julio 24, 2015

YA ESTÁ AQUÍ: TU COCHE CONTROLADO POR HACKERS DE FORMA REMOTA

De vez en cuando (una vez cada muchos años), pasa algo bastante desagradable dentro del cibermundo, surgen nuevas maldades inesperadas que pueden derrotar al mundo entero. Para la mayoría de las personas es sólo una de las constantes y molestas cibersorpresas. Mis colegas y yo, normalmente asentimos, parpadeamos, hacemos gestos y levantamos las cejas a lo Roger Moore mientras exclamamos algo como: “Lo estábamos esperando Sr. Bond. ¿Por qué se ha tardado tanto?”

Por eso continuamos estudiando y analizando las tendencias principales de la Dark Web, para así hacernos una idea de quién está detrás de la oscuridad y las motivaciones que intervienen; de esta manera podemos predecir cómo se van a desarrollar las cosas.

Cada vez que uno de estos eventos “inesperados” ocurre, normalmente me encuentro en la delicada situación de dar un discurso (o discursos) junto con la frase “Bienvenido a la nueva era”. Lo más difícil de todo es admitir que estoy repitiendo un discurso de hace años. Lo fácil: solo tengo que actualizarlo un poco añadiendo algo como: “¡Les advertí sobre esto; y ustedes pensaron que los estaba alarmando para vender el producto!”

Bueno, es comprensible (a nadie le gusta que le digan “te lo dije”, así que continúo).

Entonces. ¿De qué sorpresa cibernética se trata esta vez? De hecho, una que me afecta especialmente: ¡el mundo de los automóviles!

Hace unos días, la revista Wired publicó un artículo con un enunciado que decía: “Conducía a 120 km/h bordeando el centro de San Louis, cuando el exploit empezó a controlar la camioneta”. ¡Eh!

La noticia describía un experimento exitoso en el que unos investigadores de seguridad de hackers tomaron el control de una camioneta de forma remota: analizaron (durante meses) el sistema de Uconnect de una Jeep Cherokee, finalmente encontraron una vulnerabilidad, y luego lograron tomar el control de las funciones críticas del vehículo vía Internet, ¡mientras que el periodista de Wired conducía el vehículo por una autopista! No estoy bromeando, amigos. Y no estamos hablando de un caso aislado probado en un laboratorio y que sólo afecta a un coche. No, la brecha de seguridad que encontraron y explotaron los investigadores, afecta casi a medio millón de coches. ¡Ups!

can2

Sin embargo, el problema de seguridad de los coches “inteligentes” no es nada nuevo. Primero bromeé sobre este tema en 2002. Bueno, fue el 1 de abril. ¡Pero ahora es de verdad! Ya sabes lo que dicen… Ten cuidado con las bromas (hay mucha verdad en ellas).

No sólo no se trata de un problema nuevo, también es bastante lógico que se vuelva algo serio: los fabricantes compiten por los clientes, y ya es difícil encontrar clientes que no lleven su smartphone a todas partes, es normal que el coche (cuanto más caro, más rápido) se haya transformado en su apéndice (el apéndice del smartphone, no del usuario, en caso de que alguien no me haya entendido bien).

Cada vez hay más funciones de los coches inteligentes que pueden ser controladas por el smartphone. Y el Uconnect no es la única; prácticamente cada fabricante de coches tiene su propia tecnología similar, unos más avanzados que otros: está el de Volvo On Call, el de BMW Connected Drive, MMI de Audi, COMAND de Mercedes-Benz, Onstar de GM, Blue Link de Hyundai y muchos más.

Más y más comodidades para el consumidor de los coches modernos. El problema es que en esta competición entre los fabricantes que intentan superarse unos a otros,la seguridad informática suele ser ignorada.

¿Por qué?

Primero, los fabricantes buscan ir por delante de los demás: tener la funcionalidad tecnológica más innovadora vía smartphones, vender coches. “¿Aspectos de seguridad? Eso lo vemos después, ¿no? No, esto era para ayer”.

En segundo lugar, el mercado de los coches por control remoto es un mercado con buenas perspectivas.

En tercer lugar, ¡aún! existe la tendencia en la industria automovilística de ver toda la tecnología computarizada de los coches como algo aparte, misterioso, como un capricho (¡sip!), y no como algo que forma parte de los coches, por lo tanto, nadie dentro de la industria quiere ensuciarse las manos con este tema; así que, los cerebros destinados a ello, son crónicamente insuficientes para crear una tecnología segura.

Todo esto se suma a una situación en la que los automóviles de lujo son cada vez más fáciles de hackear, y por lo tanto, fáciles de robar. Genial. Justo lo que el mundo necesita en estos momentos.

¿Pero qué…?

Vale. Ese es el esquema básico. Ahora vamos con los antecedentes técnicos y detallados para que tal vez podamos llegar a saber ¡qué #@*! está pasando aquí.

Allá por el año 1985, Bosch desarrolló CAN. No, no sus compatriotas rockeros vanguardistas (que llevan en funcionamiento desde 1968), sino un “controlador de red de área”, un bus (de acuerdo a la red de comunicación), el cual interconecta y regula el intercambio de datos entre diferentes dispositivos, de hecho, aquellos microcontroladores de los dispositivos, directamente, sin una computadora central.

Por ejemplo, cuando se presiona el botón de “AC”, el microcontrolador del salpicadero envía una señal al microcontrolador del aire acondicionado diciendo “enciéndelo, el conductor se quiere refrescar”. O cuando se pisa el freno, el microcontrolador del mecanismo del pedal envía una ordena las pastillas de freno para presionarlas contra los discos de freno.

can

En otras palabras, el sistema electrónico de un automóvil moderno es una red P2P (red de pares), diseñada hace unos 30 años. Aún mejor: a pesar del hecho de que se ha actualizado y mejorado el sistema de CAN durante más de 3 décadas, ¡sigue sin tener funciones de seguridad! Tal vez era de esperar, ¿qué seguridad extra se puede ser esperar de un puerto serial? El CAN también es un protocolo de bajo nivel y sus especificaciones afirman que su seguridad necesita ser proporcionada por dispositivos/aplicaciones que lo utilicen.

Tal vez no se leen los manuales. O tal vez están demasiado ocupados tratando de llevarles ventaja a sus competidores y tener las mejores ideas para sus coches inteligentes.

Sea cual sea la razón, el hecho fundamental que provoca todo el problema, sigue existiendo: algunos fabricantes de coches, exprimiendo el CAN cada vez más, sin considerar las reglas básicas de seguridad. Fijan en un mismo bus, el sistema completo informático de gestión que lo controla absolutamente todo, que no tiene ni control de acceso ni cualquier otra característica de seguridad, Y está conectado a Internet.

com

Al igual que en una gran red informática (como por ejemplo, Internet), los coches también necesitan una “división de confianza” estricta para los controladores. Las operaciones en un coche donde hay comunicación con el mundo exterior, ya sea la instalación de una app en el sistema de medios de una tienda online, o el envío de un diagnóstico del desempeño del coche al fabricante, necesita ser firme y segura desde el control del motor, la seguridad y otros sistemas críticos.

Si le enseñan un coche a un especialista en seguridad informática, en el que muchas de sus funciones pueden ser controladas por ejemplo desde una app de Android, éste podría demostrar en cuestión de segundos una docena de maneras diferentes de evadir sus sistemas de “protección” y tomar el control de las funciones que la app puede controlar. Este experimento podría demostrar también, cómo un coche no es tan diferente de una cuenta bancaria: éstas se pueden hackear con tecnologías especialmente diseñadas, en su caso con troyanos bancarios. Pero existe un método potencial que podría ser usado para hackear un coche al igual que una cuenta bancaria: con el uso de una vulnerabilidad, como en el caso de la Jeep Cherokee.

¿Hay alguna razón para alegrarse?…

…existen algunas.

Ahora, la industria automovilística (y casi todo el mundo) parece estar al tanto del grado de seriedad del problema de la ciberseguridad en el sector de los coches inteligentes (gracias a los investigadores de seguridad como aquellos del artículo de Wired, aunque algunos fabricantes están poco dispuestos a demostrar su gratitud abiertamente).

Una señal de esto es cómo recientemente la Alianza de Fabricantes de Automóviles de Estados Unidos (US Alliance of Automobile Manufacturers, en inglés), anunció la creación de un centro de análisis e intercambio de información, “que servirá como núcleo central de inteligencia y análisis, proporcionando un intercambio oportuno de información de ciberamenazas y vulnerabilidades potenciales en los electrónicos de vehículos, o asociados a redes a bordo de vehículos”. Simplemente no veo cómo pretenden continuar sin una industria de seguridad involucrada.

Y no es sólo la industria del motor la que está ahora a sus pies: horas después de la publicación del artículo de Wired (el momento de la publicación fue una simple coincidencia, informaron), se introdujo una nueva legislación federal en Estados Unidos, estableciendo la estandarización de la tecnología de la industria del motor en el campo de la ciberseguridad. Mientras tanto, continuamos trabajando con una gran variedad de marcas de coches, consultándoles para ver cómo conseguir que la ciberseguridad de sus coches inteligentes sea adecuada.

Como puedes ver, hay una luz al final del túnel. Sin embargo…

…sin embargo, el problema de ciberseguridad descrito, no está limitado únicamente a la industria del motor.

CAN y otros estándares, son utilizados en la fabricación, el sector de energía, transporte, utilidades, “casas inteligentes”, incluso en el ascensor del edificio de tu oficina, ¡por TODOS LADOS! Y en todas partes existe el mismo problema: el crecimiento de la funcionabilidad de esta nueva tecnología está avanzando a toda velocidad ¡sin tener en cuenta la seguridad!

Lo que parece ser más importante es seguir mejorando rápidamente la tecnología, haciéndola mejor que la de la competencia, dándole conectividad al smartphone y conectándola a Internet. Y luego se preguntan ¡cómo es posible controlar un avión a través del sistema de entretenimiento!

¿Qué hay que hacer?

Primero lo primero, necesitamos volver a las tecnologías previas a Internet, como el propulsor de aviones con sistemas de control mecánico analógico…

…No. Nadie planea viajar en el tiempo, y de todas maneras no funcionaría: las tecnologías del pasado son lentas, incómodas, ineficientes, inconvenientes, y… ¡mucho menos seguras! No, no hay vuelta atrás. ¡Sólo hacia adelante!

En nuestra era de polímeros, biotecnologías y todas las cosas digitales, estos avances están produciendo resultados muy extraños. Solo mira a tu alrededor y en tus bolsillos. Todo se mueve, vuela, se comunica, envía, recibe, intercambia… todo en grandes cantidades y velocidades más rápidas que en el pasado. Los coches (y otros vehículos) son sólo una parte de eso.

Todo esto hace que la vida sea más cómoda y conveniente, y la digitalización está resolviendo muchos problemas de confianza y seguridad. Pero desafortunadamente, al mismo tiempo están creando otros nuevos.Y si seguimos avanzando a esta velocidad, sin mirar atrás, improvisando a lo largo del camino para obtener la mejor funcionalidad, al final habrá consecuencias impredecibles, o hasta terribles. Un poco como pasó con el Zeppelin.

Existe una alternativa mucho mejor: lo que necesitamos son estándares industriales; arquitectura nueva, moderna y una actitud responsable en el desarrollo de funciones, teniendo en cuenta la seguridad como prioridad..

A fin de cuentas, el artículo de Wired nos dio a conocer una investigación muy interesante. Será aún más interesante cómo progresan las cosas en la industria a partir de ahora. Por cierto, en la conferencia de Black Hat en las Vegas en agosto, habrá una presentación de los autores del hackeo del Jeep,valdrá mucho la pena…

LOS COCHES INTELIGENTES PUEDEN SER HACKEADOS DE MANERA REMOTA. ES UN HECHO. PUNTO. ¿DEBERÍAMOS VOLVER A LA EDAD DE PIEDRA? @E_KASPERSKY LO EXPLICA:Tweet

PD: llámame retrógrada (de hecho solo soy algo paranoico), pero, no importa lo inteligente que sea la tecnología de un coche, yo simplemente la desactivaría si existiera la posibilidad. Pero claro, no la hay. Debería haber un botón cerca del botón de las luces: “¡Desactivar Ciber!”…

…PPD: Puedes decir: “Sigue soñando, Kasper”. Y tal vez estés en lo cierto: al paso que vamos, ¡muy pronto los coches no funcionarán si no se conectan a la nube!

PPPD: Pero la nube (y todos los coches conectados a ésta), serán hackeados a través de alguna función crucial, como el reconocimiento facial del conductor para acomodar el espejo y el asiento de manera automática.

PPPPD: Luego los coches serán gratuitos, pero estarán ligados a una red específica de estación de servicios, con pop-ups saltando en el parabrisas. Durante la publicidad de descanso, se tomará el control y se activará el modo automático de Google.

PPPPPD: ¿Qué más se les ocurre añadir a esta lluvia de ideas?

LEER COMENTARIOS 0
Deja una nota
Facebook

enero 19, 2018

Los resultados preliminares confirman el éxito de Kaspersky Lab en 2017

¡Hola, amigos! En contra de la tradición y sin que sirva de precedente, este año decidimos no esperar a nuestra auditoría financiera y publicar inmediatamente los resultados preliminares de ventas del año pasado. En los negocios, la cifra más importante del año son los ingresos. Así que, durante el 2017, las ventas de nuestros productos, […]

octubre 26, 2017

Más transparente que el aire que respiras

La reciente campaña negativa contra KL de la prensa estadounidense no fue de nuestro agrado, pero sacamos algo bueno de todo esto: nos ha permitido hacer ciertas observaciones y deducciones

octubre 26, 2017

¡KL ganó el Gartner Platinum Award!

Como ya habrán visto, las noticias sobre nuestra pequeña (pero muy progresiva en tecnología) empresa informática se han convertido en una especie de Cataratas del Iguazú.

julio 6, 2017

Feliz cumpleaños a nosotros: ¡20 años (por ahora)!

¡Bzzzzz! ¿Qué ha sido eso? Eso, señoras y señores, ¡era la historia de la ciberseguridad pasando! Hace 28 años, en otoño de 1989, atacaron mi Olivetti M24 con un virus, lo que cambió mi vida y muchas otras. Si tan siquiera ese virus hubiera sabido de quién era el ordenador que estaba atacando y cuántos […]

Más

Vlog de Viajes