Los coches conectados son realmente un elemento más del mundo del IoT, están transformando la industria automotriz, pero también deberÃan cambiar el punto de vista de los usuarios, ya que al estar conectados no solo aportan funciones extra respecto a los coches convencionales, también hay amenazas asociadas.
Estos vehÃculos están equipados con una variedad de sensores, cámaras y dispositivos de comunicación que les permiten recopilar y compartir datos en tiempo real. Si bien esta conectividad ofrece una serie de beneficios, como la conducción autónoma, la asistencia al conductor y el entretenimiento mejorado, también introduce nuevas vulnerabilidades que pueden ser explotadas por ciberdelincuentes, ya sea para robar vehÃculos o para manipularlos de algún modo, e incluso para obtener datos.
Niveles de amenazas en el Car Hacking
El Car Hacking es una práctica maliciosa que implica la explotación de vulnerabilidades en los sistemas informáticos de un vehÃculo para obtener acceso no autorizado, controlarlo o robar datos, como he comentado anteriormente. Para comprender mejor la gravedad de estas amenazas, se ha establecido un sistema de clasificación que define distintos niveles de riesgo:
Level 0: Visión general
Este nivel representa la fase inicial de reconocimiento, donde los ciberdelincuentes buscan información general sobre el vehÃculo, sus sistemas y posibles vulnerabilidades. Suelen utilizar técnicas como la búsqueda en Internet, la consulta de bases de datos públicas y el análisis de manuales técnicos. El objetivo principal es comprender el panorama general del vehÃculo y sus sistemas para identificar posibles puntos de entrada.
Level 1: Receptores
En este nivel, los atacantes se enfocan en identificar y comprender los sistemas de recepción del vehÃculo, como los sensores, las antenas y los módulos de comunicación. Su objetivo es establecer una conexión con estos sistemas para interceptar o manipular la información que transmiten. Las técnicas utilizadas en este nivel pueden incluir el escaneo de puertos, la inyección de código y el análisis de protocolos de comunicación.
Level 2: Desglose del receptor
Una vez que los atacantes han establecido una conexión con un sistema receptor, profundizan en su funcionamiento interno. Analizan el firmware, los protocolos de comunicación y las interfaces de programación para identificar vulnerabilidades especÃficas que les permitan explotar el sistema. En este nivel, los ciberdelincuentes pueden utilizar técnicas como la ingenierÃa inversa, el análisis de código y el fuzzing.
Level 3: Manipulación del sistema
Al identificar vulnerabilidades especÃficas en el sistema receptor, los atacantes pueden manipular su funcionamiento para obtener control o robar datos. Esto puede incluir modificar el firmware, inyectar código malicioso o alterar los datos transmitidos. Las consecuencias de la manipulación del sistema pueden variar desde la alteración del rendimiento del vehÃculo hasta el control total del mismo.
Level 4: Control del vehÃculo
Un nivel superior a los anteriores es éste, donde se alcanza el control total del vehÃculo por parte del atacante. En este nivel, el ciberdelincuente ha logrado manipular los sistemas crÃticos del vehÃculo, como el motor, la dirección o los frenos, lo que le permite tomar el control completo del vehÃculo. Las consecuencias de un control del vehÃculo pueden ser devastadoras, incluyendo accidentes graves o incluso la muerte.
Nivel 5: Explotación remota
Por último, en este otro nivel se explotan las vulnerabilidades del vehÃculo de forma remota, sin necesidad de acceso fÃsico al mismo. Esto puede lograrse a través de redes inalámbricas, como Wi-Fi o Bluetooth, o mediante la explotación de vulnerabilidades en los sistemas de telemática del vehÃculo. La explotación remota representa un riesgo aún mayor, ya que permite a los ciberatacantes manipular a los vehÃculos desde cualquier lugar del mundo.
Es importante destacar que estos niveles no son rÃgidos y pueden superponerse entre sÃ, e incluso podrÃan ir cambiando con el tiempo con la llegada de nuevas tecnologÃas…
Evaluación de riesgos con CVSS y DREAD
A parte de los niveles de amenazas, se han creado también sistemas de puntuación de riesgo CVSS y DREAD se pueden usar para evaluar la gravedad de las amenazas a los coches conectados, como también se hace en el caso de los sistemas informáticos y redes.
DREAD (Damage, Reproducibility, Exploitability, Affected Users, and Discoverability)
DREAD es un sistema de puntuación cualitativo que se centra en el impacto empresarial de una amenaza a la seguridad. Asigna una puntuación de 0 a 100 para cada una de las siguientes cinco categorÃas:
- Daño: considera la gravedad potencial de las consecuencias si se explota la amenaza. Una violación de datos que exponga información financiera obtendrÃa una puntuación más alta que el acceso no autorizado a un sistema no crÃtico.
- Reproducibilidad: analiza la facilidad con la que un atacante puede replicar el exploit. Un exploit fácilmente disponible con conocimientos técnicos mÃnimos requerÃa puntuaciones más altas que un ataque teórico complejo.
- Explotabilidad: evalúa la dificultad técnica de realizar el ataque. Un exploit que requiere herramientas especializadas o habilidades avanzadas obtiene puntuaciones más bajas que uno que se puede lograr fácilmente con herramientas comunes.
- Usuarios afectados: considera el número de vÃctimas potenciales vulnerables a la amenaza. Una vulnerabilidad generalizada que afecta a millones de usuarios tiene puntuaciones más altas que una que afecta a un grupo pequeño y especÃfico.
- Descubribilidad: se refiere a la facilidad con la que se puede identificar y detectar la amenaza. Una vulnerabilidad fácilmente detectable obtiene una puntuación más baja que una oculta y compleja que requiere un esfuerzo significativo para descubrirse.
Al calcular una puntuación DREAD combinada, los profesionales de la seguridad pueden priorizar las amenazas en función de su posible impacto empresarial. Una puntuación DREAD alta indica una amenaza que requiere atención inmediata debido a su alto potencial de causar daños significativos.
CVSS (Common Vulnerability Scoring System)
CVSS es un sistema de puntuación cuantitativa estandarizado diseñado especÃficamente para la evaluación de vulnerabilidades alternativo al CVSS. Asigna una puntuación de 0,0 a 10,0 según tres métricas clave:
- Puntuación base: considera las caracterÃsticas intrÃnsecas de la vulnerabilidad en sÃ, incluido su impacto potencial en la confidencialidad, integridad y disponibilidad (trÃada CIA).
- Puntuación temporal: refleja la explotabilidad actual de la vulnerabilidad. Una vulnerabilidad recientemente descubierta y sin parches obtiene puntuaciones más altas que una con un parche disponible.
- Puntuación ambiental: centrada en el contexto especÃfico de la vulnerabilidad dentro del entorno de una organización. Una vulnerabilidad con mayor riesgo debido a configuraciones o activos especÃficos obtiene una puntuación más alta.
Una puntuación CVSS alta indica una vulnerabilidad grave que requiere parches rápidos o estrategias de mitigación. Es importante tener en cuenta que CVSS se centra en la gravedad técnica de la vulnerabilidad, no en el impacto empresarial más amplio considerado por DREAD.
Combinando DREAD y CVSS
Tanto DREAD como CVSS ofrecen información valiosa para los profesionales de la seguridad. Al usarlos juntos, obtendrá una comprensión integral de una amenaza a la seguridad. Ya que, mientras CVSS ayuda a priorizar las vulnerabilidades en función de su gravedad técnica y explotabilidad, DREAD ayuda a traducir esa severidad técnica en un impacto empresarial en el mundo real, considerando las posibles consecuencias y la cantidad de vÃctimas potenciales. Al combinar estas puntuaciones, puede asignar recursos de manera efectiva y priorizar las amenazas que representan el mayor riesgo para su organización, dedicando más recursos para resolverlas…