta digital de la seguridad es el objetivo de Securing Smart Cities, una iniciativa global y sin ánimo de lucro que pretende hacer frente a los problemas que podrían enfrentar estas ciudades incluso antes de que existan.

En la alianza participan investigadores, organizaciones y compañías punteras en seguridad informática entre las que se encuentran IOActive, Kaspersky Lab, Bastille y Cloud Security Alliance. Ha sido impulsada por el ‘hacker’ argentinoCésar Cerrudo, después de publicar un estudio (‘An Emerging US (and World) Threat: Cities Wide Open to Cyber Attacks‘) en el que recopila toda una serie de problemas que pueden darse (y ya se han dado) en las ciudades que no invierten lo que deberían en ciberseguridad.

“Me di cuenta de que necesitaba hacer algo para mejorar esto”, explica Cerrudo. Según el investigador, muchas de las ciudades que se preparan para convertirse en inteligentes están empezando a invertir en soluciones y en productos de seguridad, pero ” no se están enfocando en las causas de los problemas ni en prevenirlos”. A su juicio, producir parches puntuales y no atacar la base del problema es un gran error. Hay que buscar soluciones reales.

> LUCES FUERA

Varias ciudades de todo el mundo han implantado o planean implementar todo tipo de dispositivos relacionados con la energía inteligente, capaces de regular el consumo de las farolas teniendo en cuenta factores como la hora, la cantidad de luz natural o el lugar en que se encuentran. Un cibercriminal que se proponga causar daño a través de estos dispositivos podría alterar la actividad normal del alumbrado público.

Con luces interconectadas unas con otras que se pueden manejar de forma centralizada podrían dejar toda una ciudad sin energía o causar apagones en sectores determinados. “Cuando una ciudad no tiene energía es como cuando una persona se va quedando sin sangre”, afirma Cerrudo. “No puede hacer nada porque todo depende de ello”.

¿Te imaginas lo que podría suceder si las carreteras se quedaran completamente a oscuras?

Según la investigación del ‘hacker’, muchos sistemas de alumbrado público inalámbrico – con problemas evidentes de cifrado – se están empezando a utilizar en ciudades de todo el mundo. En la misma línea, los investigadores españoles Alberto García y Javier Vázquez descubrieron en 2014 que los contadores inteligentes de una importante compañía que opera en España eran vulnerables y cualquiera con los conocimientos adecuados podría controlarlos.

> ACCIDENTES MASIVOS

Atacar los sistemas inteligentes que controlan (o controlarán) el tráfico – semáforos, cámaras y todo tipo de pantallas señalizadoras – tampoco es un escenario de ciencia ficción. El propio Cerrudo descubrió que cerca de 200.000 dispositivos relacionados con el tráfico de ciudades como Washington DC, Nueva York, Seattle, San Francisco, Londres, Lyon o Melbourne eran vulnerables, no estaban cifrados y, por tanto, cualquier atacante podría controlarlos a su antojo.

Si esos sistemas dejaran de funcionar o comenzaran a comportarse de forma inusual, “en ciudades con mucha población y tráfico generaría el caos”, afirma el investigador. Los coches no podrían circular debidamente, y se producirían atascos o accidentes, solo con modificar un semáforo. ” Un simple problema en una esquina se puede propagar a muchos kilómetros”.

Si además un ciberdelincuente logra vulnerar las cámaras de vigilancia de una ciudad, las autoridades no podrán ver qué está pasando. “Se quedarán ciegas”. Además, Cerrudo nos recuerda que muchas localidades emplean cámaras del mismo fabricante: si una se ve comprometida, lo están todas.

Está probado que los sistemas de control del tráfico pueden tener vulnerabilidades

Está probado que los sistemas de control del tráfico pueden tener vulnerabilidades

El caos podría desatarse no solo por un ciberataque, sino también por culpa de algún fallo en una infraestructura crítica. En 2012, un error informático en California citó a 1.200 personas a declarar en el mismo juzgado y en la misma mañana. Todos intentaron llegar a tiempo a la cita, a las ocho de la mañana, pero lo único que consiguieron fue crear un gran atasco en las carreteras principales. También en California, en 2013, un problema informático provocó el cierre del metro de San Francisco durante toda una noche, lo que afectó a 19 trenes y dejó a cerca de 1.000 pasajeros atrapados en su interior.

No son situaciones hipotéticas que puedan darse en una futura ciudad inteligente: es algo que ya ha ocurrido con programas informáticos sencillos cuando no se había implementado una correcta estrategia de seguridad.

> APLICACIONES LOCAS

La situación podría ser aún más apocalíptica si alguien decidiera atacar un gran número de diferentes tipos de sensores inalámbricos, “que son el punto clave de estas ciudades, pues son los que están enviando continuamente a los sistemas [en tiempo rea] información para que tomen decisiones”. Por ejemplo, los atacantes podrían simular terremotos, derrumbes en puentes o túneles, inundaciones y desatar un pánico generalizado en base a una falsa alarma.

Si una ciudad es propensa a sufrir inundaciones, un cibercriminal podria manipular ciertos sensores encargados de controlarlas (de avisar, prevenir y anticipar) para que envíen información falsa a los sistemas, provocando que expertos y ciudadanos piensen – aunque sea por un momento – que una parte de la ciudad se está inundando.

Ahora que hay aplicaciones para casi todo, las que se encargan de enviar advertencias podrían informar a sus usuarios sobre las medidas deben tomar, haciendo que el impacto sea aún mayor. A través de esas ‘apps’, en un contexto más cotidiano, se podría hacer llegar al ciudadano el bulo de que su autobús va a retrasarse varias horas, forzando que decida coger el coche para desplazarse de un lugar a otro. Cientos o miles de personas tomarían simultáneamente la misma decisión.

Las aplicaciones móviles también pueden ser manipuladas para confundir a los ciudadanos

En tiempos de la ciudad inteligente, los atacantes no tendrían que actuar a ciegas. Pueden basarse en datos reales que las autoridades ponen a disposición de desarrolladores y ciudadanos a través de portales públicos. De esta forma, gracias al llamado ‘open data’, un cibercriminal puede saber exactamente cuándo va a llegar un autobús, en qué momentos el tráfico es más intenso o en qué lugares hay una aglomeración mayor de peatones. Información de acceso libre que puede ser utilizada para planear y coordinar ataques.

Además, algunas de las vulnerabilidades aparecen, según Cerrudo, por la intersección entre tecnología antigua y tecnología nueva. Lo explica con el ejemplo del Burj Khalifa, un rascacielos de Dubai que, a pesar de estar entre los más ‘inteligentes’ del mundo, utiliza como sistema operativo el viejo Windows XP, que ya no tiene soporte técnico de Microsoft. Su inseguridad hace difícil (casi imposible) proteger debidamente el edificio.

Los fabricantes deberían preocuparse más por sus productos

Lo más preocupante desde el punto de vista de los investigadores es que un incidente aislado puede descencadenar todo un efecto dominó. ” Un problema pequeño en un susbistema puede tener un efecto impredecible en toda la ciudad”, dice Cerrudo. Hay tres especialmente relevantes – los que regulan el tráfico, los que se encargan de las comunicaciones y los que gestionan el suministro eléctrico – y están interconectados. Por ejemplo, si un tranvía tiene que pasar por una calle, los semáforos deberán ponerse en rojo para permitirle el acceso. Si alguien modificara esos semáforos, el convoy no pararía y podría provocar un accidente.

Si las ciudades no están invirtiendo cómo deberían en seguridad informática, de acuerdo con Cerrudo, es por falta de conocimiento. “Además, no hay un reclamo por parte de la ciudadanía, no lo ven como un problema porque aún no son comunes los ataques a sistemas de la ciudad”. Sin embargo, “el ciberterrorismo podría estar a la vuelta de la esquina”. No pretende hacer que cunda el pánico, pero el investigador señala que también los grupos extremistas reclutan a gente capacitada, con estudios universitarios, y pueden utilizar sus habilidades para conseguir sus objetivos.

“Cuando los terroristas tengan gente capacitada para lanzar ciberataques de gran impacto no dudo que lo vayan a hacer”, sentencia César. Que lo consigan o no dependerá en buena medida de lo preparadas que estén las ciudades para evitar que sus infraestructuras y sistemas informáticos sean atacados.

Fuente | Hojaderouter

_mercedesbenzf1053_6c38fb12

La promesa del coche conectado es fantástica. Vehículos que facilitan la conducción, que minimizan el consumo, que aportan todo tipo de opciones de control y comodidad y que teóricamente ayudan a minimizar los riesgos en la carretera.

Pero todas esas prestaciones podrían tener un precio demasiado elevado. Los recientes descubrimientos de vulnerabilidades en coches de diversos fabricantes han hecho que muchos se den cuenta de que un coche conectado es también un coche expuesto. Y mucho.

> Los fabricantes comienzan a vislumbrar los peligros

La actitud de los fabricantes tradicionales ha sido la de no colaborar con esos expertos en seguridad e incluso demandarles. En Ars Technica comprobaron como gigantes como GM o Chrysler no quisieron hablar sobre el tema, y Ford simplemente envió un comunicado oficial en el que afirmaba seguir muy de cerca la investigación en materia de ciberseguridad y cómo había afectado a otras empresas recientemente.

Tesla es mucho más abierta en este sentido y de hecho recientemente puso en marcha un programa de búsqueda de vulnerabilidades que permite ganar 10.000 dólares a aquellos que logren encontrar fallos de seguridad reproducibles. De hecho, su CTO, JB Straubel, quiso estar respondiendo a dudas durante la presentación de la vulnerabilidad que dos expertos encontraron en sus Tesla S y que mostraron en la conferencia DEF CON.

No ocurrió igual con los descubridores del fallo de seguridad en los coches del conglomerado Fiat Chrysler. A pesar de que los expertos trabajaron con los responsables de la firma para lanzar un parche y solucionar el problema, la actualización se ofreció en forma de una llave USB que los propietarios podían aplicar voluntariamente, pero que no se publicó como algo obligatorio.

> Amenazas por doquier

Aunque la operadora Sprint que trabaja con esta firma acabó bloqueando el acceso remoto a los coches de Chrysler afectados cuando se desvelaron las vulnerabilidades en la conferencia Black Hat, un vídeo publicado en Wired demostró que el ataque era posible. Eso causó el anuncio para que un millón de coches tuvieran que pasar por el taller para que se les efectuase la actualización de forma obligatoria.

650_1200

La integración de todo tipo de sensores en los coches hace que los potenciales objetivos de vulnerabilidades para aprovechar por parte de los ciberatacantes sean múltiples. El uso de llaves “presenciales” que son detectadas a través de ondas de radio de baja potencia, la presencia de dispositivos conectados al conector ODB II (On-board Diagnostics II, necesario para pruebas de emisiones de gases), el soporte de comunicaciones de datos directas en el vehículo, e incluso los sensores de la presión de las ruedas son algunos de los ejemplos.

Algunas de las vulnerabilidades expuestas por los investigadores han demostrado (PDF aquí) que hacer uso de ataques man-in-the-middle en sistemas de inicio del motor sin llave (keyless) es una de las muchas posibilidades, pero es que aun cuando esos sistemas estén protegidos, hay otro eslabón débil en esa cadena: las aplicaciones móviles.

Sammy Kamkar, el experto que desveló estos problemas en DEF CON, indicó que las aplicaciones que usamos en los smartphones y que se conectan a los servicios telemáticos de los coches de varios fabricantes tiene problemas de seguridad notables. Muchos de ellos permiten monitorizar la posición de estos coches, o abrirlos y arrancarlos remotamente.

1024_2000

Era el caso de coches de General Motors, BMW, Mercedes-Benz y Fiat Chrysler. Y a todo ello se le suman las vulnerabilidades de los sistemas y servicios accesibles en la nube: los servidores que albergan dichos servicios tampoco son infalibles.

La integración de más y más software en los coches plantea riesgos potenciales enormes. Lo comentaba Dan Geer, el máximo responsable de seguridad en la empresa In-Q-Tel, financiada por la CIA y orientada a financiar a otras empresas que puedan “incubar tecnologías que puedan ayudar a operaciones de inteligencia“. Este experto lo dejaba claro:

El número total de fallos de seguridad crecerá a medida que crezcan las líneas de código. El número total de puntos de acceso a código que se pueda explotar crece a medida que el número de dispositivos en la red crece. Y el número total de adversarios puede crecer porque ahora hemos demostrado que el hacking de coches ya no es teórico, sino real.

Todo ello no hace más que dejar claro que cuanta más tecnología introducimos en un coche, mayor es el compromiso con la garantía de seguridad existente en dicho vehículo. Todos esas funciones añadidas por los fabricantes aportan más y más comodidad, pero estos problemas y las amenazas para el futuro hacen que el sacrificio sea quizás demasiado importante. Y además está otro componente clave en esa amenaza: el CAN.

650_1200 (1)

La arquitectura CAN –Controller Area Network– utilizada en los coches permite interconectar componentes que tienen que ver con los sistemas básicos -el control del motor, el encendido, la dirección o el funcionamiento del bloqueo de los frenos- pero también se suele usar en la interconexión de otros sistemas telemáticos del coche como los que proporcionan el ocio multimedia o la navegación con mapas.

Muchos fabricantes separan un controlador (básico) de otro, pero el problema es que aunque originalmente se fabricaron estos CANs con acceso de solo lectura, la integración de nuevas funciones hacía necesaria el acceso a estas unidades de control, y eso imponía nuevos riesgos que se han aprovechado, sobre todo, a través de su conexión con el citado ODB II.

Este puerto de diagnóstico se ha utilizado en el pasado para realizar modificaciones del motor -algo así como el overclocking o el jailbreak que hacemos a nuestros PCs o a nuestros móviles-, pero sus implicaciones actuales son mucho más profundas. Como explican en Ars Technica, diversos expertos en seguridad lograron precisamente acceder al control de diversos sistemas a través de ese puerto ODB II, algo que de nuevo demuestra las implicaciones de seguridad que están presentes.

> Los coches autónomos serán, además, unos verdaderos chivatos

Lo que está sucediendo en el ámbito de los coches tradicionales que conducimos a diario es tan solo la antesala de lo que podría ocurrir en el futuro. Parece casi inevitable pensar en la implantación masiva del coche autónomo en nuestras vidas. Es cierto que ese cambio radical en nuestras calles y carreteras no tendrá lugar de forma inmediata, pero todo apunta a que llegará irremediablemente.

1024_2000 (1)

Esos coches autónomos serán también coches conectados, y en este ámbito aparecerán muchos más elementos en esa interconexión. Las ventajas serán muchas para la seguridad y la comodidad de los pasajeros, pero los inconvenientes en materia de ciberseguridad crecerán de forma exponencial.

Las aseguradoras tendrán a los mejores chivatos del mundo para saber qué ha ocurrido con exactitud: nuestros coches.

En ese futuro parece evidente que los coches se comunicarán con otros: mi coche sabrá cuándo el que está al lado pretende cambiar de carril o cuándo un kilómetro más allá hay un accidente. Pero esa enorme red de comunicación en la que se hablarán los vehículos también estará sujeta a los riesgos de seguridad de cualquier otra red informática.

Nos lo explicaba con claridad Román Ramírez (@patowc), experto en seguridad y creador de las conferencias Rooted CON. En primer lugar, en el funcionamiento de las aseguradoras, que según él “no pondrán fácil que haya conductores humanos“. El planteamiento de este experto era el mismo que el de otros analistas que lo dejan claro: en un futuro con coches autónomos no puede haber conductores humanos, porque precisamente éstos serán los que introducirán la mayor variable de riesgo en las carreteras.

Además, en ese futuro esas mismas aseguradoras tendrán a los mejores chivatos del mundo para saber qué ha ocurrido con exactitud: nuestros coches. Cualquier evento que se produzca será registrado por los vehículos implicados, que a su vez compartirán esos datos con las aseguradoras para gestionar el potencial accidente.

> La industria tecnológica presta su ayuda

La preocupación por la situación actual -y sobre todo, futura- de este segmento ha hecho que algunos comiencen a mover ficha. Es el caso de la organización I Am The Cavalry, especializada en ciberseguridad aplicada a diversos tipos de vehículos, y desde la que sus responsables quieren concienciar a los fabricantes de coches para tomar muy en serio este tipo de amenazas.

1024_2000 (2)

Este grupo de expertos han puesto en marcha un programa con cinco “estrellas” -así las llaman- con las que paso a paso tratan de guiar a los fabricantes en los procesos que deberían ayudar a proteger este área en sus vehículos. El proceso es exigente y de hecho solo Tesla ha conseguido dos de esas estrellas (la que implica que la seguridad es clave en las fases de diseño, y la que hace que el fabricante colabore con terceras partes), pero esto es solo el principio.

Iniciativas como las del organismo I Am The Cavalry tratan de concienciar a los fabricantes y hacer que trabajen con quien mejor conoce esos riesgos: la comunidad de ciberseguridad.

No son los únicos en tratar de lidiar con el problema. Intel ha creado lo que llaman el Automotive Security Review Board, formado por investigadoras que quieren desarrollar y evaluar técnicas y estrategias para lograr que el software de nuestros coches sea más seguro. Esta empresa ha publicado ya una serie de sugerencias (PDF), y es una muestra más de que los grandes de la tecnología -los que mejores saben a qué se riesgos se enfrenta la industria automovilística- están dispuestos a ayudar en este terreno.

Esa conexión continua a esa red de datos constituida por estos vehículos de la que hablábamos tendrá por supuesto enormes implicaciones para la seguridad. Lograr una intrusión en estos vehículos tendría consecuencias desastrosas que irían desde los homicidios a los magnicidios. Los virus y el malware que asolan nuestros ordenadores podrían inundar también a estos coches, y la única solución posible es la que apuntan otros expertos en seguridad: que la industria del automóvil se alíe con la de la seguridad.

1024_2000 (3)

Este experto nos explicaba cómo los responsables de las empresas tradicionales deben asumir su responsabilidad, y “deben tener en cuenta la seguridad desde el diseño”. Al hablar de la propuesta de I Am The Cavalry Ramírez dejaba claro que este sistema de “ratings” era precisamente lo ideal para comenzar a trabajar con los fabricantes. No solo eso: esas calificaciones deberán ser comunicadas a los clientes, algo que podría compararse a lo que ocurre con la eficiencia energética de algunos electrodomésticos.

Existen al menos dos paralelismos claros en este ámbito. En aviación, por ejemplo, hay unos estándares muy estrictos porque se trata de un medio de transporte especialmente delicado. Esa idea es difícilmente aplicable a la industria de la automoción, explica Ramírez, que cree que es posible la innovación propietaria que llevan a cabo estos fabricantes sin que ello sea obstáculo para establecer ese marco de seguridad unificado.

Pero además estaba el caso de los teléfonos en empresas. Antes en una empresa se controlaban todos los teléfonos de los empleados, algo que permitía reducir los riesgos de seguridad y a gestionar de forma centralizada las comunicaciones profesionales. Ahora la filosofía BYOD se ha impuesto y las empresas tienen menos autonomía para lograr que los problemas de seguridad no se produzcan por culpa de un terminal que el empleado utiliza tanto en su vida privada como en su labor profesional.

> Es el turno de los fabricantes

Como explicaba Cory Doctorow en BoingBoing, la única defensa contra estas amenazas es la de lograr que los fallos se descubran por parte de gente que quiere ayudar e informar a los fabricantes. Obviamente estos tienen otros intereses, y como ha ocurrido en otros ámbitos, que se descubra una vulnerabilidad grave en sus vehículos puede resultar desastroso para las ventas o la imagen de marca.

imagen-sin-titulo

Pero Doctorow va más allá y nos recuerda cómo muchos fabricantes tienen una visión demasiado cerrada en este tema. En General Motors, por ejemplo, creen que no somos propietarios de nuestro coche –¿recordáis los tractores de John Deere?-, y que la investigación de vulnerabilidades es una forma de piratería. Y hay más:

La mentalidad de los fabricantes puede condenar definitivamente a la industria: debe cambiar de forma radical o la exposición será terrible.

Chrysler fue repetidamente informada sobre el fallo que causó la retirada para reparación de 1,4 millones de vehículos y no hizo nada hasta que el asunto saltó a las portadas. Volkswagen demandó a los investigadores de seguridad y a las organizaciones técnicas que descubrieron los principales fallos del sistema de entrada sin llaves de sus coches.

Son solo algunos ejemplos de una mentalidad que puede condenar definitivamente a la industria, y que debe cambiar de forma radical si no queremos que esos coches que cada vez son más ordenadores con ruedas se conviertan en un peligro muy real en una rutina diaria a la que tendremos que enfrentarnos en el futuro.

Fuente | Xataka, Ars Technica

A %d blogueros les gusta esto: