Video: How to Hack a Car: Phreaked Out (Episode 2) (Noviembre 2024)
Un grupo de investigadores de seguridad decididos a hacer del mundo físico un lugar más seguro exigió a los fabricantes de automóviles que construyeran automóviles diseñados para resistir los ataques cibernéticos.
El grupo, con el apodo de "Yo soy la caballería", emitió una carta abierta a los "CEOs automotrices" a través de Reuters, publicó una copia en su sitio web y lanzó una petición change.org, para pedir a los ejecutivos de la industria automotriz que implementen sus Cinco Programa de seguridad cibernética de Star Automotive. Los pilares del programa incluyen seguridad por diseño, colaboración de terceros, captura de evidencia, actualizaciones de seguridad y segmentación y aislamiento.
"El mundo una vez distinto de los automóviles y la ciberseguridad han colisionado", decía la carta. "Ahora es el momento para que la industria automotriz y la comunidad de seguridad se conecten y colaboren".
Las computadoras administran motores, frenos, navegación, aire acondicionado, limpiaparabrisas, sistemas de entretenimiento y otros componentes críticos y no críticos en los automóviles modernos. No hay disputa de que deben bloquearse para evitar la manipulación o el acceso no autorizado. Cualquiera que haya visto el video el año pasado de los investigadores Charlie Miller y Chris Valasek riéndose locamente en el fondo mientras toman el control del automóvil conducido por el escritor de Forbes Andy Greenberg, estará de acuerdo en que si un adversario estaba lo suficientemente motivado, esa persona podría causar graves, físicos, daños a los conductores y potencialmente a los pasajeros. Miller y Valasek estuvieron en Black Hat este año, demostrando más pirateos de automóviles, y DEF CON de este año tiene varias sesiones sobre piratería electrónica de consumo, dispositivos médicos, sistemas de control de tráfico e Internet de las cosas.
Los vehículos son "computadoras sobre ruedas", Josh Corman, CTO de Sonatype y cofundador del grupo. La carta abierta del grupo está diseñada para hacer que estas computadoras sean más seguras.
El programa de cinco estrellas
Seguridad por diseño, simplemente significa que los fabricantes de automóviles deben diseñar y construir funciones de automatización teniendo en cuenta la seguridad. Los fabricantes de automóviles también deben imponer un programa seguro de desarrollo de software dentro de sus empresas para fomentar mejores prácticas de codificación y diseño.
La colaboración de terceros les pide a los fabricantes de automóviles que establezcan un programa formal de divulgación de vulnerabilidades, que indiquen claramente cuáles son sus políticas y a quién contactar. Los fabricantes de automóviles deben estar dispuestos a trabajar con investigadores para identificar fallas. No hay forma de que los fabricantes de automóviles puedan encontrar y corregir errores por sí mismos, por eso es esencial una colaboración saludable con los investigadores. Hay menos posibilidades de que se pierdan cosas.
"Tesla ya tiene una estrella", dijo Corman, señalando que el fabricante de automóviles eléctricos recientemente estableció tal política.
La captura de evidencia quiere agregar una "caja negra" a los automóviles, muy similar a lo que ya existe en los aviones. Cuando los aviones se estrellan, los investigadores pueden analizar la caja negra y comprender lo que estaba sucediendo en el avión, incluidas las conversaciones, la velocidad del avión, el estado de varios sistemas y una miríada de otra información técnica. Cuando algo sale mal en un automóvil, en la mayoría de los casos, no hay información disponible. Corman señaló que es difícil aprender de los accidentes y trabajar para mejorar el producto cuando no hay comentarios.
Las actualizaciones de seguridad significan que los problemas encontrados se solucionan en los automóviles individuales de manera oportuna. No me gustaría que me dijeran seis meses después de comprar un automóvil que necesitaba comprar las versiones más nuevas para aprovechar las correcciones. Un mecanismo de actualización de seguridad garantiza que las vulnerabilidades se corrijan de manera efectiva.
La segmentación y el aislamiento pide a los fabricantes de automóviles que mantengan los sistemas críticos, como los frenos y la dirección, separados del resto de las redes del automóvil, como el sistema de entretenimiento. "Con la segmentación y el aislamiento, queremos asegurarnos de que contenga fallas, por lo que un truco en el sistema de entretenimiento nunca desactiva los frenos", dijo Corman. Señaló que ya hay diferencias significativas entre los diferentes fabricantes de automóviles. Algunos son mejores para segmentar que otros, pero aún queda mucho por hacer.
No podemos permitirnos esperar
El grupo tiene como objetivo reunir a investigadores de seguridad con representantes de campos no relacionados con la seguridad, como la automatización del hogar y la electrónica de consumo, dispositivos médicos, transporte e infraestructura crítica, para mejorar la seguridad. El objetivo es comenzar a trabajar juntos para implementar salvaguardas de seguridad porque "no podemos esperar a que sucedan cosas malas", dijo Corman. El momento de comenzar es ahora, de modo que en unos pocos años, estos esfuerzos realmente mostrarían resultados, dijo. "Sabemos que esto llevará un tiempo", dijo.
"No estamos haciendo esto por los investigadores de seguridad", dijo Corman. "Estamos haciendo esto por nuestros vecinos, por cualquiera que conduzca un automóvil".
