Los coches conectados son realmente un elemento más del mundo del IoT, están transformando la industria automotriz, pero también deberían cambiar el punto de vista de los usuarios, ya que al estar conectados no solo aportan funciones extra respecto a los coches convencionales, también hay amenazas asociadas.
Estos vehículos están equipados con una variedad de sensores, cámaras y dispositivos de comunicación que les permiten recopilar y compartir datos en tiempo real. Si bien esta conectividad ofrece una serie de beneficios, como la conducción autónoma, la asistencia al conductor y el entretenimiento mejorado, también introduce nuevas vulnerabilidades que pueden ser explotadas por ciberdelincuentes, ya sea para robar vehículos o para manipularlos de algún modo, e incluso para obtener datos.
Niveles de amenazas en el Car Hacking
El Car Hacking es una práctica maliciosa que implica la explotación de vulnerabilidades en los sistemas informáticos de un vehículo para obtener acceso no autorizado, controlarlo o robar datos, como he comentado anteriormente. Para comprender mejor la gravedad de estas amenazas, se ha establecido un sistema de clasificación que define distintos niveles de riesgo:
Level 0: Visión general
Este nivel representa la fase inicial de reconocimiento, donde los ciberdelincuentes buscan información general sobre el vehículo, sus sistemas y posibles vulnerabilidades. Suelen utilizar técnicas como la búsqueda en Internet, la consulta de bases de datos públicas y el análisis de manuales técnicos. El objetivo principal es comprender el panorama general del vehículo y sus sistemas para identificar posibles puntos de entrada.
Level 1: Receptores
En este nivel, los atacantes se enfocan en identificar y comprender los sistemas de recepción del vehículo, como los sensores, las antenas y los módulos de comunicación. Su objetivo es establecer una conexión con estos sistemas para interceptar o manipular la información que transmiten. Las técnicas utilizadas en este nivel pueden incluir el escaneo de puertos, la inyección de código y el análisis de protocolos de comunicación.
Level 2: Desglose del receptor
Una vez que los atacantes han establecido una conexión con un sistema receptor, profundizan en su funcionamiento interno. Analizan el firmware, los protocolos de comunicación y las interfaces de programación para identificar vulnerabilidades específicas que les permitan explotar el sistema. En este nivel, los ciberdelincuentes pueden utilizar técnicas como la ingeniería inversa, el análisis de código y el fuzzing.
Level 3: Manipulación del sistema
Al identificar vulnerabilidades específicas en el sistema receptor, los atacantes pueden manipular su funcionamiento para obtener control o robar datos. Esto puede incluir modificar el firmware, inyectar código malicioso o alterar los datos transmitidos. Las consecuencias de la manipulación del sistema pueden variar desde la alteración del rendimiento del vehículo hasta el control total del mismo.
Level 4: Control del vehículo
Un nivel superior a los anteriores es éste, donde se alcanza el control total del vehículo por parte del atacante. En este nivel, el ciberdelincuente ha logrado manipular los sistemas críticos del vehículo, como el motor, la dirección o los frenos, lo que le permite tomar el control completo del vehículo. Las consecuencias de un control del vehículo pueden ser devastadoras, incluyendo accidentes graves o incluso la muerte.
Nivel 5: Explotación remota
Por último, en este otro nivel se explotan las vulnerabilidades del vehículo de forma remota, sin necesidad de acceso físico al mismo. Esto puede lograrse a través de redes inalámbricas, como Wi-Fi o Bluetooth, o mediante la explotación de vulnerabilidades en los sistemas de telemática del vehículo. La explotación remota representa un riesgo aún mayor, ya que permite a los ciberatacantes manipular a los vehículos desde cualquier lugar del mundo.
Es importante destacar que estos niveles no son rígidos y pueden superponerse entre sí, e incluso podrían ir cambiando con el tiempo con la llegada de nuevas tecnologías…
Evaluación de riesgos con CVSS y DREAD
A parte de los niveles de amenazas, se han creado también sistemas de puntuación de riesgo CVSS y DREAD se pueden usar para evaluar la gravedad de las amenazas a los coches conectados, como también se hace en el caso de los sistemas informáticos y redes.
DREAD (Damage, Reproducibility, Exploitability, Affected Users, and Discoverability)
DREAD es un sistema de puntuación cualitativo que se centra en el impacto empresarial de una amenaza a la seguridad. Asigna una puntuación de 0 a 100 para cada una de las siguientes cinco categorías:
- Daño: considera la gravedad potencial de las consecuencias si se explota la amenaza. Una violación de datos que exponga información financiera obtendría una puntuación más alta que el acceso no autorizado a un sistema no crítico.
- Reproducibilidad: analiza la facilidad con la que un atacante puede replicar el exploit. Un exploit fácilmente disponible con conocimientos técnicos mínimos requería puntuaciones más altas que un ataque teórico complejo.
- Explotabilidad: evalúa la dificultad técnica de realizar el ataque. Un exploit que requiere herramientas especializadas o habilidades avanzadas obtiene puntuaciones más bajas que uno que se puede lograr fácilmente con herramientas comunes.
- Usuarios afectados: considera el número de víctimas potenciales vulnerables a la amenaza. Una vulnerabilidad generalizada que afecta a millones de usuarios tiene puntuaciones más altas que una que afecta a un grupo pequeño y específico.
- Descubribilidad: se refiere a la facilidad con la que se puede identificar y detectar la amenaza. Una vulnerabilidad fácilmente detectable obtiene una puntuación más baja que una oculta y compleja que requiere un esfuerzo significativo para descubrirse.
Al calcular una puntuación DREAD combinada, los profesionales de la seguridad pueden priorizar las amenazas en función de su posible impacto empresarial. Una puntuación DREAD alta indica una amenaza que requiere atención inmediata debido a su alto potencial de causar daños significativos.
CVSS (Common Vulnerability Scoring System)
CVSS es un sistema de puntuación cuantitativa estandarizado diseñado específicamente para la evaluación de vulnerabilidades alternativo al CVSS. Asigna una puntuación de 0,0 a 10,0 según tres métricas clave:
- Puntuación base: considera las características intrínsecas de la vulnerabilidad en sí, incluido su impacto potencial en la confidencialidad, integridad y disponibilidad (tríada CIA).
- Puntuación temporal: refleja la explotabilidad actual de la vulnerabilidad. Una vulnerabilidad recientemente descubierta y sin parches obtiene puntuaciones más altas que una con un parche disponible.
- Puntuación ambiental: centrada en el contexto específico de la vulnerabilidad dentro del entorno de una organización. Una vulnerabilidad con mayor riesgo debido a configuraciones o activos específicos obtiene una puntuación más alta.
Una puntuación CVSS alta indica una vulnerabilidad grave que requiere parches rápidos o estrategias de mitigación. Es importante tener en cuenta que CVSS se centra en la gravedad técnica de la vulnerabilidad, no en el impacto empresarial más amplio considerado por DREAD.
Combinando DREAD y CVSS
Tanto DREAD como CVSS ofrecen información valiosa para los profesionales de la seguridad. Al usarlos juntos, obtendrá una comprensión integral de una amenaza a la seguridad. Ya que, mientras CVSS ayuda a priorizar las vulnerabilidades en función de su gravedad técnica y explotabilidad, DREAD ayuda a traducir esa severidad técnica en un impacto empresarial en el mundo real, considerando las posibles consecuencias y la cantidad de víctimas potenciales. Al combinar estas puntuaciones, puede asignar recursos de manera efectiva y priorizar las amenazas que representan el mayor riesgo para su organización, dedicando más recursos para resolverlas…