Coches y hacking: una peligrosa combinación

Hoy se da el pistoletazo de salida a la BlackHat 2013 (EN), que junto con la DefCon (EN) (que se celebra también estos días) son dos de las convenciones de seguridad informática más importantes de EEUU.

keyless car

Puesto que no hay dinero para pegarme la juerga padre una semana en Las Vegas, seguiré los eventos por los canales de streaming de toda la vida, por twitter, y por algún que otro blog como el de Chema (ES) y el de ESET (ES).

En las numerosas ponencias, seguramente tendremos un nutrido grupo de 0days, la mayoría basados en exploits java y malas implementaciones en dispositivos móviles (ojito al NFC, a las wifis públicas, y demás), pero sobre todo, tengo especial interés en ver con qué nos vienen estos expertos en seguridad en referencia particularmente a dos temas: la seguridad de los dispositivos de ehealth, de la que ya he hablado hace relativamente poco, y que lamentablemente contará con un gran vacío por el fallecimiento de Barnaby Jack (EN), que tenía organizada una charla con el sugerente título de “Hacking Humans” (EN), y la seguridad en vehículos, el tema del que quería hablar en este artículo, y del que Charlie Miller y Chris Valasek tendrán mucho que decir (EN) estos días.

miller_car_hack

Estos dos investigadores presentarán estos días un sistema que, mediante acceso físico al vehículo (Toyota Prius y Ford Escape en este caso), podrían gestionar de forma remota el control del vehículo, ya sea acelerando o frenando, moviendo el volante…

Y es que conforme más pasa el tiempo, las comodidades de la electrónica y las nuevas tecnologías están creando una sucesión de vehículos con prestaciones realmente increíbles, que incluso llegan a conducir solos (ES). A esto unirle la sincronización wifi con nuestro smartphone, la apertura de puertas mediante bluetooth, y la gestión de funcionalidades críticas mediante cálculos en la nube.

El cambio es sin duda a mejor (no hay más que coger un coche de los años 70 y otro actual para darse cuenta de las comodidades de los de ahora), pero lleva consigo asociado un peligro, al tratarse de sistemas cada vez menos dependientes del factor humano, en los que delegamos acciones que pueden ser vitales (como el control del espacio mínimo entre coches en una autopista, o la distancia al bordillo al aparcar).

Y sino preguntárselo a Flavio García (EN), investigador de la Universidad de Birmingham, y que sufre a día de hoy un bloqueo legal por parte de Volkswagen (ES) que le prohíbe sacar a la luz un estudio en el que desvela el algoritmo Megamos Crypto, usado por las llaves de apertura de la amplia mayoría de coches de la actualidad, con diversas marcas, desde VW, pasando por Audi, Porsche, Lamborghini,…

Se abre por tanto un nuevo campo, el del car hacking, y que tiene varias cuestiones asociadas:

  • La libertad de personalizar el vehículo: algo que ya hemos vivido con los dispositivos convencionales, y que cada vez más parece una realidad en nuestros vehículos (EN). Muchos de ellos ya cuentan con soporte a sistemas operativos en sus pantallas, y hay movimientos interesantes de apertura a desarrollos de apps de terceros, o liberación de información centralizada para apps del Yo Cuantificado en nuestros dispositivos.
  • El peligro que conlleva: Y es que ya no solo hablamos de pérdidas económicas, o fuga de información, sino que un vehículo sirve de transporte, y mal usado puede ser un peligro para la vida de las personas. Es ponerse muy pesimistas, pero imaginaros un futuro en el que la amplia mayoría de funciones críticas sean controladas en remoto, y alguien sea capaz de hacerse con el control del mismo.
  • Oscurantismo frente a transparencia: uno de los temas tratados hasta la saciedad en este blog. Por un lado las compañías, como lobby de la industria, intentando cerrar bocas con la excusa de evitar facilitar el ataque sistematizado de los sistemas de sus vehículos, y con el miedo real al que el consumidor sepa la verdad. Y por otro el de los investigadores, presionando a las compañías con divulgar a los cuatro vientos los fallos de seguridad de sus productos, en un alarde de transparencia que para nada interesa a las empresas (obcecadas en la falsa sensación de tranquilidad del oscurantismo).