SEGURIDAD

HACKING Y SEGURIDAD EN VEHÍCULOS

El uso de internet y de tecnología en los objetos de uso diario (IoT) también se ve reflejado en los automóviles, por ejemplo, incorporando funciones de encendido desde teléfonos inteligentes, de auto-parqueo o de geolocalización. Pero el uso de las tecnologías de la información en los automóviles incrementa las vulnerabilidades informáticas a las que está expuesto un vehículo, por ejemplo:

Las llaves: Las llaves de los vehículos ahora son chips electrónicos con códigos que pueden ser descifrados, por ejemplo, mediante una técnica llamada chip slicing, la cual consiste en analizar mediante un microscopio a los pequeños transistores que lo conforman, para así interferir con el algoritmo que programa el funcionamiento de la llave.

El motor: El motor de la mayoría de los vehículos incorpora el ECU (Unidades de Control Electrónico) y desde este dispositivo se controlan los aspectos funcionales del auto, incluyendo aceleración, frenado, dirección y bocina. A dicho dispositivo se le puede implementar un software que envía instrucciones a la computadora de la red del vehículo y reemplaza los comandos de los controladores reales de la unidad, alterando la funcionalidad del automóvil.

El tablero: En un tablero digital de un vehículo se pueden modificar los índices de combustible o velocidad. Interviniendo las redes inalámbricas del vehículo, es posible intervenir la radio, tocar la bocina, activar y desactivar limpiaparabrisas, controlar el aire acondicionado etc.

Estas son algunas marcas de automóviles y sus respectivas vulnerabilidades:

BMW X3: Es posible acceder al sistema BMW Connected Drive y sus conexiones Bluetooth y Wi-fi, permitiendo controlar las funciones del vehículo desde cualquier dispositivo móvil o computador, como por ejemplo conducción semiautomática, estacionamiento, ejecución de aplicaciones del tablero, etc.

Chrysler 300: El sistema de infoentretenimiento Uconnect permite acceso al control de funcionalidades del vehículo, como ejecución de aplicaciones, control de la navegación y geolocalización, administración de las comunicaciones a través del manos libres, control de voz con Siri,etc .

Land Rover Range Rover Evoque: Tiene implementado un sistema de infoentretenimiento InControl, que controla elementos multimedia, navegación y geolocalización. Adicionalmente tiene acceso sin llave, conexión Wi-Fi o Bluetooth.

Toyota Prius 2010: Cuenta con varios elementos inseguros: vulnerabilidad de la radio, conexión de Bluetooth, acceso sin llave, conectividad con el teléfono móvil y sistema Safety Connect, el cual mantiene conectado y geolocalizado el vehículo permanentemente.

Infiniti Q50: Cuenta con sistema de infoentretenimiento, la radio y demás componentes electrónicos están conectados con la dirección, el motor y los frenos. Un ataque al sistema de infoentretenimiento podría permitir el control de funciones principales del vehiculo.

Jeep Cherokee: Los frenos, el motor y la dirección son los elementos más expuestos en este modelo. El sistema Uconnect puede permitir interceptar la radio del Cherokee, e incluso apagar el motor del automóvil.

Cadillac Escalade 2015: El sistema OnStar, incluido en multitud de vehículos de General Motors, al conectarse mediante una red inalámbrica puede permitir la captura de comandos enviados desde un teléfono inteligente, permitiendo así posibles violaciones de privacidad o robo de información.

Anuncios
SEGURIDAD

HACKING A MARCA PASOS

Barnaby Jack fue un hacker, programador y experto en seguridad informática. Entre sus trabajos más notables se encuentran la explotación de diversos dispositivos médicos, incluidos marcapasos y bombas de insulina. En el momento de su muerte, en 2013, era el Director de Embedded Device Security en IOActive, una empresa de seguridad informática con sede en Seattle y Londres.

Uno de sus trabajos más importantes, y en el cual muchos los consideran pionero, se relaciona con hacking a marcapasos, y esto se da principalmente porque muchos de estos dispositivos médicos disponen de conexiones inalámbricas que les permiten intercambiar información con los equipos de hospitales y médicos. El objetivo de permitir este tipo de conexiones, e permitir la configuración y ajustes del dispositivo, así como el control y monitoreo del paciente por parte de su médico.

Ya en el año 2008, un equipo de investigadores del Centro Arquímedes para la Seguridad de Dispositivos Médicos de la Universidad de Michigan había realizado demostraciones de hackeo a marcapasos cuando el portador del dispositivo estaba muy cerca, pero en 2013 Barnaby iba a explicar como realizar ese tipo de ataques a través de comunicación inalámbrica a distancias superiores a 15 metros, cosa que no pudo realizar porque falleció justo antes del congreso Blackhat donde participaría como conferencista.

En el año 2017, La firma de seguridad WhiteScope publicó un informe en el que detalla cerca de 8.000 vulnerabilidades de seguridad digital que encontraron en marcapasos de uso común. Los principales hallazgos de seguridad analizados en dicho informe se centran en que muchos de estos dispositivos utilizan componentes o se apoyan en servicios (incluyendo aspectos de conectividad y software) prestados por terceros. El estudio demostró que existe la posibilidad de intervenir el programador de un marcapasos, alterando su funcionamiento y pudiendo incluso causar una falla cardiaca al paciente.