Esta semana se celebra la convención para hackers Black Hat en Las Vegas, y de ahí que en los últimos días estemos leyendo noticias preocupantes que afectan a nuestra seguridad, especialmente en aspectos de nuestra vida diaria como coger un avión o incluso montarnos en nuestro coche. Este es uno de los vectores de ataque que mas popularidad tendrá en los próximos años, debido a la implementación de sistemas cada vez mas complejos en nuestros vehículos; antes para “hackear” un coche teníamos que romper la ventana y hacer “un puente”, pero ahora que estos coches obtienen funcionalidades adicionales con ordenadores de a bordo y sistemas operativos completos, los hackers informáticos ganan protagonismo.

Ese es el tema de una de las conferencias mas importantes de la Black Hat, en la que se repasarán las vulnerabilidades mas comunes en los sistemas actuales, y qué coches son mas fácilmente “hackeables” y cuáles son mas seguros. Como avance, los investigadores detrás del estudio, Charlie Miller y Chris Valasek, han desvelado algunos de los coches que han probado y cómo se han comportado ante sus ataques; y no son buenas noticias para los fabricantes.

Cada vez mas completos, y abiertos a ataques

Entre los coches que pueden ser atacados por hackers mas fácilmente están el nuevo Toyota Prius 2014, el Cadillac Escalade 2015 y el Jeep Cherokee del 2014. Como veis son coches nuevos, que en algunos casos han promocionado sus nuevas tecnologías como un gran avance para el conductor, sin tener en cuenta los posibles agujeros de seguridad que dejan. Por su parte, los coches con los que los investigadores se encontraron mas dificultades fueron el Audi A8, el Dodge Viper y el Honda Accord.

microsoft-coche

Dependiendo de la vulnerabilidad, un atacante puede afectar al coche de diferentes maneras, desde activar los micrófonos para espiar hasta mover el volante o deshabilitar los frenos; sin embargo, el hecho de que cada fabricante implemente sus propios sistemas, incluso con sistemas diferentes dependiendo del modelo, hace que no exista un solo método para conseguir el control de todos los coches. Esto es algo bueno porque dificulta la tarea del atacante, pero también es algo malo porque dificulta el desarrollo de parches que solucionen esas vulnerabilidades; por eso en los últimos meses estamos viendo un intento por parte de algunos fabricantes de aliarse para contar con una plataforma única.

obd2

Para acceder a los sistemas de los coches existen dos métodos: a través de la conexión inalámbrica o a través del puerto OBD-II; en el caso de este último es bastante fácil acceder a funciones vitales del vehículo, pero es necesario tener acceso directo a él, y ya existen métodos para evitarlo. En cambio la conexión inalámbrica es una vía de entrada que hasta no hace mucho no era posible y que está abriéndole las puertas a los hackers al CAN (Controller Area Network), un bus interno que tienen todos los coches actuales que permite que microcontroladores y dispositivos se comuniquen entre sí. El problema es que los fabricantes están añadiendo cada vez mas funciones críticas al CAN, por lo que en cuanto un hacker obtiene acceso no solo es capaz de tomar el control de funciones menores (pero que afectan a la conducción) como la presión de los neumáticos, sino también de otras mas importantes como el control del volante. Y todo a través de una conexión inalámbrica.

Con el aumento de complejidad de los coches, también llega un aumento de agujeros de seguridad. Esto era inevitable y cualquiera con nociones de seguridad lo sabía; la clave estará en ver cómo reacciona la industria ante este tipo de amenazas.

Fuente | Dark Reading | Black Hat | Computer World