¿Está infectando un vehículo con un virus?

Un virus o un troyano son piezas de código que automatizan un ataque, y se propagan más o menos automáticamente (la terminología es un poco descuidado ). Primero debe haber una vulnerabilidad que pueda ser explotada para ejecutar código malicioso en el objetivo. Hay muchos tipos de vulnerabilidades, incluido un usuario crédulo que "abrirá archivos adjuntos ejecutables" (el principio básico de muchos troyanos), pero debe haber algunos. Luego , el virus / troyano / malware lo lleva a un nivel superior a través de la automatización.

Con una vulnerabilidad, el atacante obtiene cierto control sobre un auto. La mayoría de los atacantes se detendrán allí porque son ladrones de autos y no quieren tomar el control de ningún otro automóvil que no sea el que está al lado. Más aún, no quieren robar un automóvil que está "demasiado dañado", ya sea de forma mecánica o lógica.

Un virus de automóvil, "infectar" muchos automóviles, permitiría robos a gran escala, por ejemplo. sumergiendo a todo un país amante de los autos en el caos de los peatones, o chantajeando a las autoridades con la posibilidad de matar a conductores al azar (cuando escribo eso, casi escucho la voz de Bruce Willis haciendo chistes mientras disparaba a los villanos). Si bien este sería un gran escenario de Hollywood, espero que ocurra primero el robo masivo de autos. Obtendremos advertencias.

Una propiedad que redime a los automóviles es que no están centralizados electrónicamente, no es lo mismo que un teléfono inteligente. Un iPhone tiene una sola CPU grande que hace todo. Un automóvil tiene docenas de CPU pequeñas, cada una responsable de una o dos tareas. A pesar de que están vinculados entre sí, todavía tienen mucha autonomía. Un ataque remoto en un automóvil probablemente permitiría apagarlo, o destellar las luces, pero no anularlo todo. Las regulaciones de fabricación de automóviles también son inflexibles: pase lo que pase, el conductor aún debe poder frenar presionando el pedal, incluso en caso de un colapso total de la electrónica, por ejemplo. después de haber sido golpeado por un rayo. El freno de mano, también, se supone que es completamente mecánico, sin parte eléctrica. Mientras estas propiedades se mantengan, no puedes ser secuestrado por tu propio coche, incluso si tiene habilidades de "conducción automática".

Para ser honesto, no me preocupan solo los virus / malware, sino también los posibles errores en todos los componentes electrónicos del automóvil / vehículo.

Durante la conferencia "Hack in the Box" en Ámsterdam, un investigador de seguridad Hugo Teso demuestra cómo tomar el control del sistema electrónico de un avión con una aplicación de Android ( enlace ).

Nuestro rol, el rol de la comunidad de esta manera es investigar e informar / compartir nuestros resultados para evitar que alguien use esta información de una manera incorrecta. Es un papel importante, pero es la única manera que conozco de hacer todo lo mejor para los demás.

Los automóviles modernos se construyen a partir de docenas (o incluso cientos) de sistemas informáticos interconectados, por lo que ciertamente no hay razón para que no sean susceptibles al malware; ya ha notado el ejemplo reciente de piratas informáticos que juegan con un auto mientras un reportero lo conduce.

¿Se están tomando medidas técnicas para reducir la posibilidad? Algunos. Muchos de esos sistemas están ubicados en ROMs horneados de fábrica que no pueden ser reprogramados, o que tienen una cantidad muy limitada de RAM, y por lo tanto no pueden albergar una infección de malware. Pero en general, toda la arquitectura del bus CAN se diseñó hace mucho tiempo sin tener en cuenta la seguridad, y todo el vehículo debe tratarse como una entidad de confianza única.

Usted mencionó el acceso físico anterior, pero esa brecha se está ampliando a medida que los fabricantes de automóviles intentan proporcionar "características" más integradas para los consumidores. ¡Mi coche proporciona no menos de veintitrés puntos de entrada disponibles tanto para mí como para posibles atacantes!

Bloqueado de forma segura dentro de la cabina hay un puerto USB y una unidad de CD / DVD que se interconecta directamente con el estéreo; También está el conector OBD-II. A menos que el atacante ya esté dentro de mi automóvil, (como un "amigo" con una memoria USB), esos son bastante seguros.

Externamente, hay tres lectores RFID de corto alcance disponibles, en el maletero, en la puerta del conductor y dentro de la cabina. Hay cuatro sensores y receptores de presión de neumáticos de corto alcance basados en RF. Hay un sistema Bluetooth que interactúa con el estéreo que tiene un alcance de al menos diez metros fuera del vehículo. Hay un transceptor de entrada sin llave remoto basado en RF que funciona desde varias docenas de metros. Y hay un arrancador remoto basado en RF independiente que funciona desde 500 metros de distancia. Finalmente, el estéreo recibe transmisiones de datos de radio HD y de satélite para música, tráfico, clima, noticias y otros tipos de datos.

Cualquiera de esos ofrece algún tipo de acceso al sistema electrónico de mi auto, y solo puedo confiar en que el fabricante de automóviles los ha asegurado a todos.

Además de las interfaces basadas en datos anteriores, hay otros puntos de entrada al automóvil que están conectados al bus. Hay una cámara orientada hacia atrás en el maletero y una cámara orientada hacia delante para un sistema de seguridad para el conductor. ¿Es posible que tengan una biblioteca que pueda leer y analizar códigos de barras por alguna razón legítima? Si es así, ¿se puede usar un código de barras para inyectarles un ataque? También hay un transceptor de radar, cuatro sensores de alcance ultrasónicos, y el sistema de navegación tiene un receptor GPS. Si bien no tengo idea de cómo un atacante podría usar cualquiera de esos para obtener algún tipo de acceso, y los clasificaría como un riesgo muy bajo, eso no descarta el hecho de que personas muy inteligentes hayan atacado todo tipo de sistemas anteriormente.

Finalmente, hay otra área de vulnerabilidad no obvia: los espejos laterales. Mis espejos tienen al menos tres funciones electrónicas: movimiento remoto X-Y, atenuación de las luces de cortesía y una luz de advertencia de "punto ciego ocupado". Para manejar toda esta actividad, solo puedo asumir que el bus CAN se extiende hacia la carcasa del espejo, lo que significa que un ladrón con un destornillador es probablemente solo una pequeña pieza de plástico lejos de la interfaz con mis componentes electrónicos desde fuera de mi auto. A partir de ahí, podría decirle a las puertas que desbloqueen, coloquen en su propio dispositivo malicioso o hagan lo que él quiera.

Este coche también tiene tres años. Los autos más nuevos incluyen puntos de acceso WiFi y transceptores GSM, que ofrecen opciones de conectividad cada vez más accesibles para el posible atacante. Las características definitivamente se están expandiendo más rápido que la seguridad.

He escrito el cargador de arranque de un sistema de navegación para un automóvil moderno. (No nombrar marcas aquí, pero puedes buscar en Google y adivinar). Fuimos absolutamente conscientes del riesgo, incluso años antes del "Hack in the Box" que mencionó @fdicarlo. Para complicar aún más las cosas, tuvimos que arrancar Linux, seguir las reglas GPL y seguir siendo seguros.

Sí, eso significa que una memoria USB adecuada podría iniciar la instalación de una nueva versión de Linux. Sin embargo, no sería muy sutil: transferiríamos el procedimiento de instalación a una subrutina que dejaría muy claro al usuario lo que iba a suceder, incluida la pérdida de garantía cuando faltaba nuestra firma digital. Ese es un diálogo suficientemente aterrador sobre hardware que supera los 10.000 euros. Y para aclarar: ese diálogo provendría del cargador de arranque, no del antiguo ni del nuevo núcleo de Linux.

Una segunda línea de defensa también se basó en esa firma digital. Claro, la GPL te permite reemplazar el kernel de Linux. Nosotros arrancaríamos un kernel sin firmar. Eso no quiere decir que el resto del coche hable con ese núcleo. Si desea ejecutar un reproductor de video, siéntase libre, pero no puede mostrar la velocidad actual del automóvil. Esa defensa se ejecuta hasta el nivel de hardware. El controlador de bus CAN simplemente no arrancaría si faltara la firma correcta.

E incluso ese no era el último nivel de seguridad. Para evitar que el automóvil contra errores, el bus CAN mismo se dividió físicamente en dos, con una "válvula de paquete" copiando los paquetes desde el control del motor central a los sistemas de observación, pero no al revés. El puerto de diagnóstico a bordo está en el lado de control, ya que puede iniciar rutinas de autoprueba. Es por eso que los "hackers" pueden mostrar tales "hacks peligrosos". Su teclado es inseguro cuando las personas pueden insertar keyloggers físicos, su coche es inseguro si las personas también tienen acceso al hardware.

En resumen, los autos no presentan un solo nuevo riesgo de seguridad, y las compañías de automóviles profesionales han tenido bastante buena seguridad desde el principio.

Recientemente formé parte de un OEM que ofrece un sistema de información y entretenimiento muy conocido. Debe comprender que la mayoría de las ECU en el automóvil son software personalizados que requieren interfaces especiales y claves de seguridad para ser flash. En primer lugar, los vehículos actuales generalmente necesitan acceso físico para poder realizar algunos de estos trucos, en algunos casos anulando su garantía. En el futuro, esto se convertirá en un desafío mayor ya que a los OEM les gustaría entregar software a cualquier ECU de un vehículo por aire (es decir, Tesla S)

En el nivel del sistema de infoentretenimiento, puedo decirles que la arquitectura del sistema fue diseñada de modo que el sistema operativo (al ser una variante de Windows) no fuera confiable. Se agregó una capa adicional de seguridad (se puede considerar como un firewall) al SOC que aloja un sistema operativo en tiempo real que se encarga de administrar las señales CAN externas. La existencia de una "Lista blanca" en este servidor de seguridad permite que el control de las señales adecuadas llegue al sistema operativo. Cualquier otra cosa está prácticamente en la lista negra. Esta capa adicional de seguridad agrega la capacidad de agregar señales CAN a la lista blanca, pero requiere seguridad específica del OEM (incluidos los mensajes telemáticos y de servidor de back-end) para poder hacerlo.

Al investigar sobre un tema relacionado, encontré este hilo y también este documento .

Lo más interesante es el hecho de que muchos de los protocolos de seguridad ... simplemente no funcionaron. Una de las cosas más aterradoras en este documento fue el hecho de que tuvieron acceso a los controladores de los frenos y que podrían inhabilitarlos o habilitarlos a voluntad. Si bien necesitaría acceso físico al automóvil para poder hacer esto, no veo por qué no se pudo desarrollar un módulo de hardware personalizado para adjuntarlo a un puerto OBD2 y causar caos, ya sea tomando comandos remotos o usando activadores precargados (cuando a velocidad x, enviar paquete x, etc.).

Como se indicó en otras respuestas, las cualidades redentoras de la mayoría de los autos es la descentralización de sistemas importantes, y en los vehículos más antiguos, la falta de conectividad también ayuda a reducir la superficie de ataque. Un virus tendría que ser realista para adaptarse a un vehículo específico, y tendría que ser distribuido por algún dispositivo que se conecte físicamente a él, como un lector de códigos de mecánica, etc.