Tres expertos en seguridad informática han puesto patas arriba el
sistema de seguridad que usan marcas como Audi, Porsche, Bentley o
Lamborghini. Pensaban mostrar cómo burlarlo en una conferencia, pero un
tribunal británico les ha prohibido hacerlo. Mientras, en Estados
Unidos, hackers subvencionados por el Gobierno han demostrado que pueden
acelerar o frenar un coche sin el que el conductor pueda evitarlo y no
han tenido problemas con la justicia.
El argentino Flavio García, de la Universidad de Birmingham
y los holandeses Roel Verdult y Baris Ege, de la Universidad Radboud de
Nimega, tenían una cita en la conferencia de seguridad USENIX Security
'13 que se celebra en agosto en Washington. El título de su exposición
era muy elocuente: "Desmontando Megamos Crypto: Abriendo la cerradura del inmovilizador del vehículo de forma inalámbrica".
Megamos Crypto es un sistema de comunicación de alta seguridad entre
la llave y el coche. Su misión es evitar que el motor arranque sin la
llave original. El transpondedor instalado en el vehículo recibe
mediante radiofrecuencida (RFID) una señal cifrada que valida la llave y
evita el bloqueo. Este mecanismo lo usan, entre otros, fabricantes como
Volkswagen y Fiat.
AVISARON HACE MESES
Los investigadores descubrieron que Megamos Crypto era vulnerable y
que podían engañar al sistema, arrancando el coche sin la llave
original. Aunque avisaron a los fabricantes hace nueve meses de su
hallazgo para darles tiempo a subsanarlo, Volkswagen y la francesa
Thales, creadora del sistema, han preferido que un juez haga su trabajo.
Un tribunal británico ha prohibido a los tres expertos dar a conocer sus resultados, atendiendo a los argumentos de los fabricantes, que aseguraban que su publicación podría dar ideas a los cacos. Sólo llegó a ofrecer a los investigadores la opción de realizar una versión censurada de la conferencia, en la que ocultaran los detalles del fallo y cómo habían llegado hasta él. Sin embargo, los tres se negaron a hacerlo y han preferido no acudir a la conferencia.
Un tribunal británico ha prohibido a los tres expertos dar a conocer sus resultados, atendiendo a los argumentos de los fabricantes, que aseguraban que su publicación podría dar ideas a los cacos. Sólo llegó a ofrecer a los investigadores la opción de realizar una versión censurada de la conferencia, en la que ocultaran los detalles del fallo y cómo habían llegado hasta él. Sin embargo, los tres se negaron a hacerlo y han preferido no acudir a la conferencia.
“La Universidad de Birmingham está decepcionada con el fallo, que no
apuesta por la defensa de la libertad académica y el interés público,
pero respeta la decisión", aseguró un portavoz a la BBC.
Aunque los investigadores han seguido los pasos habituales en la
comunidad de seguridad informática, avisando a las partes interesadas de
su descubrimiento y no haciéndolo público hasta que se tuviera una
solución, el oscurantismo ha ganado esta vez.
García y sus colegas dijeron a The Guardian que son “académicos legítimos y responsables haciendo un trabajo académico legítimo y responsable”
y que su objetivo es mejorar la seguridad de todos. “La gente tiene
derecho a saber de las debilidades de la seguridad en la que confían”,
dijeron al periódico británico.
Mientras tanto, al otro lado del Atlántico, dos expertos en
seguridad no han tenido problemas legales en su demostración de cómo
pueden hacerse con el sistema electrónico de un vehículo. Charlie Miller
y Chris Valasek son muy conocidos en el mundo de hacking
blanco, el formado por aquellos expertos en seguridad que buscan fallos
en los sistemas antes de que los encuentren los malos y que en muchas
ocasiones lo hacen por encargo de empresas que quieren probar su propia
seguridad o de los gobiernos, como es este caso.
DARPA, la agencia del Departamento de Defensa de EEUU dedicada a
investigación avanzada les concedió una subvención de 80.000 dólares
para buscar vulnerabilidades en los modernos sistemas de los coches. Y
los han encontrado. Como demuestran en este vídeo de Forbes, han atacado con éxito los sistemas del Toyota Prius y el Ford Escape. Aunque todos los detalles los van a dar a conocer en Def Con, la mítica conferencia de hackers
que se inicia en Las Vegas en unos días, han conseguido activar los
frenos del Toyota o acelerar el Ford sin que el conductor pueda
evitarlo.
Por fortuna, para lograrlo, tenían que hacerlo desde un portátil
conectado al sistema de diagnóstico de a bordo, el mismo al que se
conectan los mecánicos para detectar una avería. Pero, ¿y si alguien
encuentra la manera de hacerlo de forma remota? En ambos casos, sólo la
publicidad puede mejorar la seguridad.
Fuente: huffingtonpost.es/
No hay comentarios:
Publicar un comentario