El car hacking alcanza nuevas cotas de peligrosidad

Existe una diferencia esencial ente los hackers criminales y los hackers de sombrero blanco -white hat hackers- que se dedican a hacer el bien, investigando para la sociedad. Esto es algo que va a quedar muy bien ilustrado en el ejemplo de hoy.

Black hat vs White Hat

Podemos decir que, cuando un white hat hacker encuentra una vulnerabilidad, la explorará y escribirá una presentación bastante interesante sobre como se llega a explotar dicha vulnerabilidad. Sin embargo, una vez allí se detendrá y no aprovechará el agujero de seguridad en su beneficio propio, dando tiempo a la empresa a parchear el producto.

Sin embargo, cuando un criminal encuentra una vulnerabilidad este no irá corriendo a informar a nadie. Lo que hará es, sencillamente, explorar a fondo el error y averiguar que ventajas le supone a él, sobre todo económicamente. En estos casos, al ser la única persona alerta del error, tendrá una gran cantidad de tiempo para hacer experimentos.

Y con hacer experimentos y recopilar información me refiero a presentar una vulnerabilidad crítica. Y no se a vosotros, pero a mí no se me ocurre nada más crítico que asesinar a personas.

Hay algo que debemos tener en cuenta cuando hablamos de investigación en hacking de vehículos -en caso de que aparezcan ataques Zero Day en los mismos- y es que se pueden producir accidentes. Y estos accidentes pueden ser cada vez más graves, pudiendo ya costar la vida a los ocupantes.

El car hacking, de amenaza a realidad

Durante el BlackHat USA de la pasada semana, los expertos en seguridad Charlie Miller y Chris Valasek (conocidos ya con anterioridad) presentaron un evento para informar a los asistentes de los últimos peligros del car hacking.

Estos dos investigadores ya se hicieron famosos en su momento por revelar los peligros de hacking en el Jeep Cherokee, algo que comentamos hace meses y donde se podían afectar ya partes importantes del vehículo, como el motor, frenos o sistema de info-entretenimiento a velocidades de 70 km/h.

Valasek y su compañero habían utilizado vulnerabilidades Zero Day en aquel vehículo, basadas en su unidad Uconnect. Esto obligó a Chrysler a llamar a talleres a 1,4 millones de vehículos.

Lo que era peor en esta historia, lo más preocupante, es que todo se producía de forma remota, de hecho a miles de kilómetros de distancia. Si en este caso no se llegaba a un desastre era simplemente porque el vehículo no aceptaba cambios a altas velocidades.

Hackeo de vehículos a altas velocidades

Pero todo eso parece haber cambiado, como informa Wired, ya que en la conferencia BlackHat los hackers han revelado como es posible hacer cosas mucho más peligrosas, sin importar la velocidad del vehículo.

Enviando un mensaje cuidadosamente modificado al bus CAN interno del vehículo, son capaces ahora de hacer cosas más dañinas, trucos sin precedentes que podrían causar, por ejemplo, aceleración involuntaria descontrolada, hacer fallar los frenos o girar el volante a cualquier velocidad.

El siguiente vídeo ilustra como los investigadores han podido asumir el control de un vehículo en movimiento y girar de forma violenta y sin aviso la dirección:

Dado que los mismos expertos informaron previamente a Chrysler, estos peligrosos ataques ya no pueden ejecutarse de forma remota, sino solo contando con acceso físico al interior del vehículo.

Pero esto no resta gravedad al problema de fondo: ¿qué habría pasado si estos problemas no fueran informados por hackers white hat y fueran aprovechados por gente con dudosas intenciones? ¿Qué pasaría si la gente y medios no presionase a las marcas para que parcheasen los vehículos?

Esto debería ser suficiente para hacer comprender a todos a lo que nos enfrentamos, y ser suficiente para convencer de una vez a los fabricantes de que necesitan desplegar verdaderas auditorías de seguridad al lanzar este tipo de sistemas.