Hacking Cars

En anteriores reflexiones ya cuestionábamos la inseguridad implícita en el naciente internet de las cosas, dentro de los avances modernos, uno de los que más pueden cambiar el mundo son los vehículos autónomos, que hacen parte del concepto de ciudad inteligente, que traen muchas mejoras, que permiten de manera inteligente y apoyadas en información en tiempo real desde disminuir el tiempo de los recorridos, disminución de accidentes de tránsito, ahorros en consumo de combustible, utilizando la información para transitar por las  mejores y más rápidas rutas, hasta aislar a los pasajeros del mundo real por medio de tecnologías de inmersión en ambientes recreados como una lejana y no muy concurrida playa incluyendo los sonidos ambientales, para que los pasajeros olviden el stress de la vida cotidiana durante el tiempo que demore su viaje, GPS, reconocimiento de comandos por voz, cámaras, sensores de movimiento, radares, la posibilidad de que estos autos transiten de manera autónoma , sin un conductor humano al mando del vehículo es otra de sus características que ya lleva tiempo en prueba y para la cual algunas ciudades han comprometido fechas bastante cercanas de aprobación oficial con la cual podrán rodar por las calles.

Los adelantos tecnológicos de los que harán uso y la necesidad de interactuar con el entorno los conectan con internet de donde extraer y cargan gran parte de la información con la que interactúan (estado del tráfico, clima, embotellamientos, música, asistencia, etc), pero esta misma característica los hacen inseguros, la implementación de las conexiones a internet y el análisis de esta información para la toma de decisiones implica que tengan algún sistema operativo encargado de orquestar toda la operación necesaria, software con capacidad de analizar y correlacionar cientos de datos en tiempo real para con ello de manera programada tomar acciones en consecuencia implica de hecho una lógica que puede a través del software puede ajustarse o porque no cambiarse….

Además de las consideraciones propias de temas de responsabilidad en casos de accidentes, del análisis de si es bueno o malo (conductores sin empleo, bajas de ventas de vehículos, etc), y entrando al tema que nos interesa, la seguridad del vehículo vista desde el punto de vista de los diferentes elementos que componen el auto y de la inseguridad que es innata en cualquier sistema lo convierten en una red de computadores hackeable

http://www.forbes.com/sites/andygreenberg/2013/07/24/hackers-reveal-nasty-new-car-attacks-with-me-behind-the-wheel-video/

En 2010 y 2011 investigadores de la Universidad de Washington y de la UC de San Diego publicaron como resultado de su investigación los siguientes dos documentos

Experimental Security Analysis of a Modern Automobile

http://www.autosec.org/pubs/cars-oakland2010.pdf

Comprehensive Experimental Analyses of Automotive Attack Surfaces

http://www.autosec.org/pubs/cars-usenixsec2011.pdf

En estos documentos los investigadores demuestran como un hacker puede comprometer la seguridad del vehículo sin necesidad de tener acceso físico al mismo, demostrando que el hacker puede obtener acceso a través de Bluetooth, remote KEYLESS Enry, RFID’s Sistema de monitoreo de la presión de las llantas, WiFi y de comunicaciones dedicadas de rango corto, pero que también se pueden acceder con sistemas de rango largo (Mayores a un Kilómetro) como GPS, radios satelitales, radio digital y canales de trafico de mensajes.

http://motherboard.vice.com/blog/how-easily-can-a-moving-car-be-hacked

El nivel de seguridad según varios de los investigadores sería el de los primeros computadores conectados a Internet, esto sumado a los resultados de los investigadores dan un panorama de lo inseguro que puede ser transitar en uno de estos vehículos. Bloquear los frenos o estrellar un vehículo a alta velocidad se distancia un poco de la inseguridad que conocemos en los sistemas en donde las pérdidas son enormes, pero en donde rara vez como consecuencia directa de estas acciones una o varias personas están en riesgo de perder la vida, pero al colocar nuestra integridad física, nuestra vida o la de nuestra familia a depender de las acciones o reacciones de sistemas que han demostrado muchas vulnerabilidades explotables de manera tanto local como remota es otro nivel y en ninguno de los casos es una decisión trivial, aumentar la complejidad en un sector como el automotor en donde la normatividad es laxa incluyéndoles las no pocas preocupaciones de la seguridad informática cambia el horizonte y nos obliga a re-pensar todo el modelo, normas, leyes y demás de todo el sector del transporte.

Sin embargo desde mi punto de vista n auto de al menos una tonelada que puede desplazarse a más de 150 kilometros por hora con nuestra familia adentro controladó por miles de componentes cuya seguridad es muy pobre..... no es una buena combinación o si...?

El internet de las cosas apoyará a la obsolescencia programada?

Apreciados lectores, luego de algunos meses de ausencia motivados por la terminancoión de mis estudios, reromamos el blog y hablaremos de una de las tendencias que esta tomando mucho auge que es el Internet de las cosas, una de las vertientes más interesantes de los últimos tiempos, ya habíamos revisado algunas implicaciones de seguridad, pero dado la amplitud de esta tendencia seguramente solo estamos viendo la punta del Iceberg, el hecho de que una impresora (por mencionar un elemento de uso diario de millones de personas, aunque podemos hablar de los focos de la luz, etc) venga programada para dejar de imprimir al alcanzar un número determinado de páginas no solo es un atentado contra la calidad de los productos, sino contra el cliente que confía en una marca que destruye su propio valor con estas prácticas, sino que apoya el consumismo (que ya sabemos que está causando enormes prejuicios a nuestro planeta), la calidad del producto ya no tiene nada que ver con el ciclo de vida del mismo, simplemente cuando el fabricante quiera termina el servicio del producto.

El internet de las cosas le va a dar a la obsolescencia programada un argumento muy complicado de debatir y seguramente los fabricantes están ajustando sus argumentos apoyados en ello (algunos de ellos puede que ya lo hayan hecho)

La seguridad en el internet de las cosas será el nuevo argumento (alguien quiere discutir con ello ? o mejor puede alguien refutar convincentemente este solido argumento), el hecho de que nuestros elementos de uso diario se puedan conectar a internet para labores de actualizaciones, labores administrativas, control remoto y otras, solo será un caldo de cultivo para que las vulnerabilidades permeen un mercado que esta apenas en pañales y al cual le hace falta mucha madurez. Ya hace años existen los web site que permiten ver sin conocimiento de los dueños las cámaras web, será cuestión de navegar y ver si ya están disponibles, los sensores de humo, la neveras, etc.

Tal como habíamos apuntado en una entrada anterior, la implementación del protocolo TCP/IP en elementos que relativamente recién llegan a internet generaran muchas vulnerabilidades de seguridad, y el usuario común preocupado más por la funcionalidad que por la seguridad no las tendrá en cuanta hasta que sea demasiado tarde para la privacidad de su entorno o de su información confidencial, los exploits serán más complejos de diseñar (no de utilizar), habrá que saltar de la Nevera al televisor de este a la table o al PC´s y en alguno de ellos o en todos estará diseminado el tesoro de la información, privada, cuentas bancarias, reportes de salud, etc. El entorno puede terminar volviendo el entorno del hogar (con múltiples fabricantes, múltiples dispositivos y múltiples usuarios tan o más complejo que los entornos empresariales, con la desventaja que en estos últimos el uso de las tecnologías de seguridad es un requisito ampliamente conocido y utilizado (sin entrar en el detalle de la efectividad), las herramientas de exploit que avanzan más rápido que las de seguridad ofrecerán muy seguramente algunas que puedan escanear todo el entorno y abrirse paso por los diferentes dispositivos seleccionado los más fáciles de vulnerar y seguramente cubriendo las huellas apoyándose en los otros dispositivos, podemos en este punto imaginar varios escenarios a cuál de ellos más horrorizaste que el anterior, que nos vean en ropa interior viendo TV puede darle más susto al espectador ilegal que al despistado usuario, pero que de ahí revisen nuestro celular o que se lleven la base de datos de clientes de nuestra laptop corporativa es otra cosa, pero seguramente está más ceca de lo que prevemos.

Las dudas son muchas, como se manejara la seguridad de estos dispositivos, y quien les dirá a los fabricantes que yo quería tener mi impresora para regalársela funcionando a alguno de mis nietos, si dejaran de sacar las actualizaciones de seguridad mucho antes de que la calidad del dispositivo haga evidente que se debe cambiar…?.

La tarea de seguridad solo sigue ampliándose, sino que evidentemente cada vez se hace más compleja (sin contar con la poca ayuda de los usuarios), el modelo deberá migrar de manera lógica y natural a que no compres nada, solo alquilas los elementos durante el tiempo que tendrán soporte por el fabricante y el  los reemplazara por las nuevas versiones sin costo…. (amanecerá y veremos), este nuevo modelo que se vislumbra a futuro permitía a los fabricantes retomar sus productos y generar ahorros en materia prima, ahorros que de corazón espero que nos pasen a nosotros como usuarios. Y no habrá obsolescencia programada porque todo tendrá fecha de expiración, incluyéndonos a nosotros cuando la cibernética, la robótica y la nanotecnología nos eliminen nuestras falencias pero que hagan al hombre cada día más un producto con fecha de expiración.

Queda una alternativa para aquellos de la vieja escuela, un televisor no tiene por qué ser tan inteligente debe ser solo un televisor que lo pueda agar cuando yo quiera al igual que la mayoría de los elementos que empiezan a ser la estrella del internet de las cosas…..No hay que ser alarmista pero en mi casa todas las cosas que compremos serán medio tontas y verificare que sean fáciles de desconectar…..y ustedes….?