| versión para imprimir - envía este articulo por e-mail |
La comodidad es enemiga de la seguridad
Por Andy / kriptopolis -
Friday, Nov. 13, 2015 at 1:42 AM
17/08/2015 / Antiguamente para abrir el coche tenías que llegar hasta la puerta e insertar la llave en la cerradura. Claro que es más cómodo abrirlo a distancia con un mando inalámbrico en la llave. Pero esto lo hace vulnerable a fallos de seguridad del sistema inalámbrico... Lo mismo podemos decir del sistema de apertura a distancia de la puerta del garaje, por ejemplo.
Según un reciente artículo, más del 40% de los robos de coches en Londres se realizan vulnerando los sistemas de seguridad electrónicos [1]. Las empresas aseguradoras ya están respondiendo a esta tendencia y se rehusan a asegurar algunos de los modelos de coches más vulnerables [2].
Y no son solo los sistema de apertura. En la actualidad los coches de gama media tienen entre 30 y 50 microprocesadores que controlan casi todos los aspectos del funcionamiento del coche. Si, por ejemplo, algo tan mundano y aparentemente inocuo como la radio es vulnerable a ataques, eso podría llevar a comprometer el resto de los sistemas o al menos parte de ellos [3].
Por supuesto, esto no concierne únicamente a los coches. Hay sistemas vulnerables remotamente accesibles en muchos sitios, algunos de ellos dan bastante miedo, como sistemas médicos de administración de drogas intravenosas [4] [5], otros menos siniestros, pero aún así preocupantes [6] [7].
Las vulnerabilidades son bastante difíciles de arreglar. O bien tienes que llevar el equipo al fabricante para que le ponga el último firmware [8] con la inconveniencia y la mala publicidad que esto conlleva o bien el fabricante incluye en sus equipos la posibilidad de actualizar el firmware remotamente, abriendo así otra vía a explotar. Eso en caso que el fabricante se digne a arreglar la vulnerabilidad [9].
Estos problemas no se arreglarán a menos que los fabricantes se tomen la seguridad seriamente, lo que implica contratar ingenieros de software capaces y tener un departamento de control de calidad en condiciones, algo que es prácticamente imposible con ciclos de producto de 1 año en el mejor de los casos, y de 6 meses o menos en otros. Eso es algo que los fabricantes no van a hacer a menos que los usuarios (o las autoridades) les obliguen a ello, cosa que personalmente no creo que suceda, dado que por un lado los usuarios tampoco se toman en serio la seguridad, las autoridades están contentas con tener productos vulnerables así es más fácil espiar y tener controlados a los usuarios y por otro lado y quizás más importante, porque eso incrementaría el precio final del producto.
En definitiva: mucho me temo que seguiremos teniendo productos vulnerables por mucho rato.
notas:
1) http://www.bloomberg.com/news/articles/2015-08-14/vw-has-spent-two-years-trying-to-hide-a-big-security-flaw
2) http://www.standard.co.uk/news/london/insurers-will-not-cover-new-range-rovers-in-london-unless-you-have-secure-parking-
9820186.html
3) http://www.bbc.com/news/technology-33622298
4) http://www.theaustralian.com.au/business/technology/blackberry-shows-how-a-terrorist-hacker-could-deliver-lethal-dose/story-e6frgakx-1227454967744?nk=eada3a3484b9103dd1600c562a6c3c98-1439801392
5) http://www.wired.com/2014/04/hospital-equipment-vulnerable/
6) http://thehackernews.com/2015/02/smart-tv-spying.html
7) http://www.schneier.com/blog/archives/2015/07/stagefright_vul.html
8) http://www.wired.com/2015/07/jeep-hack-chrysler-recalls-1-4m-vehicles-bug-fix/
9) http://www.androidcentral.com/solving-impossible-problem-android-updates
fuente http://www.kriptopolis.com/hackers-controlan-coche