Zubie es una pequeña caja que se conecta al puerto de diagnóstico a bordo (ODBII) que se encuentra en la mayoría de los automóviles modernos. Permite a los usuarios descubrir qué tan bien conducen, y ofrece consejos para extender su kilometraje con una conducción sensata y económica. Y hasta hace poco, Zubie contenía un serio fallo en seguridad que podía dejar a los usuarios vulnerables a que su auto fuera secuestrado remotamente.
El agujero, descubierto por los ex alumnos de la Unidad 8200, el equipo de élite de ciberseguridad de la Fuerza de Defensa israelí, podría ver a los atacantes interfiriendo remotamente con el frenado, la dirección y el motor.
Zubie se conecta a un servidor remoto a través de una conexión GPRS, que se utiliza para enviar datos recopilados a un servidor central, así como para recibir actualizaciones de seguridad.
Los investigadores descubrieron que el dispositivo estaba cometiendo uno de los pecados capitales de la seguridad de la red y no se comunicaba con el servidor doméstico a través de una conexión cifrada. Como resultado, pudieron simular el servidor central de Zubie y enviar algunos malware especialmente diseñados al dispositivo.
Más detalles del ataque están a continuación, y le complacerá saber que el problema se ha solucionado desde entonces. Sin embargo, plantea una pregunta interesante. ¿Qué tan seguros están nuestros autos?
Separación de hechos de la ficción
Para muchos, conducir no es un lujo. Es una necesidad
Y es una necesidad peligrosa por eso. La mayoría de la gente es muy familiar con los riesgos asociados con ponerse al volante. Los accidentes automovilísticos son uno de los principales asesinos del mundo, con 1, 24 millones de vidas perdidas en la carretera solo en el año 2010.
Pero las muertes en las carreteras están disminuyendo, y eso se debe en gran parte a la mayor penetración de sofisticadas tecnologías de seguridad vial. Hay muchos de estos para una lista exhaustiva, pero tal vez el ejemplo más frecuente es OnStar, disponible en los EE. UU., Canadá y China.
La tecnología, disponible exclusivamente en automóviles GM, así como en otros vehículos de compañías que han elegido licenciar la tecnología, monitorea la salud de su automóvil. Puede proporcionar indicaciones giro a giro, y puede prestar asistencia automáticamente si se encuentra en lugar de accidente.
Casi seis millones de personas se suscriben a OnStar. Innumerables más usan un sistema telemático, que permite a las aseguradoras rastrear qué tan bien conducen los automóviles y diseñar paquetes de seguros para recompensar a los conductores sensatos. Justin Dennis recientemente revisó algo similar llamado Metronome by Metromile Controle su kilometraje, costos de combustible y más con un dispositivo OBD2 gratuito Rastree su millaje, costos de combustible y más con un dispositivo OBD2 gratis Hoy en día, todo parece ser inteligente, excepto nuestros automóviles. Este dispositivo y aplicación ODB2 gratuitos cambian eso. Lea más, que está disponible gratuitamente para los residentes de Washington, Oregon, California e Illinois. Mientras tanto, muchos coches después de 1998 pueden ser interrogados y monitoreados a través del puerto de diagnóstico ODBII gracias a Android. Cómo monitorear el rendimiento de tu automóvil con Android Cómo monitorear el rendimiento de tu automóvil con Android Monitorear toneladas de información sobre tu automóvil es increíblemente fácil y económico con tu Android dispositivo - ¡aprenda sobre esto aquí! Leer más y aplicaciones de teléfonos inteligentes iOS.
Como estas tecnologías han alcanzado la ubicuidad, también tienen conciencia de que pueden ser pirateadas. En ningún otro lugar es más evidente que en nuestra psique cultural.
El thriller Untraceable de 2008 destacó prominentemente con un automóvil equipado con OnStar que fue "bloqueado" por el antagonista de la película con el fin de atraer a alguien a una trampa. Mientras que en 2009, la firma holandesa de TI InfoSupport lanzó una serie de anuncios que mostraban a un pirata informático de ficción llamado Max Cornellise que pirateaba remotamente los sistemas de automóviles, incluido un Porsche 911, utilizando solo su computadora portátil.
Entonces, con tanta incertidumbre en torno al tema, es importante saber qué se puede hacer y qué amenazas quedan en el dominio de la ciencia ficción.
Una breve historia de piratería de coches?
Fuera de Hollywood, los investigadores de seguridad han logrado algunas cosas bastante aterradoras con los automóviles.
En 2013, Charlie Miller y Chris Valasek demostraron un ataque en el que pusieron en peligro un Ford Escape y un Toyota Prius y lograron tomar el control de las instalaciones de frenado y dirección. Sin embargo, este ataque tenía un inconveniente importante, ya que dependía de que una computadora portátil se conectara al vehículo. Esto dejó curiosos a los investigadores de seguridad y se preguntó si sería posible lograr lo mismo, pero sin estar físicamente atados al automóvil.
Esa pregunta fue respondida de manera concluyente un año después, cuando Miller y Valasek llevaron a cabo un estudio aún más detallado sobre la seguridad de 24 modelos diferentes de automóviles. Esta vez, se centraron en la capacidad de un atacante para realizar un ataque remoto. Su amplia investigación produjo un informe de 93 páginas, que se publicó en Scribd para coincidir con su charla de seguimiento en la conferencia de seguridad Blackhat en Las Vegas.
Sugirió que nuestros autos no son tan seguros como se pensaba, y que muchos carecen de las protecciones de ciberseguridad más rudimentarias. El informe condenatorio resaltó que Cadillac Escalade, Jeep Cherokee y Infiniti Q50 son los más vulnerables a un ataque remoto.
Cuando miramos el Infinity Q10 específicamente, vemos algunos lapsos importantes en seguridad.
Lo que hace que el Infiniti sea tan atractivo como un automóvil también es lo que lo hace tan vulnerable. Al igual que muchos automóviles de gama alta producidos en los últimos años, viene con una gran cantidad de características tecnológicas diseñadas para que la experiencia de conducir sea más agradable. Estos van desde el desbloqueo sin llave hasta la monitorización inalámbrica de la presión de los neumáticos y la aplicación de un "asistente personal" para teléfonos inteligentes que interactúa con el automóvil.
Según Miller y Vlasek, algunas de estas características tecnológicas no están aisladas, sino que están conectadas directamente en red con los sistemas que son responsables del control del motor y el frenado. Esto deja abierta la posibilidad de que un atacante tenga acceso a la red interna del automóvil y luego explote una vulnerabilidad ubicada en uno de los sistemas esenciales para chocar o interferir con el vehículo.
Cosas como el desbloqueo sin llave y los "asistentes personales" rápidamente se consideran esenciales para los conductores, pero como Charlie Miller señaló tan sobresalientemente, "da un poco de miedo que todos puedan hablar entre ellos".
Pero todavía estamos mucho en el mundo de lo teórico. Miller y Vlasek han demostrado una vía potencial para un ataque, pero no un ataque real. ¿Hay algún ejemplo de alguien que realmente haya logrado interferir con los sistemas informáticos de un automóvil?
Bueno, no hay escasez de ataques que ataquen funciones de desbloqueo sin llave. Uno incluso fue demostrado a principios de este año en la Conferencia de Seguridad Blackhat en Las Vegas por el investigador de seguridad australiano Silvio Cesare.
Utilizando solo $ 1000 en herramientas listas para usar, pudo falsificar la señal de un llavero, lo que le permitió desbloquear un automóvil de forma remota. El ataque depende de que haya alguien presente físicamente cerca del automóvil, posiblemente durante unas horas, mientras una computadora y una antena de radio transmiten intentan forzar la fuerza bruta del receptor integrado en el sistema de desbloqueo sin llave de un automóvil.
Una vez que se ha abierto el automóvil, el atacante podría potencialmente intentar robarlo, o ayudarse a sí mismos a cualquier artículo desatendido dejado por el conductor. Aquí hay mucho potencial de daño.
¿Hay alguna defensa?
Eso depende.
Ya hay alguna forma de protección contra la vulnerabilidad de acceso remoto descubierta por Charlie Miller y Chris Valasek. En los meses posteriores a su charla sobre Blackhat, han podido construir un dispositivo que actúa como un sistema de detección de intrusiones (IDS). Esto no detiene un ataque, sino que indica al conductor cuándo podría estar en curso un ataque. Esto cuesta alrededor de $ 150 en partes, y requiere un poco de conocimiento de la electrónica para construir.
La vulnerabilidad de Zubie es un poco más complicada. Aunque el agujero ha sido reparado, la debilidad no se encontraba dentro del automóvil, sino dentro del dispositivo de terceros que estaba conectado. Mientras que los autos tienen sus propias inseguridades arquitectónicas, parece que agregar extras adicionales solo aumenta las posibilidades de un ataque.
Quizás la única forma de estar verdaderamente seguro es conducir un automóvil viejo. Una que carece de los campanas y silbatos altamente sofisticados de los autos modernos de alta gama, y para resistir la tentación de introducir cosas en su puerto ODBII. Hay seguridad en la simplicidad.
¿Es seguro conducir mi automóvil?
La seguridad es un proceso evolutivo.
A medida que las personas obtienen una mayor comprensión de las amenazas que rodean a un sistema, el sistema evoluciona para protegerse contra ellas. Pero el mundo del automóvil aún no tiene su ShellShock Worse Than Heartbleed? Conozca ShellShock: ¿una nueva amenaza de seguridad para OS X y Linux Peor que Heartbleed? Conozca ShellShock: una nueva amenaza de seguridad para OS X y Linux Lea más o HeartBleed Heartbleed - ¿Qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puedes hacer para mantenerte seguro? Lee mas . Me imagino que cuando tenga experiencias su primera amenaza crítica (es el primer día cero, si se quiere), los fabricantes de automóviles responderán de forma adecuada y tomarán medidas para que la seguridad del vehículo sea un poco más rigurosa.
Pero ¿qué piensas? ¿Eso es un poco optimista? ¿Te preocupa que los hackers se hagan cargo de tu auto? Quiero oír hablar de eso. Déjame un comentario a continuación.
Créditos de las fotos: BangkokHappiness (Shutterstock), DmitriMaruta (ShutterStock), Teddy Leung / Shutterstock.com