¿Pueden los hackers REALMENTE hacerse cargo de tu auto?
Zubie es una pequeña caja que se enchufa en el puerto de Diagnóstico a bordo (ODBII) que se encuentra en la mayoría de los automóviles modernos. Permite a los usuarios descubrir qué tan bien están conduciendo y ofrece consejos para extender su kilometraje con una conducción sensata y económica. Y hasta hace poco, Zubie contenía un grave error en la seguridad que podía dejar a los usuarios vulnerables a que su automóvil fuera secuestrado de forma remota..
El hoyo, descubierto por los ex alumnos de la Unidad 8200, el equipo de ciberseguridad de élite de la Fuerza de Defensa Israelí, podría ver a los atacantes interferir de forma remota con el frenado, la dirección y el motor..
Zubie se conecta a un servidor remoto a través de una conexión GPRS, que se utiliza para enviar los datos recopilados a un servidor central, así como para recibir actualizaciones de seguridad.
Los investigadores descubrieron que el dispositivo estaba cometiendo uno de los pecados principales de la seguridad de la red y no se comunicaba con el servidor doméstico a través de una conexión cifrada. Como resultado, pudieron falsificar el servidor central de Zubie y enviar algún malware especialmente diseñado al dispositivo.
A continuación se detallan más detalles del ataque, y le complacerá saber que el problema ya se ha solucionado. Sin embargo, plantea una pregunta interesante. ¿Qué tan seguros son nuestros coches??
Separando el hecho de la ficción
Para muchos, la conducción no es un lujo. Es una necesidad
Y es una necesidad peligrosa en eso. La mayoría de las personas están muy familiarizadas con los riesgos asociados con ponerse al volante. Los accidentes automovilísticos son uno de los mayores asesinos del mundo, con 1.24 millones de vidas perdidas en la carretera solo en el año 2010.
Pero las muertes en carreteras están disminuyendo, y esto se debe en gran medida a la mayor penetración de las sofisticadas tecnologías de seguridad vial. Hay demasiados de estos para enumerarlos de manera exhaustiva, pero quizás el ejemplo más frecuente sea OnStar, disponible en los EE. UU., Canadá y China..
La tecnología, disponible exclusivamente en automóviles GM, así como otros vehículos de compañías que han optado por licenciar la tecnología, controla la salud de su automóvil. Puede proporcionar instrucciones paso a paso, y puede brindar asistencia automáticamente si se encuentra en lugar de un accidente..
Casi seis millones de personas se suscriben a OnStar. Muchos más utilizan un sistema telemático, que permite a las aseguradoras hacer un seguimiento de cómo se conducen los automóviles y adaptar los paquetes de seguros para recompensar a los conductores sensibles. Justin Dennis revisó recientemente algo similar llamado Metronome by Metromile. Rastree su kilometraje, los costos de combustible y más con un dispositivo OBD2 gratuito. Rastree su kilometraje, los costos de combustible y más con un dispositivo OBD2. Hoy en día, todo parece ser inteligente, excepto nuestros autos. Este dispositivo y aplicación ODB gratuitos lo cambian. Leer más, que está disponible gratuitamente para los residentes de Washington, Oregón, California e Illinois. Mientras tanto, muchos autos posteriores a 1998 pueden ser interrogados y monitoreados a través del puerto de diagnóstico ODBII gracias a Android Cómo monitorear el desempeño de su automóvil con Android Cómo monitorear el desempeño de su automóvil con Android Monitorear toneladas de información sobre su automóvil es increíblemente fácil y barato con su Android dispositivo - aprende sobre esto aquí! Leer más y aplicaciones para teléfonos inteligentes iOS.
A medida que estas tecnologías han llegado a la ubicuidad, también lo es la conciencia de que pueden ser pirateadas. En ningún otro lugar es más evidente que en nuestra psique cultural..
El thriller de 2008, Untraceable, destacó un auto equipado con OnStar que fue "bloqueado" por el antagonista de la película para atraer a alguien a una trampa. Mientras que en 2009, la empresa holandesa de TI InfoSupport lanzó una serie de anuncios publicitarios que mostraban a un pirata informático ficticio llamado Max Cornellise, que se pirateaba a distancia en sistemas de automóviles, incluido un Porsche 911, utilizando solo su computadora portátil..
Entonces, con tanta incertidumbre sobre el tema, es importante saber qué se puede hacer y qué amenazas permanecen en el dominio de la ciencia ficción..
Una breve historia de hacking de coches?
Fuera de Hollywood, los investigadores de seguridad han logrado algunas cosas bastante aterradoras con los autos..
En 2013, Charlie Miller y Chris Valasek demostraron un ataque en el que comprometieron un Ford Escape y un Toyota Prius y lograron controlar las instalaciones de frenado y dirección. Sin embargo, este ataque tuvo un gran inconveniente, ya que estaba supeditado a la conexión de una computadora portátil al vehículo. Esto dejó a los investigadores de seguridad curiosos, y preguntándose si era posible lograr lo mismo, pero sin estar físicamente atado al auto..
Esa pregunta fue respondida de manera concluyente un año después, cuando Miller y Valasek realizaron un estudio aún más detallado sobre la seguridad de 24 modelos diferentes de autos. Esta vez, se estaban enfocando en la capacidad de un atacante para realizar un ataque remoto. Su extensa investigación produjo un informe de 93 páginas, que se publicó en Scribd para coincidir con su charla de seguimiento en la conferencia de seguridad de Blackhat en Las Vegas.
Sugirió que nuestros autos no son tan seguros como se pensaba, ya que muchos carecen de las protecciones de seguridad cibernética más rudimentarias. El informe condenatorio destacó que el Cadillac Escalade, Jeep Cherokee y el Infiniti Q50 son los más vulnerables a un ataque remoto..
Cuando observamos el Infinity Q10 específicamente, vemos algunos errores importantes en la seguridad.
Lo que hace que el Infiniti sea tan convincente como un automóvil es también lo que lo hace tan vulnerable. Al igual que muchos autos de alta gama producidos en los últimos años, viene con una serie de características tecnológicas diseñadas para hacer que la experiencia de conducción sea más agradable. Estos incluyen desde el desbloqueo sin llave hasta el monitoreo inalámbrico de la presión de los neumáticos, hasta una aplicación de teléfono inteligente para "asistente personal" que interactúa con el automóvil..
Según Miller y Vlasek, algunas de estas características tecnológicas no están aisladas, sino que están directamente conectadas en red con los sistemas responsables del control y frenado del motor. Esto deja abierta la posibilidad de que un atacante obtenga acceso a la red interna del automóvil y luego explote una vulnerabilidad ubicada en uno de los sistemas esenciales para estrellarse o interferir con el vehículo..
Cosas como el desbloqueo sin llave y los 'asistentes personales' se están considerando rápidamente como elementos esenciales para los conductores, pero como Charlie Miller lo señaló de manera sobresaliente, “Da un poco de miedo que todos puedan hablar entre ellos.”
Pero todavía estamos muy en el mundo de lo teórico. Miller y Vlasek han demostrado una posible vía para un ataque, pero no un ataque real. ¿Hay algún ejemplo de alguien que haya logrado interferir con los sistemas informáticos de un automóvil??
Bueno, no hay escasez de ataques dirigidos a funciones de desbloqueo sin llave. Uno incluso se demostró a principios de este año en la Conferencia de Seguridad Blackhat en Las Vegas por el investigador de seguridad australiano Silvio Cesare.
Usando tan solo $ 1000 en herramientas listas para usar, pudo falsificar la señal de un llavero, lo que le permitió desbloquear un auto de forma remota. El ataque se basa en la presencia física de alguien cerca del automóvil, potencialmente durante unas pocas horas, ya que una computadora y una radio-antena transmiten los intentos de forzar el receptor del sistema de desbloqueo sin llave del vehículo..
Una vez que el auto ha sido abierto, el atacante podría potencialmente intentar robarlo o ayudarse a sí mismo con cualquier artículo desatendido dejado por el conductor. Hay mucho potencial de daño aquí.
Hay defensas?
Eso depende.
Ya existe algún tipo de protección contra la vulnerabilidad de acceso remoto descubierta por Charlie Miller y Chris Valasek. En los meses transcurridos desde su conversación con Blackhat, han podido construir un dispositivo que actúa como un sistema de detección de intrusos (IDS). Esto no detiene un ataque, sino que indica al conductor cuándo puede haber un ataque en curso. Esto cuesta alrededor de $ 150 en partes y requiere un poco de conocimientos de electrónica para construir.
La vulnerabilidad de Zubie es un poco más complicada. Aunque el agujero ya ha sido reparado, la debilidad no estaba en el automóvil, sino en el dispositivo de terceros que estaba conectado a él. Si bien los autos tienen sus propias inseguridades arquitectónicas, parece que agregar extras adicionales solo aumenta las posibilidades de ataque..
Quizás la única manera de ser. verdaderamente Seguro es conducir un coche viejo. Uno que carece de los sofisticados timbres y silbidos de los automóviles modernos de alta gama y que resiste la necesidad de meter cosas en su puerto ODBII. Hay seguridad en la simplicidad..
¿Es seguro manejar mi auto??
La seguridad es un proceso evolutivo..
A medida que las personas obtienen una mayor comprensión de las amenazas que rodean un sistema, el sistema evoluciona para protegerse contra ellas. ¿Pero el mundo del automóvil no ha tenido su ShellShock peor que el corazón? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux, ¿peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux. Lea más o use HeartBleed Heartbleed. ¿Qué puede hacer para mantenerse seguro? Heartbleed - ¿Qué puedes hacer para mantenerte seguro? Lee mas . Me imagino que cuando experimente su primera amenaza crítica: si es el primer día cero, si lo desea, los fabricantes de automóviles responderán de manera adecuada y tomarán medidas para hacer que la seguridad del vehículo sea un poco más rigurosa..
Pero qué piensas? ¿Es eso un poco optimista? ¿Te preocupa que los hackers se apoderen de tu auto? Quiero oír hablar de eso. Déjame un comentario abajo.
Créditos fotográficos: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com
Explorar más sobre: OBD-II.