LAS VEGAS – La última vez que escuchamos una conferencia de Charlie Miller y Chris Valasek fue en la Cumbre de Analistas de Seguridad de Kaspersky Lab. Allí ambos disertaron sobre las necesidades de proteger a los automóviles conectados de la nueva tendencia de ataques que se están desarrollando actualmente. Ayer, el dúo de expertos presentó los resultados de una nueva investigación sobre las vulnerabilidades de los autos inteligentes en la Conferencia de Seguridad “Black Hat” en Las Vegas, Nevada.
En primer lugar, Miller y Valasek insistieron en la necesidad de desarrollar un sistema de detección de intrusiones capaz de bloquear todos los ataques que ellos mismos realizaron en las pruebas (intentos de desactivar el sistema de frenos, iniciar el estacionado automático y girar el volante remotamente).
Lo más interesante -y preocupante- de lo expuesto por Miller y Valasek fue el hecho de que los ataques están evolucionando. Un año atrás, cuando ambos comenzaron sus investigaciones, para que los hackeos fueran posibles, éstos debían de realizarse localmente. Es decir, ambos investigadores se sentaban en el asiento trasero con su laptop conectada al auto mientras que un grupo de reporteros asustados trataba de controlar el coche (en vano).
En sus últimas pruebas, Miller y Valasek pudieron ejecutar un ataque de forma remota. Una vulnerabilidad presente en los protocolos de comunicación inalámbrica de Bluetooth les permitió acceder a la computadora del automóvil y manipular el coche a distancia.
Uno de los puntos centrales de su exposición hizo foco sobre las distintas posturas de seguridad de cada compañía productora de autos. Pero retomaremos este tema en los próximos días, una vez que tengamos acceso al documento de 95 páginas que los investigadores publicaron acerca de sus pruebas sobre coches de Audi, Honda, Infiniti, Jeep, Dodge y otros.
Al respecto, Miller explicó que, si bien el hackeo de un automóvil puede parecer algo nuevo y complejo, en realidad, no es muy diferente a hackear una computadora tradicional. Encuentras una vulnerabilidad y la explotas. Sin embargo, parchear las vulnerabilidades de un automóvil inteligente no es tan sencillo como parchear un navegador web.
El proceso de parcheo de un automóvil resultaría mucho más complejo y costoso, no sólo porque el hecho de parchear una vulnerabilidad sea costoso de por si, sino que, para poder solucionar este tipo de problemas, cada compañía tendría que contactar individualmente a cada uno de sus clientes y éstos tendrían que llevar el auto al taller para realizar la actualización del software.
“Será una situación realmente dificil cuando aparezca el primer exploit y todos tengan que arreglar individualmente la vulnerabilidad de su auto”, aseguró Valasek
#BlackHat: @0xCharlie y @nudehaberdasher #hackean coches remotamente
La lista de funciones hackeables entre los nuevos modelos de autos es preocupantemente larga. Entre las más importantes están la posibilidad de afectar el sistema de estacionamiento automático, control de carril, control crucero, frenos, aceleración y dirección asistida. Además, también podrían verse comprometidas todas las funciones del sistema antirrobo, monitoreo de la presión de los neumáticos y apertura de las cerraduras. No obstante, estos últimos tres serían más complicados de efectuar, ya que requerirían de un alto grado de proximidad del hacker respecto del automóvil.
La posibilidad de contar con Bluetooth y Wi-Fi en el automóvil incrementa dramáticamente los escenarios de ataque posibles. Asimismo, a medida que se van desarrollando aplicaciones para el auto y otras facilidades de conectividad Web, la situación empeora.
“Las personas que pueden crear un exploit para Web son muchísimas más que las que pueden crear un exploit TPMS”, explica Valasek. “A su vez, muchísimas personas son capaces de crear aplicaciones maliciosas, si estos malware llegan a encontrarse en la misma red que el sistema de frenos o de dirección, entonces estaríamos en serios problemas”.
Para más información sobre la conferencia de Black Hat, ingresa en Threatpost.
Traducido por: Guillermo Vidal Quinteiro