Car Hacking

El Gran Saiyaman deteniendo un Chevrolet Corvette

Llevo unos días sin parar por casa dando conferencias y talks sobre Riesgos en el Coche Conectado. Aunque lo de ‘coche conectado’ es bastante claro, voy a explicarlo por si alguno de mis 6 seguidores (sí, se ha borrado uno 🙁 ) no sabe lo que es: estamos hablando de los coches actuales y de los que van a venir, conectados con el exterior a través de Internet o de balizas en las calles que les informen del estado del tráfico o de la metereología en tiempo real, obras o accidentes y les ayuden a tomar decisiones cuando estos coches se conviertan en autónomos.

Parece que hablar de coches autónomos es hablar de un futuro lejano, pero es simplemente porque nos encontramos en España y aquí la legislación no lo permite. En otros países ya circulan coches autónomos en fase de pruebas con un conductor de seguridad que toma el control sólo en situaciones de emergencia.

Como ya hemos dicho, estos coches estarán conectados con las conocidas como smart-cities o ciudades inteligentes, donde hay un montón de elementos conectados y procesos de inteligencia artificial que son capaces de tomar decisiones como cambiar el estado de los semáforos según el tráfico o aprovisionar autobuses desde líneas poco utilizadas a otras en momentos de saturación como por ejemplo a la salida de un concierto o después de un partido de fútbol. Todo muy moderno e inteligente sin necesidad de que un señor (o señora) tome la decisión y apriete botones.

Volvamos a hablar de coches. O no, vamos a hablar de redes y conexiones. O de todo junto. El caso es que estos coches recibirán información del exterior para, por ejemplo, decidir la mejor ruta para llevarte a tu casa desde el trabajo. Con esta información, configurarán su GPS para conducirte a través de las calles menos congestionadas. Pero, ¿qué pasaría si alguien pudiera alterar esta información o simplemente engañar a tu GPS? Pues de eso básicamente estoy hablando estos días en distintos congresos. ¿Os parece ciencia-ficción? Pues mirad los vídeos que grabamos para la RootedCON Valencia hace unas semanas directamente en la presentación:

https://www.slideshare.net/mobile/rootedcon/carlos-sahuquillo-car-hacking-de-angelina-jolie-a-charlize-theron-rootedvlc2018

¿Qué es la RootedCON?

La RootedCON es un congreso de Seguridad y Hacking que se realiza en dos ciudades españolas todos los años, Madrid y Valencia. Es uno de los congresos de referencia donde se presentan vulnerabilidades y papers que no se han dado a conocer hasta ese momento, es decir, que se presentan las últimas novedades y descubrimientos… algo así como la Semana de la Moda de Paris… pero en hacker.

Este año presentamos un compañero de GMV (Igor Robles) y yo un paper sobre Car Hacking sin muchas esperanzas de que lo aceptaran… pero lo hicieron. A la RootedCON no puedes ir con una presentación genérica para contar por dónde nos van a venir los malos y qué debemos tener en cuenta, tienes que llevar algo tangible que de verdad puedan comprobar empíricamente, por lo que avisamos unos días antes del evento y recomendamos que los asistentes no llevaran sus propios coches al evento y utilizaran la eficiente red de transporte público de Valencia:

La charla fue tan bien y resultó tan divertida que nos han llamado de varios eventos en los que se va a hablar de los coches conectados para que repitamos más o menos la idea de la Rooted pero sin entrar en tantos detalles técnicos (en la Rooted Igor destripó una trama de CANBUS y se puso a explicar qué era cada bit de información… en ese evento la gente esperaba eso, pero en los eventos más institucionales de estos días si cuento eso puede que se me vayan a mitad de la conferencia y no nos vuelvan a invitar). Tendríais que ver la cara del público cuando enseñamos cómo se podían capturar los eventos que pasan por la red del coche cuando gira el volante para el park-assist (la función esa de aparcar automáticamente y que a todo el mundo le flipa… no entiendo muy bien por qué, si dispones de 12 cámaras y sensores y además los objetos aparcados no se mueven, no es nada complicado aparcar un coche en el hueco). El caso es que una vez capturados y pulida esta información, es posible inyectarla en el coche en cualquier momento aunque no esté aparcando… ¿os imagináis mandar un giro de volante a un coche cuando está circulando a 120 km/h en una autovía? Pues tampoco es ciencia ficción, os recomiendo de nuevo que os bajéis una presentación de la RootedCON

Por cierto, a raíz de la RootedCON también me entrevistaron en ‘Tecnología y Sentido Común’ el programa de radio de los profesionales de la gestión de proyectos, gestión de servicios, gestión de riesgos, gestión de procesos y Gobierno de TI de la mano del gran Javier Peris. Si quieres escuchar la entrevista está disponible a partir del minuto 48:00, aunque te recomiendo escuchar el podcast entero porque no tiene desperdicio: Entrevista en el programa de radio Tecnología y Sentido Común

Otros eventos y saraos

Este post lo voy a publicar desde Málaga, donde acudo al evento S-Moving Smart, Autonomous and Unmanned vehicles Forum para participar en una mesa redonda sobre CiberSeguridad en el coche conectado. Si estáis por Malaga y me leéis a tiempo, estáis invitados a acudir a la mesa de CiberSeguridad con este código:

Además, la semana que viene estaré en León en el ENISE, el Congreso de CiberSeguridad que organiza cada año el Instituto Nacional de CiberSeguridad, también para hablar sobre las últimas vulnerabilidades descubiertas en coches conectados y cómo puede la industria hacer frente a toda esta marca unta de retos tecnológicos a los que se van a enfrentar a partir de ya.

Lo mejor de todo es que las nuevas generaciones que son los que de verdad tendrán que lidiar con el problema están muy interesadas en escuchar este discurso sobre los riesgos de los coches conectados, por lo que el día 6 de noviembre me han invitado a hablar sobre ello en un evento sobre Ataques a redes que se celebrará en la Universidad Politécnica de Valencia. Siento no poder daros más información al respecto pero es un evento para alumnos, por lo que no está abierto al público en general.

Y a vosotros, ¿qué os parece todo esto? Da la sensación de que estamos mucho más seguros con un coche de hace 15 años que no está conectado con nada y que lo más moderno que tenía era un radio-CD, ¿verdad? ¿O sois de los que confiáis en la tecnología pensando que ya habrá alguien pensado en todo esto cuando os compráis un coche nuevo?. Dejadme vuestros comentarios en la entrada, please, que me viene muy bien saber vuestra opinión para ir modificando el enfoque de las conferencias 🙂

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.