Blog del CCI

miércoles, 18 de octubre de 2017

Riesgos tecnológicos en la seguridad funcional y de procesos (Ejemplo: el automóvil)

Cuando se trata de proteger a las personas, podemos afirmar que la tecnología ha salvado miles de vidas, por ejemplo los sistemas de seguridad en el automóvil han tenido un desarrollo tecnológico incremental, gracias a estos avances tecnológicos se ha reducido en casi un 200% la siniestralidad. En la última década los esfuerzo en seguridad del automóvil se han centrado en conocer el entorno, a este periodo se le conoce como “era de la detección”, donde sistemas de seguridad autónomos incorporan múltiples sensores que prestan ayuda en la conducción anticipándose a un eventual accidente. Ejemplos como el alumbrado adaptativo, que permite que los faros giren y adapten la forma de su haz de luz en función de la velocidad y la climatología, sensores de lluvia, sensores de presión de neumáticos, sensores de aviso de abandono de carril o sensores de vigilancia del conductor que analizan su atención y avisan si detectan fatiga. Todas estas tecnologías para reducir el riesgo de que suframos accidentes se están incorporando de forma lenta, excepto cuando son obligatorias. Ejemplos como el avisador de cinturones o el sensor de presión de los neumáticos ya son obligatorios en la UE desde 2012. 

Un vehículo tiene de media unos doce sistemas autónomos que controlan mas de un centenar de sensores, de los cuales el 25% son sistemas autónomos de seguridad activa. La arquitectura de comunicación que se utiliza en el automóvil desde hace tres décadas utiliza el protocolo Bus CAN.

Los vehículos también incluyen un protocolo de diagnóstico abordo, conocido también como OBD, que los fabricantes han tenido que instalar para poder realizar diagnósticos y pruebas de niveles de emisiones de humo. Debido a que OBD requiere realizar lecturas de un gran número de sensores del vehículo fue necesario el desarrollo de un bus de red centralizado a través del cual los sensores y controladores puedan comunicarse, este bus es CAN (Controller Area Network).



La arquitectura CAN tiene numerosas vulnerabilidades que son debidas principalmente a su diseño, tal y como se recoge en el documento “Developments in Car Hacking” publicado por SANS en 2015. Entre todas ellas quiero destacar tres de estas debilidades de diseño:

1. No existe segmentación desde la óptica de seguridad informática en la arquitectura CAN. La segmentación de la red es una parte fundamental del diseño seguro de cualquier sistema. Si una red no está segmentada, una vulnerabilidad trivial en un componente de cualquier sistema del vehículo puede ser explotada para permitir el acceso al resto de la red, incluyendo sus sistemas más críticos y sensibles, como son los sistemas de seguridad activa, cuya alteración podría tener graves consecuencias en la seguridad de las personas. Imagine que el airbag del vehículo se activase durante la conducción.

2. No existe autenticación de dispositivos. La falta de autenticación de la arquitectura CAN supone que sea vulnerable a los atacantes. Cada unidad de control sirve a una función diferente, desde el control de instrumentos del motor que transmite constantemente un mensaje CAN a la red que contiene la velocidad actual del motor (RPM), hasta el control de funciones de seguridad como el airbag o el ABS. En este escenario podemos afirmar que es posible conectar uno o varios dispositivos que envíen mensajes CAN que engañen a determinadas unidades de control alterando su comportamiento, como así demostraron Sheila Berta y Claudio Caracciolo en la edición 12 de Ekoparty demostrando que es posible fabricar un pequeño dispositivo de unos 4 cm de ancho por 4 cm de alto, que si se tiene acceso libre al automóvil, como por ejemplo en un estacionamiento, se puede conectar directamente a su red interna al no requerir la autenticación de este dispositivo logrando el envío de mensajes a la unidad ECU, y controlando a distancia vía SMS el comportamiento del vehículo.

3. No existe cifrado de las comunicaciones. Un fallo crítico de la arquitectura CAN es la falta de cifrado en el diseño de las comunicaciones. Los diseñadores buscaban diseñar un protocolo ligero y robusto, y no contemplaron el riesgo de piratas informáticos. La ausencia de cifrado permite que un atacante pueda conectarse al bus mediante un cable de interface CANdo conectado a un portátil con el software adecuado, e inspeccionar así los mensajes que controlan el vehículo, aprendiendo que ordenes son las que se comunican entre los diferentes sistemas, pero aún este atacante puede llegar más allá, como así demostraron Sheila Berta y Claudio Caracciolo manipulando vía SMS distintas funcionalidades de una vehículo en vivo, demostrando que podían encender o apagar las luces con sólo enviar un mensaje CAN.

Exactamente estas mismas debilidades de diseño: ausencia de segmentación, de autenticación y de cifrado nos las encontramos actualmente en la mayoría de ambientes industriales automatizados, así lo reconocen importantes directivos de organizaciones industriales que han participado en el documento “Beneficios de la ciberseguridad industrial para las empresas industriales” publicado en febrero de 2017 por el Centro de Ciberseguridad Industrial, donde se reconoce que “… los atacantes tienen multitud de posibilidades de causar daño a una organización industrial… alterando las especificaciones…”, pero también se declara que “…un incidente tecnológico podría alterar la producción, incluso producir un accidente laboral”. Hay varias razones que estos directivos argumentan para que una organización decida gestionar en serio estos riesgos, pero podemos destacar dos: “…cualquier empresa industrial puede ser un objetivo para quienes hoy han convertido los ciberataques en una fuente de ingresos”, también otro directivo indica que “… en cuestión de minutos cualquiera puede identificar formas de acceder y causar daño..”, es decir, es fácil y además es un negocio, son dos poderosas razones para que cualquier organización industrial se ponga en marcha y actué de forma responsable gestionando el riesgo tecnológico de su negocio.

No hay comentarios :

Publicar un comentario