Anteayer fue un día importante para la industria de la seguridad informática. Algunos investigadores informaron sobre la explotación de la primera vulnerabilidad de día cero (0-day) para automóviles. Se hizo una demostración del ataque inalámbrico en un Jeep Cherokee.
Charlie Miller y Chris Valasek descubrieron la vulnerabilidad en el sistema informático instalado en el automóvil. Hace tiempo que se sabía que era posible hacer ataques similares si el delincuente tenía acceso al conector de diagnóstico. Sin embargo, el ataque remoto a los sistemas críticos del vehículo era sólo una posibilidad teórica, sobre la cual los expertos (entre ellos los de Kaspersky Lab) habían advertido tiempo atrás. Muchas personas esperaban que los fabricantes de automóviles estuvieran conscientes de los riesgos de explotación de estas vulnerabilidades y que evitarían que aparezcan. Pero estas esperanzas fueron vanas.
A través del sistema de entretenimiento, los investigadores no sólo obtuvieron acceso a parámetros que no tienen importancia crítica, sino también a la conducción del vehículo. Los investigadores planean publicar los detalles técnicos de su incursión en agosto, pero ya ahora se conoce el escenario general según el cual se desarrollaron los acontecimientos.
Hackeo del vehículo
Al principio el conductor perdió el control sobre el aire acondicionado, la radio y los limpiaparabrisas, que parecían haberse vuelto locos. Y después perdió el control del vehículo. El acelerador y el freno obedecían solo a los desarrolladores, que estaban lejos, y no al dueño que estaba al volante.
Merece la pena destacar que el automóvil no había sido modificado. Todo lo descrito se hizo a través de una vulnerabilidad en el sistema Uconnect, instalado a bordo de los automóviles de la corporación FCA, y que se conecta al mundo externo mediante la infraestructura del operador de telefonía celular Sprint. Basta con saber la dirección IP externa de la víctima para suplantar un código en el sistema informático del vehículo (sobre estos aparatos escribiremos un poco más adelante).
La corporación ya ha publicado un parche de software para Uconnect, que se puede instalar en las distribuidoras oficiales o lo puede hacer el usuario por su cuenta mediante el puerto USB, si tiene los conocimientos técnicos necesarios. Por el momento, los investigadores pueden conectarse a la red Sprint y usar la vulnerabilidad de día cero para ver el VIN, las coordenadas GPS y la dirección IP de los automóviles. Por otra parte, según los investigadores, es muy difícil encontrar un vehículo en particular entre los 471.000 que tienen instalado Uconnect.
Kaspersky Lab: concepto de protección
Este no es el primer incidente que revela los defectos de los mecanismos de seguridad integrados de forma predeterminada en los automóviles modernos. Antes de este caso, ya habíamos visto la intercepción local mediante el conector de diagnóstico OBD-II y la suplantación de las actualizaciones de software por medio de una estación celular básica falsa.
Al igual que los productores de sistemas operativos, las corporaciones fabricantes de automóviles implementan mecanismos de seguridad que son importantes, imprescindibles, pero no suficientes. La situación se hace todavía más compleja porque la arquitectura de la red electrónica de a bordo fue diseñada a mediados de los años ochenta, cuando sólo los escritores de ciencia ficción imaginaban que un automóvil se podría conectar a Internet. Y, por consiguiente, a pesar de que los componentes electrónicos son confiables y de operación segura, no podemos decir lo mismo de su protección contra las amenazas cibernéticas. Nosotros, en Kaspersky Lab, estamos seguros de que una seguridad completa y multinivel la puede brindar sólo la combinación de una arquitectura correcta (diseñada tomando en consideración todos los riesgos, entre ellos los riesgos cibernéticos), la configuración de los medios preinstalados y la instalación de soluciones especializadas. Es decir, el mismo método que usamos para proteger las redes informáticas tradicionales.
Arquitectura
El enfoque de Kaspersky Lab se fundamenta en dos principios arquitectónicos: el aislamiento y el control de las comunicaciones.
El aislamiento garantiza que dos entidades independientes no influyan de ninguna manera la una en la otra. Por ejemplo, las aplicaciones de entretenimiento no podrán influir en la red tecnológica. Ni a bordo de un avión, ni de un automóvil.
El control de las comunicaciones garantiza que dos entidades independientes que tienen que interactuar durante el funcionamiento del sistema, lo hagan siguiendo las políticas de seguridad. Por ejemplo, que el sistema encargado de recolectar datos telemétricos y de enviarlos al centro de servicio sólo pueda leer los datos del estado del automóvil, pero no enviar instrucciones de operación. Este control le hubiera sido muy útil al dueño del Jeep.
El uso de criptografía y autentificación para transmitir y recibir información de afuera también es una parte imprescindible de un sistema protegido. Pero, a juzgar por los resultados obtenidos por los investigadores, en el Jeep se usaban algoritmos débiles, o la criptografía estaba implementada con errores.
El enfoque descrito –de aislamiento y control de comunicaciones- se integra de forma natural en la arquitectura micronúcleo de un sistema operativo que cuente con una interacción controlada entre procesos. Cada dominio lógico recibe su propio espacio de direcciones y toda la comunicación entre dominios siempre se realiza mediante el monitor de seguridad.
Productos
Los nodos de electrónica a bordo que controlan funciones de importancia crítica del automóvil y que teóricamente corren peligro de ataque son la unidad principal (head unit, HU) y las unidades electrónicas de control (electronic control unit, ECU) que conforman una completa red de controladores. Son los bloques de control del motor, la transmisión, la amortiguación, etc.
Las unidades principales funcionan con sistemas operativos de tiempo real (real time operating systems (RTOS) QNX, VxWorks y otros). Kaspersky Lab está dispuesto a ofrecer su propio sistema operativo protegido para unidades principales una vez que obtenga todos los certificados necesarios.
Los dos principios arquitectónicos mencionados más arriba (el aislamiento y el control de comunicaciones) son los principios fundamentales del funcionamiento de KasperskyOS, un sistema operativo micronúcleo con control de las interacciones entre procesos.
Hemos creado este sistema operativo desde cero y desde el principio la seguridad fue su prioridad fundamental. Esta es la principal diferencia del diseño de nuestro sistema operativo con los que ahora están instalados a bordo de los automóviles. Hemos bautizado al principal componente del sistema operativo seguro Kaspersky Security System (KSS).
Este entorno en tiempo de ejecución es responsable de dar un veredicto de seguridad a los diferentes sucesos que ocurren en el sistema. Basándose en este veredicto, el núcleo del sistema operativo toma la decisión de permitir o bloquear el suceso o interacción entre procesos. Con la ayuda de KSS se puede controlar cualquier actividad: acceso a los puertos, archivos, recursos de red mediante determinadas aplicaciones, etc. En el presente, KSS funciona en PikeOS y Linux.
En lo que concierne a los bloques electrónicos de control, que sólo cuentan con un pequeño firmware, Kaspersky Lab también está dispuesto a trabajar conjuntamente con los desarrolladores de microelectrónica para brindar seguridad a este tipo de software integrado.
En lugar de conclusión
Es muy difícil dejar de disfrutar de todas las comodidades que nos ofrece la computarización de los automóviles. Pero si los fabricantes de vehículos no se ocupan en serio del problema de la seguridad cibernética de los automóviles conectados a internet y no empiezan a exigir lo mismo a los fabricantes de componentes para automóviles, entonces las personas que se preocupan por su propia seguridad se verán obligadas a usar automóviles clásicos. Sí, porque en los automóviles antiguos no hay ordenadores. Y sí, tampoco tienen inyección automática, sistemas de navegación, control de clima y otros accesorios de moda. Pero tienen algo de bueno: sólo obedecen al humano que está al volante.
Vulnerabilidades 0-day: ahora en automóviles