authUSB

PENTESTING A VEHÍCULOS CONECTADOS. En la última década, la industria del automóvil ha experimentado un enorme aumento del número de componentes informáticos integrados en los vehículos. Hoy en día, los coches son prácticamente ordenadores sobre ruedas y, al igual que nuestros ordenadores están conectados entre sí. Ed Adams, consejero delegado de Security Innovation, señaló que mientras un avión Boeing Dreamliner tiene cerca de 6,5 millones de líneas de código, una furgoneta Ford tiene unas 20 veces esa cantidad, con 130 millones de líneas de código junto con más de 100 chips diferentes, tres kilómetros de cable y 10 sistemas operativos. Si bien la incorporación de estos sistemas informáticos tiene por objeto hacernos la vida más fácil y segura, con la introducción de funciones como el seguimiento por GPS, el análisis telemático de datos, los sistemas de aviso de cambio involuntario de carril (LDWS), los sistemas de detección y prevención de colisiones etc, estos mismos módulos que nos ayudan en la conducción pueden ser explotados para causar daños. Si los fabricantes dejan sin abordar y sin respuesta medidas vitales de ciberseguridad de los vehículos, la introducción de estos ordenadores avanzados puede aumentar la superficie de ataque y el riesgo potencial. Hace unos meses un fabricante de automóviles me propuso realizar un pentesting a una solución que habían inventado para hacer que vehículos normales pudieran transformarse en vehículos conectados, con las grandes ventajas del GPS, gestión de flotas etc. Disponía de tres partes, un dispositivo que se instalaba en el vehículo, un servidor en la nube que recibía los datos de los vehículos y una app móvil que instalaban los clientes en su móvil y recibía los datos del vehículo. Después de las diferentes pruebas llegamos a la conclusión de que la comunicación entre el vehículo y la nube era vulnerable, pues podíamos simula una antena GSM para capturar y manipular datos. La aplicación en la nube estaba afectada por diversas vulnerabilidades que nos permitieron tomar el control del servidor. Y por último la aplicación del móvil, no usaba los controles adecuados, algo que nos permitió sin mucho esfuerzo leer los parámetros que registraban otros usuarios. ¿Qué quiero decir con esto? Pues que la única manera de que avancemos es la seguridad por diseño, e implementar seguridad en todas las fases del desarrollo del tipo que sea. Estamos tratando con algo tan valioso como las vidas humanas como para no preocuparnos por la seguridad que las rodea.