Durante las últimas semanas he estado en varios eventos del sector del automóvil y quería comentaros uno de ellos que me pareció especialmente interesante, el Automotive CyberSecurity Summit 2018 organizado por el SANS Institute en Chicago.
En este evento se han plasmado algunas preocupaciones generales del sector del automóvil, pero lo más interesante ha sido el punto de vista americano ya que ellos sí tienen coches autónomos funcionando en algunas ciudades, por lo que lo ven el futuro algo más cerca que nosotros los europeos… ya hablan por ejemplo de smart cities conectadas con los coches y compartiendo datos en tiempo real acerca del tráfico o la meteorología para adaptar los semáforos y los navegadores de los coches, hablan de autobuses autónomos inteligentes capaces de irse a otras líneas con mayor demanda para satisfacer necesidades puntuales y (esto le va a encantar a los propietarios de coches eléctricos que sufren el problema cada día) hablan de puntos de recarga estándar capaces de identificar el vehículo para emitir después la factura o poder pagar en el mismo con un método estándar (nombraron Apple Pay, del cual ya hablamos nosotros hace unos meses) sin que el propietario tenga que llevar chorropotocientos tarjetas distintas.
Análisis forense post-accidente o post-crimen
Entrando ya en la parte más técnica, la gente de Berla presentó un dispositivo hardware que se conecta al CANBUS y al infotainment del coche para realizar un análisis forense post-accidente o post-crimen para saber por dónde ha ido pasando ese coche y qué acciones ha realizado. El dispositivo es capaz de recoger información de un montón de sensores del coche y del navegador para luego correlar toda esa información y dar un informe detallado del tipo ‘A las 20:00 se ha puesto en marcha, ha recorrido 14 kilómetros hasta parar en la gasolinera nosequé donde no ha puesto gasolina pero se ha abierto la puerta del acompañante y ha recogido a alguien porque el asiento ha detectado el cambio de peso y lo ha llevado durante 10 kilómetros hasta que se ha vuelto a abrir la puerta del acompañanente. Ha estado detenido durante X minutos y después ha seguido la marcha hasta el punto B’. Puede resultar muy interesante para esos casos de uso.
¿Y el cumplimiento legal?
El caso es que después de esta charla me quedaron muchas dudas sobre el almacenamiento de los datos en el coche. ¿Creeís que será ‘GDPR compliant’ que el navegador de nuestro coche almacene toda esa información sin cifrar? Es más, no es sólo que almacene toda esa información, es que si nuestro móvil está conectado por Bluetooth el navegador genera una copia de nuestros conectactos que almacena en local, sin ningún tipo de protección… y si nuestro móvil es capaz de conectarse por Android Auto o Apple CarPlay (es decir, que se integra completamente con el vehículo para por ejemplo leernos los mensajes que lleguen en tiempo real y poder contestarlos con la voz), el sistema almacena una copia de todos esos mensajes recibidos y enviados… no mola mucho, ¿verdad?
Si piensas que es tu propio coche y que el acceso al mismo es limitado puede que duermas un poco más tranquilo esa noche… pero ¿y si se trata de un coche de renting o de alquiler que después vas a devolver? ¿No debería existir una forma reglada de cifrar esos datos para que no se pudiera hacer un análisis forense o que se pudieran borrar de una forma SEGURA cuando ya no vas a seguir utilizando ese vehículo? Pues actualmente no es así…
Mismos ataques de siempre
Además del análisis forense que me pareció más innovador, el resto de charlas técnicas no sorprendieron demasiado. La gente de GRIMM, pese a tener un entorno montado la mar de pintón con varias ECUs conectadas, mostraron los ataques de siempre ya conocidos de denegación de servicio (¿te acuerdas lo que es una denegación de servicio DoS? Lo hablamos hace algo de tiempo en esta entrada) e inyección de mensajes en CANBUS:
Así que nada nuevo bajo el sol, ninguna novedad que destacar… espero que en la Black Hat de agosto en Las Vegas se presente algo nuevo, ya os contaré porque también voy a estar por allí 😉
Tendrá sus cosas buenas, no digo que no, pero para mi es una auténtica intromisión en mi privacidad. Dónde voy, cómo voy o con quién voy no es de la incumbencia de nadie, y mucho menos dejar esos datos para su posterior análisis. De hecho, al igual que la GDPR obliga a dar el consentimiento expreso al tratamiento de tus datos, aquí debería figurar una clausula similar, en el cual el navegador no almacene ningún tipo de información ni tampoco ninguna de las tropecientas ECU que lleva el coche (salvo por error o advertencia) sin tu consentimiento expreso. Y no es por tener nada que ocultar, es que considero que es parte de la privacidad a la que tiene derecho cada uno. La tecnología está suponiendo una intromisión en nuestras vidas privadas y la situación, lejos de mejorar, parece que va a peor. Yo seguiré en mi coche viejo hasta que por imperativo legal (o accidente) no pueda circular.
Totalmente de acuerdo, Jose Luis, deberíamos por lo menos tener la opción de borrar/desvincular tu información personal por completo… pero el problema es que actualmente no es así. En los coches de alquiler es especialmente dramático, hace poco alquilé uno y estuvo como 10 minutos intentando conectar por Bluetooth con toooodos los dispositivos móviles que tenía almacenados y vi desfilar varias decenas de dispositivos que el coche reconoce y de los cuales mantiene una copia de la agenda y el registro de actividad… totalmente inaceptable desde el punto de vista del usuario.
Algunos OEMs tienen un disclaimer en el navegador que hay que aceptar para permitir que se almacenen y/o se envíen datos. Pero creedme si os digo que solo aplica a algunos datos, por especificaciones del propio OEM, mientras muchos otros se almacenan en NVM libremente. Y esto no se hace por malicia, sino por desconocimiento del propio fabricante de las implicaciones (muchos aún no están preparados para la GDPR a estas alturas de la película). Hay aún mucha maquinaria que engrasar. Por ejemplo, no creo que en las homologaciones de vehículos se esté tratando este tema, o la tecnología en general, y seguimos atascados en controlar emisiones y poco más (que sabemos que tampoco es que sirva para mucho…)
Totalmente de acuerdo, tocayo, por eso es tan importante la labor de concienciación. Al final son incumplimientos que, aunque no estén directamente relacionados con el mercado del automóvil, pueden acabar en sanciones para los fabricantes, disclosures de datos personales, etc. Las medidas de protección llegarán cuando empiecen a ver las orejas del lobo, igual que pasa en el mundo de los cajeros… hasta que no ha salido una normativa como PCI-DSS con ciertas medidas de Seguridad y Protección para cajeros, los bancos protegían sus cajeros en función de los ataques a los que se enfrentaban en ese país.