Lego Mechanic puede parecer dulce e inocente, pero ¿qué es esa sonrisa realmente oculta? Flickr / Jeff Eaton, CC BY-NC-SA
Cuando se trata de piratear automóviles, debería estar más preocupado por los traficantes que los piratas informáticos únicos con intenciones delictivas.
Hollywood nos haría creer que nuestros autos son extremadamente vulnerables a los hackers. Un pirata informático ingresa remotamente a la computadora a bordo de un automóvil que se exhibe en una sala de exposición, lo que hace que el automóvil se rompa a través de los vidrios hacia la calle, justo en el momento justo para bloquear una persecución.
Escena de pirateo de autos en el éxito de taquilla de Hollywood El destino de los furiosos
Y los investigadores han tenido cierto éxito en la replicación de tal escenario. En 2015, los titulares se hicieron en todo el mundo cuando Los investigadores de seguridad fueron capaces de hackear un Jeep Cherokee. Controlaron de forma remota todo, desde limpiaparabrisas y aire acondicionado hasta la capacidad de aceleración del automóvil. En última instancia, estrellaron el auto en un terraplén cercano, terminando de manera segura su experimento.
Si creyera todo lo que se ha escrito desde entonces, podría pensar que todos estamos conduciendo en accidentes esperando que suceda. En cualquier momento, cualquier criminal puede hackear su vehículo, tomar el control y matar a todos los que están dentro.
Si bien esta amenaza puede existir, nunca ha ocurrido en el mundo real, y se ha sobrepasado significativamente.
Los coches ahora son controlados por computadoras
Los vehículos de motor de hoy son un sistema complicado de subsistemas eléctricos interconectados, donde las conexiones mecánicas tradicionales han sido reemplazadas por contrapartes eléctricas.
Tomemos el acelerador, por ejemplo. Este simple dispositivo solía ser controlado por un cable físico conectado a una válvula en el motor. Hoy en día es controlado por el sistema drive-by-wire.
Bajo un sistema de conducción por cable, la posición de la válvula de la mariposa está controlada por una computadora. Este computador recibe señales desde el acelerador y, en consecuencia, da instrucciones a un pequeño motor conectado a la válvula de mariposa. Muchos de los beneficios de la ingeniería pasan desapercibidos por un consumidor típico, pero este sistema permite que un motor funcione con más facilidad.
Se sospechó que una falla en el sistema de conducción por cable era la causa de la aceleración involuntaria en los vehículos 2002 Toyota. La culpa resultó en Al menos un accidente fatal, en 2017, se resuelve fuera de la corte. Un análisis comisionado por la Administración Nacional de Seguridad del Tráfico en Carreteras de EE. UU. no pudo descartar un error de software, pero sí encontró defectos mecánicos significativos en los pedales.
Estos fueron, en última instancia, errores de calidad, no coches pirateados. Pero sí introduce un escenario interesante. ¿Qué pasaría si alguien pudiera programar su acelerador sin su conocimiento?
Hackea la computadora y podrás controlar el coche.
La columna vertebral del moderno vehículo interconectado de hoy es un protocolo denominado Red de área del controlador (bus CAN). La red se basa en el principio de una unidad de control maestra, con múltiples dispositivos esclavos.
Los dispositivos esclavos en nuestro automóvil pueden ser cualquier cosa, desde el interruptor en el interior de la puerta hasta la luz del techo e incluso el volante. Estos dispositivos permiten entradas desde la unidad maestra. Por ejemplo, la unidad maestra podría recibir una señal de un interruptor de la puerta y, en base a esto, enviar una señal a la luz del techo para encenderla.
El problema es que, si tiene acceso físico a la red, puede enviar y recibir señales a cualquier dispositivo conectado a ella.
Si bien necesita acceso físico para acceder a la red, este es fácilmente accesible a través de un puerto de diagnóstico integrado oculto bajo su volante. Los dispositivos como Bluetooth, celulares y Wi-Fi, que se agregan a los automóviles, también pueden proporcionar acceso, pero no tan fácilmente como simplemente enchufarlo.
Bluetooth, por ejemplo, solo tiene un alcance limitado, y para acceder a un automóvil a través de Wi-Fi o celular, aún necesita la dirección IP del vehículo y el acceso a la contraseña de Wi-Fi. El truco Jeep mencionado anteriormente fue habilitado por contraseñas por defecto débiles elegidas por el fabricante.
Entra en el malvado mecánico.
Los trucos remotos de automóviles no son particularmente fáciles, pero eso no significa que esté bien ser atraído a una falsa sensación de seguridad.
El Ataque malvado de la criada es un término acuñado por analista de seguridad Joanna Rutkowska. Es un ataque simple debido a la prevalencia de dispositivos que se dejan inseguros en las habitaciones de hoteles de todo el mundo.
La premisa básica del ataque es la siguiente:
- el objetivo está fuera de vacaciones o negocios con uno o más dispositivos
- Estos dispositivos se dejan desatendidos en la habitación del hotel del objetivo.
- el objetivo asume que los dispositivos son seguros ya que son los únicos con la llave de la habitación, pero luego entra la criada
- mientras el objetivo está fuera, la mucama le hace algo al dispositivo, como instalar malware o incluso abrir físicamente el dispositivo
- El objetivo no tiene idea y es violado.
Si observamos este ataque en el contexto del protocolo de bus CAN, rápidamente se hace evidente que el protocolo es más débil cuando se concede el acceso físico. Dicho acceso se otorga a las partes de confianza cuando recibimos nuestros vehículos reparados, cuando está fuera de nuestra vista. El mecánico es la "criada" más probable.
Como parte de una buena rutina de mantenimiento, su mecánico conectará un dispositivo en el puerto de diagnóstico a bordo (ODB) para garantizar que no haya fallas ni códigos de diagnóstico para el vehículo que deban resolverse.
Pero, ¿qué pasaría si un mecánico necesitara algún negocio adicional? Tal vez querían que regresaras para el servicio más a menudo. ¿Podrían programar su sensor de freno electrónico para que se dispare temprano manipulando un algoritmo de control? Sí, y esto daría como resultado una menor vida útil de las pastillas de freno.
¿Tal vez podrían modificar una de las muchas computadoras dentro de su vehículo para que registre más kilómetros de los que realmente se hacen? O si quisieran ocultar el hecho de que habían llevado a su Ferrari a dar una vuelta, podían programar la computadora para devuelve el odómetro. Mucho más fácil que el método manual, que terminó tan mal en la película 1986 Ferris Bueller's Day Off.
Todos estos son hacks viables, y su mecánico podría estar haciéndolo ahora mismo.
El caso de la verificación y la transparencia.
Esto no es un problema nuevo. No es diferente de un concesionario de autos usados que usa un taladro para hacer retroceder el speedo y mostrar un kilometraje menor. Las nuevas tecnologías solo significan que los mismos trucos podrían implementarse de diferentes maneras.
Desafortunadamente, es poco lo que se podría hacer para evitar que un mal mecánico haga tales cosas.
Los investigadores de seguridad se centran actualmente en mejorar la seguridad detrás del protocolo de bus CAN. La razón probable por la que no se ha reportado ningún incidente importante hasta la fecha es que el bus CAN se basa en su implementación oscura para la seguridad.
La verificación y la transparencia podrían ser una solución. Un sistema, propuesto por los investigadores. en Blackhat, implica un registro de auditoría que podría ayudar a las personas comunes a evaluar los riesgos de cualquier cambio no autorizado en su vehículo y mejorar la robustez del sistema.
Hasta entonces, solo tendremos que seguir utilizando un mecánico de confianza.
Sobre el Autor
Richard Matthews, profesor del Centro de Emprendimiento, Comercialización e Innovación | Candidato a Doctorado en Imagen Forense y Cyber | Concejal, Universidad de Adelaide
Este artículo se republica de La conversación bajo una licencia Creative Commons. Leer el articulo original.
at InnerSelf Market y Amazon
