Un colectivo de investigadores de seguridad emitió el viernes una carta de la conferencia de hackers DefCon en Las Vegas instando a la industria del automóvil a adoptar cinco principios para la construcción de sistemas informáticos más seguros en los vehículos.
El grupo está operando bajo el nombre de I Am the Cavalary e incluye investigadores y otras personas preocupadas por la seguridad de los dispositivos que tienen un impacto directo en la seguridad pública. En los últimos años, un número creciente de investigadores de seguridad han investigado las posibles vulnerabilidades en los dispositivos electrónicos incorporados a los coches modernos para el control de todo, desde los sistemas de entretenimiento a las funciones críticas de seguridad como frenos, dirección y luces.
Cada vez más preocupación de que las vulnerabilidades potenciales en combinación con la falta de segmentación dentro de los propios automóviles podrían abrir tipos de ataque que expongan a los vehículos a piratería informática a distancia, poniendo en peligro la seguridad del conductor.
En la conferencia de seguridad Black Hat el pasado miércoles los investigadores Charlie Miller y Chris Valasek presentaron un análisis de los ataques inalámbricos en 24 modelos de coches de diferentes fabricantes. Los modelos del Infiniti Q50 y Jeep Cherokee de 2014 y el modelo 2015 del Cadillac Escalade son los coches más hackeables.
En su carta abierta a la industria automotriz, el grupo I Am the Cavalary instó a los fabricantes de automóviles a construir sistemas informáticos con consideraciones de seguridad en mente basados en el principio de seguridad incorporada.
la integración de la informática en vehículos debe utilizar mecanismos de aislamiento y de segmentación para garantizar que los sistemas no críticos no pueden afectar al rendimiento de los sistemas críticos, dijo el grupo.
Esta segmentación debe ser física y no a través de controles lógicos, ya que una investigación de seguridad ha demostrado que el aislamiento lógico a menudo se puede omitir, dijo Joshua Corman, director de tecnología de Sonatype y co-fundador de I Am the Cavalary.
Los fabricantes de automóviles también deben asegurarse de que pueden implementar fácilmente actualizaciones de seguridad para los sistemas informáticos dijo el grupo de investigación en su carta. Por último, en caso de que algo vaya mal y se requiera una investigación forense, los sistemas informáticos de los automóviles deben tener funciones de registro que preserven las evidencias.
Los fabricantes de automóviles deben fomentar la colaboración de terceros mediante la publicación de políticas de divulgación de vulnerabilidades claras para los investigadores de seguridad. Tesla Motors es una empresa que ya ha hecho esto, pero otros deberían seguir su ejemplo, dijo el grupo.
El reto de los miembros de I Am the Cavalary es ofrecer su experiencia técnica a varias industrias y los legisladores como un servicio público, y también invitan a la participación de la propia opinión pública.
El grupo no sólo se centra en la seguridad de los sistemas informáticos de coches y está realmente interesado en otros tres grupos de dispositivos que pueden afectar la vida humana: dispositivos médicos, incluidos los implantables, de diagnóstico, proyección de imagen y los radiológicos; dispositivos para el hogar, como la electrónica de consumo, sistemas de alarma, puertas y cerraduras de garaje, termostatos y sistemas de calefacción y ventilación; y sistemas de infraestructura pública, como los utilizados en los aviones, el transporte público, la energía y la electricidad, la aviación, monitorización de tráfico, los servicios públicos y de los residuos y las aguas residuales.
