211service.com
Los fabricantes de automóviles aceleran los esfuerzos de seguridad después de los trucos de piratería
Tu próximo auto puede venir con una excelente calificación de seguridad o puntaje de confiabilidad, pero ¿cuán hackeable será?
Los investigadores de seguridad demostraron recientemente varios trucos para piratear automóviles con el fin de tomar el control de componentes como el estéreo y los limpiaparabrisas, e incluso el motor y los frenos. En un ejemplo , un par de expertos desactivaron de forma remota el sistema de frenado de un Jeep Cherokee mientras un periodista lo conducía por la carretera.
Como era de esperar, los fabricantes de automóviles han comenzado a tomarse la seguridad informática mucho más en serio, pero se han visto sorprendidos por la velocidad del cambio tecnológico dentro de la industria, y especialmente por cómo la incorporación de la conectividad ha abierto los automóviles a los ataques. Al mismo tiempo, están agregando rápidamente nuevas funciones que requerirán un escrutinio de seguridad adicional.
El fabricante de autos eléctricos Tesla está a la vanguardia, con un auto que está altamente computarizado y conectado y relativamente bien protegido contra piratas informáticos. A diferencia de la mayoría de los autos en la carretera, el último Model S cuenta con una red informática interna que separa diferentes sistemas, lo que dificulta que los piratas informáticos salten de un sistema a otro. Los expertos que violaron el Jeep, por ejemplo, usaron el sistema de entretenimiento como una forma de acceder a otros componentes del vehículo. Otros fabricantes de automóviles ahora están desarrollando sistemas similares, dice Josué Corman , un investigador de seguridad independiente que consulta con las empresas de automóviles. Realmente no hay razón para que el estéreo le hable a los frenos, dice.
Los fabricantes de automóviles también están revisando su enfoque para lidiar con fallas y errores de seguridad, lo que significa que invitarán a los investigadores de seguridad a alertarlos sobre los problemas y trabajar con ellos para solucionarlos (en lugar de amenazar con demandarlos, como sucedió en el pasado). Tesla ha ofrecido recompensas en efectivo a quienes revelen tales problemas. Varios expertos en el campo dicen que otras compañías automotrices pronto podrían hacer lo mismo. Corman dice que dos fabricantes de automóviles habían planeado revelar un nuevo enfoque en Defcon, una importante conferencia de seguridad informática en Las Vegas, pero fueron disuadidos por la prensa negativa atraída por el hackeo de Jeep.
Más fabricantes de automóviles también están ideando formas de parchear el software de sus automóviles de forma remota, para abordar los problemas más rápidamente. Hasta el momento, solo Tesla y BMW son capaces de hacer esto, pero Ford dijo recientemente que introduciría la funcionalidad en sus vehículos, aunque no especificó cuándo.
Sin embargo, muchos expertos dicen que los fabricantes de automóviles deben hacer mucho más. Corman también defensores , entre otras cosas, agregar una caja negra a la red informática dentro de los vehículos para que los ataques de piratería pudieran registrarse y rastrearse después del hecho. Dicho dispositivo, o algo similar, también podría usarse para detectar y detener un ataque en curso.
Los académicos han estado pirateando autos durante años (ver Tomando el control de los autos desde lejos). Pero la introducción de la conectividad celular ha hecho que sea más fácil comprometer un vehículo. craig smith , un investigador de seguridad que prueba la seguridad de muchos fabricantes de automóviles, dice que ha realizado hazañas similares al hackeo de Jeep en esa capacidad. Cuando se trata de encontrar un exploit, solo hay un par de cosas nuevas que debes aprender, dice.
La mayoría de los fabricantes de automóviles permiten que los teléfonos inteligentes se conecten al tablero a través de CarPlay de Apple y Android Auto de Google (consulte Reiniciar el automóvil). Incluso si un automóvil carece de su propia conexión celular, estos sistemas permitirán que el conductor vea aplicaciones, mapas y mensajes en la consola y encuentre información en línea.
Los fabricantes de automóviles, al igual que Google y Apple, dicen que estos sistemas no representan una amenaza, porque ambos esencialmente proyectan la pantalla del teléfono en la pantalla del automóvil. No manipulan datos, dice Brad Stertz, vocero de Audi, que está agregando CarPlay y Android Auto a los vehículos.
Pero los expertos en seguridad no están tan seguros. Charlie Miller, uno de los investigadores que pirateó el Jeep Cherokee, dice que no ha examinado CarPlay o Android Auto, pero cree que probablemente sean un vector, lo que significa que podrían proporcionar una forma de acceder al resto del automóvil.
Kevin Mahaffey, CTO de Lookout y uno de los investigadores detrás de un hack reciente de Tesla, dice que esta es una posibilidad que debe considerarse. A medida que los automóviles y los teléfonos se comunican mucho más, creo que los problemas de seguridad comienzan a mezclarse, dice. No puedo hacer ningún anuncio sobre investigaciones futuras, pero la intersección de los teléfonos y los sistemas críticos para la seguridad está ocurriendo cada vez más, por lo que es un área a la que le estamos prestando mucha atención.
Ciertamente, sigue siendo bastante desafiante hackear un automóvil. El hackeo del Jeep involucró ingeniería inversa y reprogramación de un chip de computadora en el sistema de entretenimiento del vehículo. Aún así, las habilidades requeridas están comenzando a extenderse, a medida que se publica más código fuente de explotación y más personas se interesan en la seguridad de los vehículos.
Corman dice que alrededor de 10 expertos estaban enseñando a la gente cómo piratear el hardware del automóvil en el evento Defcon: La población de piratas informáticos de automóviles está creciendo rápidamente.