Investigadores de la Universidad de California en San Diego y de la Universidad de Washington han pasado los últimos dos años revisando a través de los sistemas informáticos de miles de automóviles último modelo, en busca de fallos de seguridad y el posible desarrollo de formas malintencionadas de usarlos.
En su reporte más reciente, afirman haber identificado un conjunto de formas en que un hacker podría entrar a un coche, incluyendo ataques a través del Bluetooth del coche y los sistemas celulares de la red, o bien, mediante la inyección de software malicioso en las herramientas de diagnóstico utilizados en talleres mecánicos.
Aunque su ataque más interesante se centró en la radio del coche, pues al agregar código adicional en un archivo de música digital, fueron capaces de convertir una canción grabada en un CD en un caballo de Troya. Cuando se toca en el equipo estéreo del coche, esta canción puede alterar el firmware del sistema estéreo del coche, dando a los atacantes un punto de entrada para cambiar otros componentes. Este tipo de ataque podría propagarse en redes de intercambio de archivos sin despertar sospechas, aseguran. "Es difícil pensar en algo más inofensivo que una canción," dijo Stefan Savage, profesor de la Universidad de California.
El año pasado, Savage y sus colegas investigadores describieron el funcionamiento interno de las redes de componentes que se encuentran en los coches actuales, detallan que en un experimento de 2009, fueron capaces de matar el motor, cerrar las puertas, apagar los frenos y falsificar las lecturas del velocímetro en un automóvil de aquel modelo.
En ese experimento, se tenía que conectar una laptop al sistema interno de diagnóstico del vehículo para instalar su código malicioso. En este último documento, el objetivo era encontrar una manera de entrar en el coche de forma remota. "Este artículo es realmente acerca del reto que significó ganar acceso desde el exterior", dijo Savage.
Encontraron muchas maneras de forzar la entrada. De hecho, los ataques a través del Bluetooth, la red celular y los archivos maliciosos de música utilizaron herramientas de diagnóstico de los concesionarios, aunque les resultó difícil de lograr, señaló Savage. "La manera más fácil sigue siendo lo que hicimos en nuestro primer artículo: Enchufar al coche y hacerlo", puntualizó.
Pero la investigación muestra cómo podría ser el futuro de nuevos tipos de ataques al automóvil. Por ejemplo, los ladrones podrían instruir a los coches para abrir sus puertas e informar de sus coordenadas GPS y números de identificación a un servidor central. "Un ladrón emprendedor puede dejar de robar coches y en su lugar vender sus capacidades, es decir sus servicios a otros ladrones", indicó Savage. Un ladrón en busca de ciertos tipos de vehículos en una zona determinada puede pedir identificarlos y abrirlos, dijo.
En su informe, los investigadores no señalan la marca del auto modelo 2009 que fue hackeado.
Savage y los otros investigadores presentaron su trabajo en la National Academy of Sciences Committee on Electronic Vehicle Controls and Unintended Acceleration, que está estudiando la seguridad de los sistemas electrónicos de los automóviles a raíz de la falla masiva de Toyota el año pasado. Esta falla, según los informes, provocaba una aceleración involuntaria en los vehículos Toyota, un problema que se pensó se debía a una conexión en los sistemas electrónicos, pero al final se culpó a las alfombras de piso, los pedales de gas pegajosos, y en cierta medida, a un error del conductor.
Dadas las dificultades que la técnica encontró para entrar, los investigadores creen que los ataques hackers a los coches serán muy difíciles de conseguir, pero dicen que quieren hacerlos del conocimiento de la industria automotriz antes de que el hackeo a los autos se generalice y así "minimizar que sucedan en el futuro", dijo Tadayoshi Kohno, profesor asistente en la Universidad de Washington, quien trabajó en el proyecto. "Aunque creo que el cliente promedio querrá saber si el coche que compre en cinco años... habrá superado estos temas".
Otro problema para los posibles ladrones de autos es el hecho de que existen diferencias significativas entre las unidades de control electrónico en los automóviles. A pesar de que un ataque podría funcionar en un año y modelo del vehículo, es probable que no funcione en otro. "Si quieren hackear uno, requieren invertir mucho tiempo, dinero y esfuerzos antes de llegar a una versión de software", dijo Brian Herrera, vicepresidente de Tecnologías de Drew, empresa que construye herramientas para los sistemas informáticos del automóvil.
"No es como el hacking en Windows, donde encuentran una vulnerabilidad y van tras ella".
Hasta ahora, los fabricantes de automóviles han sido muy receptivos al trabajo de los investigadores universitarios y parecen estar tomando muy en serio los problemas de seguridad que han planteado, dijeron Savage y Kohno.
0 comentarios:
Publicar un comentario