DREAD, CVSS i nivells d'amenaces per als cotxes connectats

car hacking, amenaces

Els cotxes connectats són realment un element més del món de l'IoT, estan transformant la indústria automotriu, però també haurien de canviar el punt de vista dels usuaris, ja que en estar connectats no només aporten funcions extra respecte als cotxes convencionals, també hi ha amenaces associades.

Aquests vehicles estan equipats amb una varietat de sensors, càmeres i dispositius de comunicació que els permeten recopilar i compartir dades a temps real. Si bé aquesta connectivitat ofereix una sèrie de beneficis, com ara la conducció autònoma, l'assistència al conductor i l'entreteniment millorat, també introdueix noves vulnerabilitats que poden ser explotades per ciberdelinqüents, ja sigui per robar vehicles o per manipular-los d'alguna manera, i fins i tot per obtenir dades.

Pel que fa al car hacking, es pot realitzar mitjançant atacs molt variats, com el que ataca la xarxa vehicular, tant mitjançant protocols sense fil com el WiFi, Bluetooth, etc., com també mitjançant el bus en què es base el vehicle, com el CAN, entre d'altres. També poden ser infectats mitjançant malware de qualsevol tipus, fer servir atacs MitM, de radiofreqüència, etc.

Nivells d'amenaces al Car Hacking

hacking cotxes

El Car Hacking és una pràctica maliciosa que implica l'explotació de vulnerabilitats als sistemes informàtics d'un vehicle per obtenir accés no autoritzat, controlar-lo o robar dades, com he comentat anteriorment. Per comprendre millor la gravetat d'aquestes amenaces, s'ha establert un sistema de classificació que defineix diferents nivells de risc:

Level 0: Visió general

Aquest nivell representa la fase inicial de reconeixement, on els ciberdelinqüents busquen informació general sobre el vehicle, els seus sistemes i les possibles vulnerabilitats. Solen utilitzar tècniques com ara la cerca a Internet, la consulta de bases de dades públiques i l'anàlisi de manuals tècnics. L'objectiu principal és comprendre el panorama general del vehicle i els sistemes per identificar possibles punts d'entrada.

Level 1: Receptors

En aquest nivell, els atacants s'enfoquen a identificar i comprendre els sistemes de recepció del vehicle, com ara els sensors, les antenes i els mòduls de comunicació. El seu objectiu és establir una connexió amb aquests sistemes per interceptar o manipular la informació que transmeten. Les tècniques utilitzades en aquest nivell poden incloure escaneig de ports, injecció de codi i anàlisi de protocols de comunicació.

Level 2: Desglossament del receptor

Quan els atacants han establert una connexió amb un sistema receptor, aprofundeixen en el seu funcionament intern. Analitzen el microprogramari, els protocols de comunicació i les interfícies de programació per identificar vulnerabilitats específiques que els permetin explotar el sistema. En aquest nivell, els ciberdelinqüents poden fer servir tècniques com l'enginyeria inversa, l'anàlisi de codi i el fuzzing.

Level 3: Manipulació del sistema

En identificar vulnerabilitats específiques al sistema receptor, els atacants poden manipular el seu funcionament per obtenir control o robar dades. Això pot incloure modificar el microprogramari, injectar codi maliciós o alterar les dades transmeses. Les conseqüències de la manipulació del sistema poden variar des de l'alteració del rendiment del vehicle fins al control total.

Level 4: Control del vehicle

Un nivell superior als anteriors és aquest, on s'assoleix el control total del vehicle per part de l'atacant. En aquest nivell, el ciberdelinqüent ha aconseguit manipular els sistemes crítics del vehicle, com el motor, la direcció o els frens, cosa que li permet prendre el control complet del vehicle. Les conseqüències d'un control del vehicle poden ser devastadores, incloent-hi accidents greus o fins i tot la mort.

Nivell 5: Explotació remota

Finalment, en aquest altre nivell s'exploten les vulnerabilitats del vehicle de forma remota, sense necessitat d'accedir-hi. Això es pot aconseguir a través de xarxes sense fil, com ara Wi-Fi o Bluetooth, o mitjançant l'explotació de vulnerabilitats en els sistemes de telemàtica del vehicle. L'explotació remota representa un risc encara més gran, ja que permet als ciberatacants manipular els vehicles des de qualsevol lloc del món.

És important destacar que aquests nivells no són rígids i es poden superposar entre si, i fins i tot podrien anar canviant amb el temps amb l'arribada de noves tecnologies…

Avaluació de riscos amb CVSS i DREAD

Ordinador de bord d'un Citroën C4 2021

A banda dels nivells d'amenaces, també s'han creat sistemes de puntuació de risc CVSS i DREAD es poden fer servir per avaluar la gravetat de les amenaces als cotxes connectats, com també es fa en el cas dels sistemes informàtics i xarxes.

DREAD (Damage, Reproduïbility, Exploitability, Affected Users, and Discoverability)

DREAD és un sistema de puntuació qualitatiu que se centra en l‟impacte empresarial d‟una amenaça a la seguretat. Assigna una puntuació de 0 a 100 per a cadascuna de les cinc categories següents:

  • dany: considera la gravetat potencial de les conseqüències si s‟explota l‟amenaça. Una violació de dades que exposi informació financera obtindria una puntuació més alta que laccés no autoritzat a un sistema no crític.
  • Reproduïbilitat: analitza la facilitat amb què un atacant pot replicar l'exploit. Un exploit fàcilment disponible amb coneixements tècnics mínims requeria puntuacions més altes que un atac teòric complex.
  • Explotabilitat: avalua la dificultat tècnica de realitzar l'atac. Un exploit que requereix eines especialitzades o habilitats avançades obté puntuacions més baixes que un que es pot aconseguir fàcilment amb eines comunes.
  • Usuaris afectats: considera el nombre de víctimes potencials vulnerables a l'amenaça. Una vulnerabilitat generalitzada que afecta milions d'usuaris té puntuacions més altes que una que afecta un grup petit i específic.
  • Descobribilitat: es refereix a la facilitat amb què es pot identificar i detectar l'amenaça. Una vulnerabilitat fàcilment detectable obté una puntuació més baixa que una oculta i complexa que requereix un esforç significatiu per descobrir-se.

En calcular una puntuació DREAD combinada, els professionals de la seguretat poden prioritzar les amenaces en funció del possible impacte empresarial. Una puntuació DREAD alta indica una amenaça que requereix atenció immediata pel seu alt potencial de causar danys significatius.

CVSS (Common Vulnerability Scoring System)

CVSS és un sistema de puntuació quantitativa estandarditzat dissenyat específicament per a l'avaluació de vulnerabilitats alternatiu al CVSS. Assigna una puntuació de 0,0 a 10,0 segons tres mètriques clau:

  • Puntuació base: considera les característiques intrínseques de la vulnerabilitat en si, inclòs el seu impacte potencial en la confidencialitat, integritat i disponibilitat (triada CIA).
  • Puntuació temporal: reflecteix l'explotabilitat actual de la vulnerabilitat. Una vulnerabilitat recentment descoberta i sense pegats obté puntuacions més altes que una amb un pegat disponible.
  • Puntuació ambiental: centrada en el context específic de la vulnerabilitat dins l'entorn d'una organització. Una vulnerabilitat amb més risc a causa de configuracions o actius específics obté una puntuació més alta.

Una puntuació CVSS alta indica una vulnerabilitat greu que requereix pegats ràpids o estratègies de mitigació. És important tenir en compte que CVSS se centra en la gravetat tècnica de la vulnerabilitat, no en l‟impacte empresarial més ampli considerat per DREAD.

Combinant DREAD i CVSS

Tant DREAD com CVSS ofereixen informació valuosa per als professionals de la seguretat. En utilitzar-los junts, obtindreu una comprensió integral d'una amenaça a la seguretat. Ja que, mentre CVSS ajuda a prioritzar les vulnerabilitats en funció de la seva gravetat tècnica i explotabilitat, DREAD ajuda a traduir aquesta severitat tècnica en un impacte empresarial al món real, considerant les possibles conseqüències i la quantitat de víctimes potencials. Al combinar aquestes puntuacions, pot assignar recursos de manera efectiva i prioritzar les amenaces que representen el risc més gran per a la seva organització, dedicant més recursos per resoldre-les…


Taxa gratis el cotxe en 1 minut ➜

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.