miércoles, 13 de agosto de 2014

Black Hat: El internet de los coches aumenta su riesgo de ser pirateados

Un hacker que accediese al sistema podría controlar aspectos como la frenada y la velocidad de crucero de forma remota
POR ROBERT LEMOS TRADUCIDO POR FRANCISCO REYES

A medida que más coches incorporen conectividad inalámbrica y aplicaciones, un mayor número de ellos serán vulnerables a la piratería informática potencialmente peligrosa, advirtieron dos conocidos investigadores durante la conferencia de seguridad Black Hat celebrada en Las Vegas (EEUU) la semana pasada.

En un estudio de casi 20 vehículos distintos, el ingeniero de Seguridad de Twitter, Charlie Miller, y el director de Investigación de Seguridad de Vehículos en la firma de servicios de seguridad IOActive, Chris Valasek, llegaron a la conclusión de que la mayoría de los sistemas de control no han sido diseñados teniendo en cuenta la seguridad y podrían verse comprometidos de forma remota. Los dos investigadores han creado unas clasificaciones de ciberseguridad de vehículos, que se publicarán en un artículo próximamente.

"Cuando quieres comprar un coche abres una revista y ves: 'Estas son las características de seguridad del vehículo", señaló Valasek. "¿Por qué no podemos, como la industria de la seguridad que somos, empezar a hacer informes que digan: 'Estos coches tienen buena ciberseguridad y estos coches no'?".

A medida que la industria del automóvil añade más sistemas de control digitales y ordenadores integrados, resulta más fácil piratear los vehículos. En 2011, investigadores de la Universidad de Washington y la Universidad de California en San Diego (ambos en EEUU) analizaron un sedán de precio medio y descubrieron que podía verse comprometido insertado un disco en el reproductor de CD, a través del equipo mecánico y de una conexión móvil.

Desde entonces otros grupos de investigación han estudiado la seguridad del coche y han demostrado formas de hacerse con el control de los frenos, la aceleración y otras funciones. Los vehículos de gama alta suelen tener características computarizadas como el control automático de los frenos y la aceleración, para la prevención de colisiones y el control de crucero inteligente, así como dirección automática para permitir el autoaparcamiento y la capacidad de permanecer centrado en un carril.

Los ataques contra los sistemas de control de los automóviles consisten en tres pasos, según Valasek y Miller. El atacante tiene que encontrar una forma de infiltrarse en el sistema del vehículo. A continuación debe utilizar esa vulnerabilidad para enviar un comando a la unidad de control electrónico, y finalmente hacer que la unidad ejecute el comando.

Dada la proliferación del acceso inalámbrico en los vehículos, especialmente la conectividad Bluetooth y celular, la ejecución remota es cada vez más posible. La viabilidad de enviar comandos a las unidades de control electrónico que gestionan las diferentes funciones del vehículo depende del diseño del coche.
Las empresas de automóviles tienen que diseñar sus sistemas para detectar los intentos de abuso y evitar que la seguridad se vea comprometida, señaló Miller: "Hay que hacer que cada uno de estos tres pasos sea más difícil para el atacante".

Sin embargo la competencia de los fabricantes de automóviles por añadir características, como aplicaciones para la navegación o para escuchar música, podría aumentar el número de vehículos vulnerables, añadió Miller. "Las aplicaciones para coches y las funciones tipo escritorio plantean enormes amenazas a corto plazo", aseguró.

Integrar la seguridad en los vehículos es especialmente importante porque la aplicación de parches de software es problemática. Para actualizar el software de un coche hay que llevarlo a un concesionario de servicio, un paso que la mayoría de propietarios no están dispuestos a dar.

"Cuando te llegan los avisos por correo [para cambiar alguna característica defectuosa], los ignoras", señaló Valasek. "Si se abusa de algún tipo de vulnerabilidad real, va a ser muy difícil ponerle un parche al problema". (MIT)

No hay comentarios:

Publicar un comentario