«Imagine que trabaja en investigación química en una base. Su ubicación es secreta. Pero tiene un coche inteligente. A través de otras actividades de espionaje, descubro que trabajas allí. Hackeo tu teléfono o la cuenta online de tu coche», dijo Keatron Evans. «Rastreo tu ubicación mientras vas al trabajo cada día. Ahora sé la ubicación GPS específica de tu centro de trabajo. A partir de ahí, todo va cuesta abajo».
Todos los que frecuentan el Ejército o las embajadas conocen las estrictas restricciones impuestas a los teléfonos móviles, los relojes inteligentes y las cámaras.
Pues bien, hay una nueva amenaza en la ciudad. Las Fuerzas de Defensa de Israel (FDI) están evaluando el peligro de los coches conectados con cámaras y sistemas de posicionamiento global (GPS) y podrían prohibir su entrada en sus bases. Los oficiales superiores de las FDI tienen coches alquilados y los usan para ir al trabajo. Muchos oficiales de la Fuerza Aérea de Israel conducen cerca de sistemas avanzados, como cazas de fabricación estadounidense y otros aviones.
Un portavoz de las FDI dijo: «La mejora continua de los sistemas de seguridad de los vehículos, incluidas las cámaras, los sistemas de posicionamiento y la conectividad constante a Internet, es esencial para mejorar la seguridad vial. Al mismo tiempo, esto expone al vehículo y su entorno a las amenazas cibernéticas y a la seguridad de la información. Por lo tanto, las FDI realizan una evaluación continua de la situación para validar las amenazas en evolución y preparar la respuesta necesaria.»
Varios expertos afirman que los civiles trabajan en muchas bases de las FDI, lo que aumenta la amenaza potencial.
La noticia de la preocupación por la posible amenaza a la seguridad por parte del coche fue reportada por primera vez por el diario israelí Calcalist.
«Definitivamente es una amenaza real», dijo Keatron Evans a Breaking Defense. Evans es un investigador de seguridad en la empresa estadounidense Infosec, así como un experimentado probador de penetración que ha formado y asesorado al personal de ciberseguridad de conocidas empresas de automoción.
«La mayoría de los coches conectados tienen cámaras y capacidades de grabación de audio que se pueden activar de forma remota», dijo Evans. «Esto es por diseño. A veces, dentro de los confines de una base, las personas discuten cosas clasificadas que no deberían fuera de una instalación clasificada, como una Instalación de Información Compartida Sensible. Cuando ven a otras personas, son más cuidadosos. Pero los coches son generalmente vistos como no amenazas. Si a esto le añadimos el hecho de que ni siquiera es necesario comprometer el coche, sino sólo la cuenta del propietario o el teléfono móvil, se crea literalmente el vector de espionaje perfecto».
Dennis Kengo Oka, principal estratega de seguridad en el sector del automóvil de la empresa estadounidense Synopsys y autor del libro Building Secure Cars: Assuring the Automotive Software Development Lifecycle, declaró a Breaking Defense: «Es importante tener en cuenta que, a menudo, estos ataques requieren múltiples pasos, desde obtener acceso remoto al vehículo hasta atravesar lateralmente la red del vehículo para llegar finalmente al sistema objetivo del mismo. Por lo tanto, los atacantes tienen que eludir varias contramedidas de seguridad, lo que suele requerir un alto nivel de conocimientos y una gran cantidad de tiempo y esfuerzo, por ejemplo, para aplicar ingeniería inversa a los protocolos de comunicación, romper los mecanismos de autenticación, etc. Así que, aunque hemos visto ejemplos de posibles ataques, es importante tener en cuenta que dichos ataques suelen requerir múltiples pasos.»
La empresa de automóviles de Elon Musk, Tesla, comenzó a vender sus coches en Israel hace tres semanas, y la demanda es alta. «Los coches avanzados están equipados con cámaras y sistemas GPS, y pueden ser hackeados y, por tanto, los datos pueden ir a parar al enemigo», dijo un experto en seguridad a Breaking Defense.
«Algunos de estos vehículos presumen de tener cámaras 4k o al menos HD», señala Evans. «Eso no es sólo un nombre elegante para una resolución. Puedes tomar una foto aparentemente inofensiva de un edificio a 1.000 pies de distancia, pero en 4k, acercarte mucho con el vídeo o la imagen resultante, y puedes ver secretos que no se pueden ver desde fuera del edificio. Las cámaras 4k son mucho, mucho mejor que nuestros ojos para espiar por esta razón».
En cuanto al GPS, Evans dijo: «Este es un poco más simple, pero conocer la ubicación GPS de una base militar no es una información difícil de encontrar. Pero la ubicación GPS de un edificio secreto específico en esa base es una historia diferente. Imagina que trabajas en una parte de la base dedicada a la investigación química. Su ubicación es secreta. Pero tienes un coche inteligente. A través de otras actividades de espionaje, descubro que trabajas allí. Hackeo tu teléfono o la cuenta online de tu coche. Rastreo tu ubicación mientras vas al trabajo todos los días. Ahora sé la ubicación GPS específica de tu centro de trabajo. A partir de ahí, todo va cuesta abajo».
Los propios coches no son el único lugar en el que podría producirse el espionaje, señaló Oka. «Aunque los coches conectados pueden almacenar algunos datos sensibles y privados que pueden ser objetivo de los atacantes, es igualmente importante tener en cuenta que algunos de estos datos también pueden estar almacenados en los sistemas backend de los fabricantes de automóviles y, en algunos casos, también en las aplicaciones móviles proporcionadas por los fabricantes. Por lo tanto, los atacantes pueden dirigirse directamente a un coche conectado para identificar y explotar las vulnerabilidades y tratar de extraer datos sensibles, pero en algunos casos, también puede ser posible dirigirse al canal de comunicación entre un coche conectado y el backend, dirigirse al propio sistema de backend, o dirigirse a la aplicación móvil del fabricante de automóviles en el teléfono móvil del usuario. Un atacante buscará el eslabón más débil de la cadena, por lo que en lugar de dirigirse a un vehículo reforzado, un atacante puede dirigirse al backend o a la aplicación móvil. En consecuencia, además de asegurar el propio coche conectado, es imperativo que los fabricantes de automóviles también empleen enfoques para asegurar sus sistemas backend y las aplicaciones móviles pertinentes.»
Alissa Knight, socia de la empresa estadounidense Knight Ink y autora del libro Hacking Connected Cars: Tactics, Techniques, and Procedures, destacó una amenaza que va más allá del mero espionaje: los adversarios que hackean y controlan los vehículos a distancia.
«Mucha gente cree erróneamente que no es vulnerable a un ataque si no está conduciendo un Tesla», dijo Knight a Breaking Defense. «El hecho es que tu coche está conectado si fue fabricado después de 2001».
Knight lo demostró hackeando un vehículo de las fuerzas del orden en el que tomó el control remoto, incluyendo el arranque y la parada del motor, así como el bloqueo y desbloqueo de las puertas. Knight concedió a Breaking Defense permiso para publicar un vídeo en YouTube de su pirateo del coche, lo que fue permitido por las fuerzas del orden de antemano. Resumió resumió su metodología a Breaking Defense. «Mientras que la mayoría de los investigadores se centran en las vulnerabilidades del bus [de la red de área de control] del coche, lo que requiere el acceso físico al puerto de diagnóstico dentro del coche, yo soy único en el hecho de que me gusta centrarme en los ataques remotos a través del [Global System for Mobile Communications] a través de la unidad de control telemático (TCU)».
La TCU es algo así como un router para el coche, explicó Knight, que permite que el backend del fabricante de automóviles envíe actualizaciones o se comunique con el coche, como el bloqueo o desbloqueo de las puertas o el arranque/parada del motor. Los coches se comunican mediante interfaces de programación de aplicaciones (API). Las API permiten que las aplicaciones (por ejemplo, las aplicaciones móviles) y los sistemas integrados, como los que se encuentran en los vehículos de pasajeros conectados, se comuniquen con los servidores backend, dijo.
«Como investigador de vulnerabilidades», dijo Knight, «tiendo a centrarme en el hackeo de vehículos conectados a través de las API o, si estoy cerca del vehículo, a través de estaciones base falsas (torre de telefonía móvil falsa) dirigidas a la TCU del vehículo. La TCU básicamente convierte el vehículo en un teléfono móvil con ruedas. Contiene un chip [módulo de identificación del suscriptor], al igual que su teléfono móvil, que le permite hablar con las torres de telefonía móvil. Pero si un pirata informático tiene una [estación transceptora base] falsa, le permite controlar el vehículo si no se aplican ciertos controles de seguridad».
Knight añadió que «un punto de entrada secundario a los vehículos conectados, desde mi punto de vista, es el Wi-Fi dentro y fuera del vehículo».
Entonces, ¿qué pueden hacer los fabricantes de automóviles para endurecer los coches conectados? «Como ocurre con cualquier adopción de nuevas tecnologías, especialmente en el caso del desarrollo de sistemas más avanzados con software complejo, existe el riesgo de introducir debilidades y vulnerabilidades en los diseños e implementaciones», dijo Oka. «En particular, el manejo de la comunicación externa puede ser difícil, ya que los fabricantes de vehículos no tienen control del entorno».
En este contexto, dijo Oka, se puede asumir que un atacante tiene el control total de la entrada proporcionada a un coche conectado, por ejemplo, un atacante puede fuzz la interfaz Bluetooth o Wi-Fi mediante el envío de un gran número de mensajes malformados para detectar posibles vulnerabilidades en la implementación.
«Por lo tanto, es importante que los fabricantes de automóviles se aseguren de que el software que maneja la entrada externa es robusto y puede realizar la sanitización y validación de la entrada», dijo Oka. «Además, también cabe suponer que es probable que se detecten nuevas vulnerabilidades en los sistemas de automoción en el futuro. Por lo tanto, es imperativo que los fabricantes de automóviles proporcionen capacidades de actualización (over-the-air) para permitir parchear los sistemas vulnerables de manera oportuna.»
¿Qué debería hacerse para proteger mejor las bases y otros lugares sensibles? Oka sugiere que los fabricantes de automóviles tomen las siguientes medidas:
- Revisar las normas, reglamentos y mejores prácticas relevantes para la ciberseguridad y definir el objetivo para la organización, como la estructura organizativa, el nivel de madurez y los procesos.
- Realizar un análisis de las deficiencias para comprender lo que ya existe en la organización y lo que falta para alcanzar el objetivo. Los resultados pueden servir para ayudar a definir una hoja de ruta para cerrar las brechas, incluyendo la creación de la estructura organizativa, los documentos de los procesos y el establecimiento de políticas.
- Trabajar en la práctica para cerrar las brechas, incluyendo, por ejemplo, la consideración de soluciones para automatizar los pasos en los procesos mediante el despliegue de herramientas de pruebas de seguridad de aplicaciones pertinentes – como el análisis de código estático, el análisis de composición de software, las pruebas fuzz y el escaneo de vulnerabilidades.
«Además, la defensa en profundidad debe seguirse como principio general», señaló Oka. «Un ataque típico requiere múltiples pasos por lo que, al aplicar múltiples capas de contramedidas de seguridad, los fabricantes de automóviles pueden dificultar que los atacantes logren su objetivo. Por ejemplo, un atacante puede obtener acceso a través de una interfaz inalámbrica aprovechando una vulnerabilidad. Sin embargo, gracias a la segmentación de la red interna o a los cortafuegos de la red del vehículo, se impide que un atacante siga accediendo a la red del vehículo».
Algunos países, como China, ya han prohibido la entrada de los coches Tesla en las bases militares. Esto ha llevado a Tesla y a su CEO, Elon Musk, a defender públicamente a la compañía.
La oficina de la empresa en Pekín emitió un comunicado sobre sus cámaras de a bordo en el sitio de microblogging chino Weibo. El mes pasado, hablando virtualmente en el Foro de Desarrollo de China, Musk dijo: «Si una empresa comercial se dedicara a espiar, los efectos negativos para esa empresa serían extremadamente malos». Añadió que la empresa sería «cerrada en todas partes».
Pero la empresa Tesla, como actor de la amenaza, es sólo una parte de la preocupación de los servicios militares. Otra amenaza, quizá mucho más grave, sería que otros gobiernos hackearan los coches como medio de inteligencia, vigilancia y reconocimiento en las bases, o con fines más temerarios o peligrosos. En particular, Irán no ha escatimado en realizar ciberataques destructivos y temerarios contra sus adversarios regionales en el pasado. Tras el ciberataque israelí a la instalación nuclear iraní de Natanz el domingo, las tensiones son altas entre Israel e Irán.
Si las FDI prohíben los coches, los coches alquilados y los que son propiedad de las FDI y están equipados con cámaras y GPS podrán ser aparcados fuera de las bases que operarán servicios de transporte desde la puerta principal. Las FDI y otras instalaciones sensibles dejaron de utilizar equipos de vídeo fabricados en China hace varios años después de que algunos expertos dijeran que algunos de estos sistemas tenían una «puerta trasera» que podía permitir a alguien ver lo que el equipo de vídeo ve.
Otros expertos en seguridad dijeron a Breaking Defense que el peligro de piratear los sistemas militares exige «endurecer» ciertos subsistemas que pueden ser afectados a distancia por partes hostiles.
Las Fuerzas de Defensa de Israel están llevando a cabo una operación masiva de ciberdefensa, pero los expertos que hablaron con Breaking Defense dijeron que, aunque los sistemas principales están protegidos, el peligro puede provenir de «amenazas básicas» como los coches conectados.
Fte. Breaking Defense