Sistemas de detección de intrusos (IDS): Por fin para los vehículos

Por | Publicado el 19 de agosto de 2016
Actualizado el 16 de febrero de 2024

flechas que se deslizan por una pared de ladrillo

Es bien sabido que los vehículos han sido vulnerables a ataques procedentes de diversas fuentes. Estos han abarcado desde equipos, terminales y sistemas de comunicación poco seguros hasta puertos abiertos. Independientemente de la fuente, estos factores han proporcionado históricamente —y siguen proporcionando— amplias superficies de ataque para quienes tienen intenciones maliciosas.

Los ingenieros del sector de la automoción han abordado esta cuestión desde una perspectiva defensiva. Los ingenieros de seguridad de la información han analizado el flujo de datos, los puntos finales y otros equipos para redactar y aplicar las especificaciones a los vehículos y a los proveedores. Cuando es necesario, estas especificaciones se actualizan a medida que avanza la tecnología. El problema con este enfoque ha sido sistémico en el caso de determinados fabricantes de automóviles. La seguridad de la información se ha tratado como una cuestión secundaria, incorporada a última hora durante el proyecto. Esto también se ha calificado como un obstáculo para el éxito del proyecto. Esto ha dado lugar a una seguridad laxa en el vehículo y en su comunicación con proveedores externos. Cuando no se dispone de tiempo suficiente para especificar adecuadamente los requisitos de seguridad, hacer que todas las partes los aprueben e implementarlos en el diseño, surgen vulnerabilidades en el diseño y la implementación. Esto se ha observado una y otra vez en los ataques a los frenos de los vehículos, en la inseguridad de las aplicaciones de los vehículos conectados, en la falta de seguridad del mando a distancia al comunicarse con el vehículo y en muchas otras vulnerabilidades que se han investigado en los últimos cuatro años. Estos métodos no han sido lo suficientemente sólidos como para hacer frente a los ataques a los vehículos (Cho y Shin, 2016).

Los métodos anteriores de seguridad de la información se centraban en garantizar la seguridad de los equipos del vehículo y de los métodos de comunicación mediante el cifrado, TLS 1.2, SAML y otras técnicas. Los investigadores de la Universidad de Míchigan (Cho y Shin, 2016) han cambiado este enfoque. Los investigadores propusieron un sistema de detección de intrusiones (IDS) centrado en la búsqueda de anomalías. En teoría, estas podrían encontrarse en cualquier punto de los canales de comunicación del vehículo. Los investigadores de esta aplicación se han centrado en el IDS basado en el reloj o en el chip (CIDS). En resumen, está diseñado para detener la interferencia en el bus CAN (Gray, 2016). Funciona analizando el perfil del bus CAN. Los dispositivos individuales se comunican con el bus. Al hacerlo, estos equipos proporcionan una huella digital de su reloj derivada de los osciladores, cristales, etc. Esta se construye utilizando el algoritmo de mínimos cuadrados recursivos (RLS) (Cho y Shin, 2016) y solo se tarda unos segundos en completarla (Greenberg, 2016). Con el tiempo, la herramienta los supervisa para adquirir su huella digital específica.

Una vez documentados estos datos, la herramienta busca cualquier elemento inusual o anomalía en los equipos que intentan comunicarse con el bus CAN, en forma de discrepancia entre los equipos o fuentes aprobados y autenticados en la base de datos y la huella digital del equipo que intenta comunicarse con el vehículo. Un problema que se marcaría como sospechoso sería un ataque de un tercero que suplantara mensajes, comandos o instrucciones. Estos podrían dirigirse a los frenos o a la transmisión del vehículo (Greenberg, 2016). Cualquier mensaje que no contuviera la firma aceptable se marcaría como no procedente del chip ni del equipo. Esta comprobación se lleva a cabo mediante el método de suma acumulativa (CUSUM) (Cho y Shin, 2016). Su investigación indica que este nuevo método de seguridad para el vehículo presenta una tasa de falsos positivos del 0,0055 %. Esto se logró mediante un experimento con los modelos Honda Accord, Toyota Camry y Dodge Ram, en el que se simularon ataques que normalmente provendrían de un tercero.

En la segunda parte, analizaré más detenidamente la «herramienta».

Referencias

Cho, K.-T., y Shin, K.G. (2016). Identificación de unidades de control electrónico para la detección de intrusiones en vehículos. Consultado en https://kabru.eecs.umich.edu/wordpress/wp-content/uploads/sec16-final165_final.pdf

Gray, P. (productor). (21 de julio de 2016). #419: Brian Krebs sobre el futuro de la ciberdelincuencia bancaria. Risky.biz [Podcast de audio]. Consultado en http://risky.biz/RB419

Greenberg, A. (14 de julio de 2016). Una ingeniosa herramienta protege su coche contra los ataques informáticos vigilando sus relojes internos. Consultado en https://www.wired.com/2016/07/clever-tool-shields-car-hacks-watching-internal-clocks/

Acerca de Charles Parker II

Charles Parker II lleva más de una década trabajando en el ámbito de la seguridad de la información, realizando pruebas de penetración y evaluaciones de vulnerabilidades, prestando asesoramiento a pequeñas y medianas empresas para mitigar y resolver sus problemas, y elaborando políticas y procedimientos de TI y seguridad de la información. La trayectoria profesional del Sr. Parker abarca su labor en los sectores bancario, sanitario, automovilístico y de selección de personal.

El Sr. Parker se ha matriculado y ha obtenido los títulos de MBA, MSA, JD y LLM, y se encuentra en la fase final del doctorado en Seguridad y Protección de la Información (ABD) por la Universidad de Capella. Entre las áreas de interés del Sr. Parker se encuentran la criptografía, los antivirus y los sistemas SCADA.