miércoles, 31 de julio de 2013

Demuestran cómo hackear coches de lujo y un juez les prohíbe publicarlo

Tres expertos en seguridad informática han puesto patas arriba el sistema de seguridad que usan marcas como Audi, Porsche, Bentley o Lamborghini. Pensaban mostrar cómo burlarlo en una conferencia, pero un tribunal británico les ha prohibido hacerlo. Mientras, en Estados Unidos, hackers subvencionados por el Gobierno han demostrado que pueden acelerar o frenar un coche sin el que el conductor pueda evitarlo y no han tenido problemas con la justicia.

El argentino Flavio García, de la Universidad de Birmingham y los holandeses Roel Verdult y Baris Ege, de la Universidad Radboud de Nimega, tenían una cita en la conferencia de seguridad USENIX Security '13 que se celebra en agosto en Washington. El título de su exposición era muy elocuente: "Desmontando Megamos Crypto: Abriendo la cerradura del inmovilizador del vehículo de forma inalámbrica".
Megamos Crypto es un sistema de comunicación de alta seguridad entre la llave y el coche. Su misión es evitar que el motor arranque sin la llave original. El transpondedor instalado en el vehículo recibe mediante radiofrecuencida (RFID) una señal cifrada que valida la llave y evita el bloqueo. Este mecanismo lo usan, entre otros, fabricantes como Volkswagen y Fiat.

AVISARON HACE MESES
Los investigadores descubrieron que Megamos Crypto era vulnerable y que podían engañar al sistema, arrancando el coche sin la llave original. Aunque avisaron a los fabricantes hace nueve meses de su hallazgo para darles tiempo a subsanarlo, Volkswagen y la francesa Thales, creadora del sistema, han preferido que un juez haga su trabajo.
Un tribunal británico ha prohibido a los tres expertos dar a conocer sus resultados, atendiendo a los argumentos de los fabricantes, que aseguraban que su publicación podría dar ideas a los cacos. Sólo llegó a ofrecer a los investigadores la opción de realizar una versión censurada de la conferencia, en la que ocultaran los detalles del fallo y cómo habían llegado hasta él. Sin embargo, los tres se negaron a hacerlo y han preferido no acudir a la conferencia.

La Universidad de Birmingham está decepcionada con el fallo, que no apuesta por la defensa de la libertad académica y el interés público, pero respeta la decisión", aseguró un portavoz a la BBC. Aunque los investigadores han seguido los pasos habituales en la comunidad de seguridad informática, avisando a las partes interesadas de su descubrimiento y no haciéndolo público hasta que se tuviera una solución, el oscurantismo ha ganado esta vez.
García y sus colegas dijeron a The Guardian que son “académicos legítimos y responsables haciendo un trabajo académico legítimo y responsable” y que su objetivo es mejorar la seguridad de todos. “La gente tiene derecho a saber de las debilidades de la seguridad en la que confían”, dijeron al periódico británico.
Mientras tanto, al otro lado del Atlántico, dos expertos en seguridad no han tenido problemas legales en su demostración de cómo pueden hacerse con el sistema electrónico de un vehículo. Charlie Miller y Chris Valasek son muy conocidos en el mundo de hacking blanco, el formado por aquellos expertos en seguridad que buscan fallos en los sistemas antes de que los encuentren los malos y que en muchas ocasiones lo hacen por encargo de empresas que quieren probar su propia seguridad o de los gobiernos, como es este caso.
DARPA, la agencia del Departamento de Defensa de EEUU dedicada a investigación avanzada les concedió una subvención de 80.000 dólares para buscar vulnerabilidades en los modernos sistemas de los coches. Y los han encontrado. Como demuestran en este vídeo de Forbes, han atacado con éxito los sistemas del Toyota Prius y el Ford Escape. Aunque todos los detalles los van a dar a conocer en Def Con, la mítica conferencia de hackers que se inicia en Las Vegas en unos días, han conseguido activar los frenos del Toyota o acelerar el Ford sin que el conductor pueda evitarlo.
Por fortuna, para lograrlo, tenían que hacerlo desde un portátil conectado al sistema de diagnóstico de a bordo, el mismo al que se conectan los mecánicos para detectar una avería. Pero, ¿y si alguien encuentra la manera de hacerlo de forma remota? En ambos casos, sólo la publicidad puede mejorar la seguridad.



No hay comentarios: