Sistemas de detección de intrusos (IDS): Por fin para los vehículos

Los vehículos han sido notoriamente vulnerables a los ataques de diversas fuentes. Éstas han variado desde el equipo, los puntos finales y la comunicación insegura hasta los puertos abiertos. Independientemente de la fuente, históricamente han proporcionado y continúan proporcionando amplias superficies de ataque para aquellos con intenciones maliciosas.

Los ingenieros de la industria del automóvil han atacado este problema desde el extremo defensivo. Los ingenieros de seguridad de la información han revisado el flujo de datos, los puntos finales y otros equipos para redactar y aplicar las especificaciones a los vehículos y proveedores. Cuando es necesario, estas especificaciones se actualizan a medida que avanza la tecnología. El problema de este puesto ha sido sistémico con ciertos fabricantes de automóviles. La seguridad de la información ha sido tratada como una idea de última hora, introducida tarde en el proyecto. Esto también ha sido calificado como un atropello al éxito del proyecto. Esto ha permitido una seguridad poco estricta en el vehículo y en su comunicación con terceros proveedores. Cuando no hay tiempo suficiente para especificar adecuadamente los requisitos de seguridad, hacer que todas las partes los aprueben y aplicarlos en el diseño, se producen vulnerabilidades en el diseño y la aplicación. Esto se ha visto una y otra vez con los ataques a los frenos de los vehículos, la inseguridad de la aplicación para vehículos conectados, la falta de seguridad del mando al comunicarse con el vehículo y muchas otras vulnerabilidades que se han investigado en los últimos cuatro años. Estos métodos no han sido robustos al nivel necesario para los ataques a vehículos (Cho & Shin, 2016).

Los métodos anteriores para la seguridad de la información se centraban en que el equipo del coche y los métodos de comunicación fueran seguros mediante encriptación, TLS 1.2, SAML y otros métodos. Los investigadores de la Universidad de Michigan (Cho y Shin, 2016) han cambiado el enfoque de esto. Los investigadores propusieron un sistema de detección de intrusiones (IDS) centrado en la búsqueda de anomalías. Estas, en teoría, podrían estar en cualquier parte de los canales de comunicación del vehículo. Los investigadores con esta aplicación se han centrado en el IDS basado en el reloj o en el chip (CIDS). En resumen, esto está diseñado para detener la interferencia con el bus CAN (Gray, 2016). Esto funciona olfateando el perfil del Bus CAN. Los dispositivos individuales se comunican con el Bus. A medida que estos equipos lo hacen, proporcionan una huella digital de su reloj derivada de los osciladores, cristales, etc. Esto se construye mediante el algoritmo de mínimos cuadrados recursivos (RLS) (Cho y Shin, 2016) y solo se tarda unos segundos en conseguirlo (Greenberg, 2016). Con el tiempo, la herramienta los monitoriza para adquirir su huella digital específica.

Con estos documentos, la herramienta busca cualquier cosa inusual o una anomalía con el equipo que intenta comunicarse con el bus CAN en forma de una incongruencia entre el equipo/fuente aprobado y autentificado en la base de datos y la huella digital del equipo que intenta comunicarse con y hacia el vehículo. Un problema que se marcaría con una bandera roja sería en forma de un ataque de un tercero que falsifique mensajes, comandos o direcciones. Estos pueden estar dirigidos a los frenos o a la transmisión del vehículo (Greenberg, 2016). Cualquier mensaje sin la firma aceptable se marcaría como no procedente del chip y del equipo. Esta comprobación se realiza con el método de la suma acumulativa (CUSUM) (Cho y Shin, 2016). Su investigación indica que este nuevo método para asegurar el vehículo muestra una tasa de falsos positivos del 0,0055%. Esto se logró con un experimento con el Honda Accord, el Toyota Camry y el Dodge Ram, simulando ataques que normalmente serían de un tercero.

En la segunda parte, examinaré más de cerca la "herramienta".

Referencias

Cho, K.-T., & Shin, K.G. (2016). Fingerprinting electronic control units for vehicle intrusion detection. Extraído de https://kabru.eecs.umich.edu/wordpress/wp-content/uploads/sec16-final165_final.pdf

Gray, P. (Productor). (2016, 21 de julio). #419-Brian Krebs sobre el futuro del cibercrimen bancario. Risky.biz [Podcast de audio]. Recuperado de http://risky.biz/RB419

Greenberg, A. (2016, 14 de julio). Inteligente herramienta que protege tu coche de los hackeos vigilando sus relojes internos. Obtenido de https://www.wired.com/2016/07/clever-tool-shields-car-hacks-watching-internal-clocks/


Sobre Charles Parker, II

Charles Parker, II ha estado trabajando en el campo de la seguridad de la información durante más de una década, realizando pruebas de penetración, evaluaciones de vulnerabilidad, consultando con pequeñas y medianas empresas para mitigar y remediar sus problemas, y preparando políticas y procedimientos de TI y seguridad de la información. El Sr. Parker ha trabajado en los sectores de la banca, la medicina, la automoción y la contratación de personal.

El Sr. Parker se ha matriculado y ha obtenido el MBA, el MSA, el JD, el LLM, y está en la fase final del doctorado en Garantía y Seguridad de la Información (ABD) de la Universidad Capella. Las áreas de interés del Sr. Parker incluyen la criptografía, la AV y la SCADA.