Expertos en seguridad identifican los 20 autos más pirateables | doug newcomb

VER TODAS LAS FOTOS EN LA GALERÍA

La piratería de automóviles es más una exageración de los medios que la realidad en este momento. Incluso Damon McCoy, profesor asistente de ciencias de la computación en la Universidad George Mason y miembro del equipo de investigación del Centro de Seguridad de Sistemas Embebidos Automotrices que ha pirateado de forma inalámbrica automóviles, ha reconocido que el riesgo actual de un ataque malicioso es bajo.

Y aunque los expertos en seguridad de redes Charlie Miller y Chris Valasek han sido responsables de algunos de los titulares sensacionales sobre esta amenaza potencial, el motivo declarado detrás de las acrobacias de piratería de automóviles altamente publicitadas de la pareja es hacer que los fabricantes de automóviles y otros presten atención a lo que dicen que se pasa por alto. problema. Miller, un investigador de seguridad de Twitter, y Valasek, director de investigación de seguridad de vehículos de la firma consultora IOActive, causaron revuelo en los medios el año pasado cuando utilizaron una computadora portátil conectada al puerto de datos a bordo (ODB) de un Ford Escape y Toyota Prius para causar estragos, que van desde tocar la bocina de los vehículos hasta desactivar los frenos y hacerse cargo de la dirección.

Como seguimiento y para golpear aún más el tema de la seguridad del automóvil, en la conferencia de seguridad de Black Hat USA en Las Vegas esta semana, la pareja lanzó una lista de 20 vehículos y los calificó por su vulnerabilidad a ser pirateados. Las clasificaciones se basaron en tres factores: la arquitectura de red de los vehículos, su "superficie de ataque" a través del acceso inalámbrico como Bluetooth y una conexión celular, y lo que los investigadores llaman características "ciberfísicas" como el frenado y la dirección autónomos. Luego asignaron a cada uno de los tres factores un plus para indicar si un vehículo es más susceptible a la piratería o un menos si es menos vulnerable.

Y si bien parece que a medida que los automóviles se vuelven más conectados y técnicamente sofisticados, su "superficie de ataque" y su "ciberfísica" los harán especialmente vulnerables, el trabajo de Miller y Valasek indica que la arquitectura de red es el eslabón más débil. Por ejemplo, mientras que el Audi A8 es uno de los sedanes de lujo más cargados de tecnología en el mercado, la pareja señaló el automóvil como un ejemplo de un diseño de red bien protegido ya que sus características inalámbricas están separadas de las funciones de conducción. En consecuencia, obtuvo un menos en la categoría de arquitectura de red (pero un doble más en la superficie de ataque y un solo más en ciberfísica).

VER TODAS LAS FOTOS EN LA GALERÍA

Pero el Infiniti Q50 (en la foto de arriba) y el Jeep Cherokee tienen una arquitectura de red insegura, según Miller y Valasek. Esto se debe a que algunos componentes de información y entretenimiento conectados están vinculados en la red del vehículo a los sistemas de motor y frenado que controlan características como el control de crucero adaptativo y la asistencia automática de estacionamiento en paralelo. "Da un poco de miedo que todos puedan hablar entre ellos", dijo Miller sobre el Q50 a Wired.

¿Deben preocuparse los conductores?

A diferencia de su piratería práctica y enchufada del Escape y el Prius el año pasado, el informe más reciente de la pareja se compiló en base al estudio de manuales técnicos y diagramas de cableado para los vehículos y el análisis de sus redes informáticas basadas en esos documentos. Destacan que sus hallazgos con respecto a las vulnerabilidades de seguridad de estos vehículos no son concluyentes y solo deben considerarse advertencias de posibles debilidades.

Agregaron que compilaron la lista no solo para mostrar qué vehículos son más vulnerables, sino también para alentar a la industria automotriz u otros a tomar medidas. "Puede obtener una revista Consumer Reports de un puesto de periódicos y ver las calificaciones de las características de seguridad del automóvil", dijo Valasek. "Estamos haciendo lo mismo, pero para la seguridad cibernética de los vehículos". (Miller y Valasek también propusieron recientemente una posible solución para mantener a raya a los piratas informáticos: un prototipo de dispositivo de detección de intrusos que se conecta al puerto OBD de un automóvil que construyeron por $ 150 en partes).

Varios fabricantes de automóviles cuyos vehículos no tuvieron buenos resultados en la lista han respondido al informe. Chrysler dijo en un comunicado que sus automóviles "están equipados con sistemas de seguridad que ayudan a minimizar el riesgo de amenazas del mundo real" y que "se esforzará por verificar estas afirmaciones y, si está justificado, las repararemos". Cadillac, cuyo Escalade 2015 entró en la lista, dijo en un comunicado que la "descripción del sistema electrónico del vehículo no es completamente precisa" y que hay elementos de la arquitectura electrónica "que son privados y no accesibles para los investigadores (o ladrones)) ".

Pero al igual que la ola de ataques recientes del mundo real no ha llevado a un gran número de personas a evitar transacciones en línea o cancelar sus cuentas de Facebook, los investigadores reconocen que a la larga los beneficios de los automóviles conectados pueden superar los riesgos de posibles ataques. "Un iPhone es mucho más pirateable que un teléfono celular de la década de 1980", dijo Miller a CNN. "Sin embargo, aún prefiero tener un iPhone que un teléfono celular antiguo. Lo mismo ocurre con los autos, en su mayor parte".

VER TODAS LAS FOTOS EN LA GALERÍA