Edmund Richardson
0 
4275
686
Zubie es una pequeña caja que se conecta al puerto de Diagnóstico a bordo (ODBII) que se encuentra en la mayoría de los automóviles modernos. Permite a los usuarios descubrir qué tan bien están conduciendo, y ofrece consejos para extender su kilometraje con una conducción sensata y económica. Y hasta hace poco, Zubie contenía un serio lapso de seguridad que podría dejar a los usuarios vulnerables a que su automóvil fuera secuestrado de forma remota..
El agujero, descubierto por ex alumnos de la Unidad 8200, el equipo de seguridad cibernética de élite de la Fuerza de Defensa de Israel, podría ver a los atacantes interferir de forma remota con el frenado, la dirección y el motor..
Zubie se conecta a un servidor remoto a través de una conexión GPRS, que se utiliza para enviar datos recopilados a un servidor central, así como para recibir actualizaciones de seguridad.
Los investigadores descubrieron que el dispositivo estaba cometiendo uno de los pecados capitales de la seguridad de la red y no se comunicaba con el servidor doméstico a través de una conexión cifrada. Como resultado, pudieron falsificar el servidor central de Zubie y enviar malware al dispositivo especialmente diseñado..
A continuación encontrará más detalles sobre el ataque, y le complacerá saber que el problema ya se ha solucionado. Sin embargo, plantea una pregunta interesante. ¿Qué tan seguros son nuestros autos??
Separando el hecho de la ficción
Para muchos, conducir no es un lujo. Es una necesidad
Y es una necesidad peligrosa en eso. La mayoría de las personas están muy familiarizadas con los riesgos asociados con ponerse al volante. Los accidentes automovilísticos son uno de los mayores asesinos del mundo, con 1,24 millones de vidas perdidas en la carretera solo en el año 2010.
Pero las muertes en carretera están disminuyendo, y eso se debe en gran medida a la mayor penetración de tecnologías sofisticadas de seguridad vial. Hay demasiados de estos para enumerarlos exhaustivamente, pero quizás el ejemplo más frecuente es OnStar, disponible en los EE. UU., Canadá y China.
La tecnología, disponible exclusivamente en automóviles GM, así como en otros vehículos de compañías que han optado por licenciar la tecnología, monitorea la salud de su automóvil. Puede proporcionar instrucciones paso a paso, y puede brindar asistencia automáticamente en caso de accidente..
Casi seis millones de personas se suscriben a OnStar. Innumerables más usan un sistema telemático, que permite a las aseguradoras rastrear qué tan bien se manejan los automóviles y adaptar los paquetes de seguro para recompensar a los conductores sensibles. Justin Dennis revisó recientemente algo similar llamado Metrónomo por Metromile Rastree su kilometraje, costos de combustible y más con un dispositivo OBD2 gratuito Rastree su kilometraje, costos de combustible y más con un dispositivo OBD2 gratuito Hoy en día, todo parece ser inteligente, excepto nuestros automóviles. Este dispositivo y aplicación ODB2 gratuitos lo cambian. , que está disponible gratuitamente para los residentes de Washington, Oregón, California e Illinois. Mientras tanto, muchos automóviles posteriores a 1998 pueden ser interrogados y monitoreados a través del puerto de diagnóstico ODBII gracias a Android Cómo monitorear el rendimiento de su automóvil con Android Cómo monitorear el rendimiento de su automóvil con Android Monitorear toneladas de información sobre su automóvil es increíblemente fácil y económico con su Android dispositivo - ¡aprende sobre esto aquí! y aplicaciones de teléfonos inteligentes iOS.
A medida que estas tecnologías han alcanzado la ubicuidad, también tiene conciencia de que pueden ser pirateadas. En ningún otro lugar es eso más evidente que en nuestra psique cultural..
El thriller de 2008 Untraceable destacó un automóvil equipado con OnStar que fue 'bloqueado' por el antagonista de la película con el fin de atraer a alguien a una trampa. Mientras que en 2009, la firma holandesa de TI InfoSupport lanzó una serie de comerciales que mostraban a un pirata informático ficticio llamado Max Cornellise piratear de forma remota sistemas de automóviles, incluido un Porsche 911, usando solo su computadora portátil.
Entonces, con tanta incertidumbre en torno al tema, es importante saber qué se puede hacer y qué amenazas permanecen en el dominio de la ciencia ficción..
Una breve historia del pirateo de automóviles?
Fuera de Hollywood, los investigadores de seguridad han logrado algunas cosas bastante aterradoras con los automóviles..
En 2013, Charlie Miller y Chris Valasek demostraron un ataque en el que comprometieron un Ford Escape y un Toyota Prius y lograron tomar el control de las instalaciones de frenado y dirección. Sin embargo, este ataque tuvo un inconveniente importante, ya que dependía de que una computadora portátil se conectara al vehículo. Esto dejó a los investigadores de seguridad curiosos y preguntándose si era posible lograr lo mismo, pero sin estar físicamente atado al automóvil..
Esa pregunta fue respondida de manera concluyente un año después, cuando Miller y Valasek realizaron un estudio aún más detallado sobre la seguridad de 24 modelos diferentes de automóviles. Esta vez, se centraron en la capacidad de un atacante para realizar un ataque remoto. Su extensa investigación produjo un informe de 93 páginas, que fue publicado en Scribd para coincidir con su charla de seguimiento en la conferencia de seguridad Blackhat en Las Vegas.
Sugirió que nuestros autos no son tan seguros como se pensaba, y muchos carecen de las protecciones de ciberseguridad más rudimentarias. El informe condenatorio destacó el Cadillac Escalade, el Jeep Cherokee y el Infiniti Q50 como los más vulnerables a un ataque remoto..
Cuando miramos el Infinity Q10 específicamente, vemos algunos fallos importantes en la seguridad.
Lo que hace que el Infiniti sea tan atractivo como un automóvil es también lo que lo hace tan vulnerable. Al igual que muchos automóviles de alta gama producidos en los últimos años, viene con una amplia gama de características tecnológicas diseñadas para hacer que la experiencia de conducción sea más agradable. Estos van desde el desbloqueo sin llave, hasta el control inalámbrico de la presión de los neumáticos, hasta una aplicación de teléfono inteligente 'asistente personal' que interactúa con el automóvil.
Según Miller y Vlasek, algunas de estas características tecnológicas no están aisladas, sino que están directamente conectadas en red con los sistemas responsables del control del motor y el frenado. Esto deja abierta la posibilidad de que un atacante obtenga acceso a la red interna del automóvil y luego explote una vulnerabilidad ubicada en uno de los sistemas esenciales para chocar o interferir con el vehículo.
Cosas como el desbloqueo sin llave y los "asistentes personales" se están considerando rápidamente como elementos esenciales para los conductores, pero como Charlie Miller señaló tan sobresalientemente, “da un poco de miedo que todos puedan hablar entre ellos.”
Pero todavía estamos muy en el mundo de lo teórico. Miller y Vlasek han demostrado una posible vía para un ataque, pero no un ataque real. ¿Hay algún ejemplo de alguien que haya logrado interferir con los sistemas informáticos de un automóvil??
Bueno, no faltan los ataques que apuntan a funciones de desbloqueo sin llave. Uno incluso fue demostrado a principios de este año en la Conferencia de Seguridad Blackhat en Las Vegas por el investigador de seguridad australiano Silvio Cesare.
Usando solo $ 1000 en herramientas estándar, pudo falsificar la señal de un llavero, lo que le permitió desbloquear un automóvil de forma remota. El ataque depende de que alguien esté físicamente presente cerca del automóvil, potencialmente durante unas horas, mientras una computadora y una antena de radio transmiten intentan forzar al receptor integrado en el sistema de desbloqueo sin llave de un automóvil.
Una vez que se ha abierto el automóvil, el atacante podría intentar robarlo o ayudar a cualquier elemento desatendido que haya dejado el conductor. Hay mucho potencial de daño aquí.
¿Hay defensas??
Eso depende.
Ya existe alguna forma de protección contra la vulnerabilidad de acceso remoto descubierta por Charlie Miller y Chris Valasek. En los meses transcurridos desde su charla sobre Blackhat, han podido construir un dispositivo que actúa como un sistema de detección de intrusos (IDS). Esto no detiene un ataque, sino que le indica al conductor cuándo podría estar en curso un ataque. Esto cuesta alrededor de $ 150 en piezas y requiere un poco de conocimiento de electrónica para construir.
La vulnerabilidad de Zubie es un poco más complicada. Aunque el agujero ya ha sido reparado, la debilidad no se encontraba dentro del automóvil, sino más bien dentro del dispositivo de terceros que estaba conectado a él. Si bien los automóviles tienen sus propias inseguridades arquitectónicas, parece que agregar extras adicionales solo aumenta las posibles vías para un ataque.
Quizás la única forma de ser verdaderamente seguro es conducir un auto viejo. Uno que carece de las sofisticadas campanas y silbatos de los autos modernos de alta gama, y para resistir el impulso de meter cosas en su puerto ODBII. Hay seguridad en la simplicidad.
¿Es seguro conducir mi automóvil??
La seguridad es un proceso evolutivo..
A medida que las personas obtienen una mayor comprensión de las amenazas que rodean a un sistema, el sistema evoluciona para protegerse contra ellas. ¿Pero el mundo del automóvil no ha tenido su ShellShock peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux ¿Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux o HeartBleed Heartbleed: ¿qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puede hacer para mantenerse a salvo? . Me imagino que cuando experimente su primera amenaza crítica, es el primer día cero, por así decirlo, los fabricantes de automóviles responderán adecuadamente y tomarán medidas para hacer que la seguridad del vehículo sea un poco más rigurosa.
Pero qué piensas? ¿Eso es un poco optimista? ¿Te preocupa que los hackers se hagan cargo de tu auto? Quiero oír hablar de eso. Déjame un comentario a continuación.
Créditos de las fotos: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com