Protección del automóvil eléctrico y definido por software

“Putin es un idiota. Gloria a Ucrania."

Eso es lo que leen los cargadores de vehículos eléctricos pirateados, entre otras cosas, en estaciones de carga deshabilitadas cerca de Moscú recientemente. Y por mucho que traiga una sonrisa a los rostros de muchas personas en todo el mundo, destaca un punto hecho por varios investigadores y desarrolladores que se reunieron la semana pasada en escar 2022 (una conferencia que se enfoca en desarrollos técnicos profundos en ciberseguridad automotriz cada año): los hacks automotrices están en aumento. De hecho, por Informe de Upstream Automotive, la frecuencia de los ataques cibernéticos ha aumentado un 225 % de 2018 a 2021, con un 85 % realizado de forma remota y un 54.1 % de los ataques de 2021 como atacantes “Black Hat” (también conocidos como maliciosos).

En medio de escuchar varios informes del mundo real en esta conferencia, algunas cosas se hicieron evidentes: hay buenas noticias y malas noticias basadas en el enfoque siempre requerido en esta área crítica.

Las malas noticias

En sus términos más simples, la mala noticia es que los avances tecnológicos solo aumentan la probabilidad de que ocurran los eventos del primer día. “Los vehículos eléctricos están creando más tecnología, lo que significa que hay más amenazas y superficies de amenazas”, afirmó Jay Johnson, investigador principal de Sandia National Laboratories. “Ya hay 46,500 2021 cargadores disponibles a partir de 2030, y para 600,000 la demanda del mercado sugiere que habrá aproximadamente XNUMX XNUMX”. Johnson pasó a delinear las cuatro interfaces principales de interés y un subconjunto preliminar de vulnerabilidades identificadas junto con recomendaciones, pero el mensaje fue claro: debe haber un "llamado a las armas" continuo. Esa, sugiere, es la única forma de evitar cosas como los ataques de denegación de servicio (DoS) en Moscú. “Los investigadores continúan identificando nuevas vulnerabilidades”, afirma Johnson, “y realmente necesitamos un enfoque integral para compartir información sobre anomalías, vulnerabilidades y estrategias de respuesta para evitar ataques coordinados y generalizados a la infraestructura”.

Los coches eléctricos y sus estaciones de carga asociadas no son las únicas nuevas tecnologías y amenazas. El "vehículo definido por software" es una plataforma arquitectónica seminueva (*posiblemente empleada hace más de 15 años por General MotorsGM
y OnStar) que algunos fabricantes se dirigen a combatir el miles de millones de dólares desperdiciados en la remodelación continua de cada vehículo. La estructura básica implica alojar gran parte de los cerebros del vehículo fuera de borda, lo que permite la reutilización y la flexibilidad dentro del software, pero también presenta nuevas amenazas. Según el mismo informe de Upstream, el 40 % de los ataques de los últimos años se dirigieron a servidores back-end. “No nos engañemos”, advierte Juan Webb, Director General de Kugler Maag Cie, “hay muchos lugares a lo largo de la cadena automotriz donde pueden ocurrir ataques que van desde la fabricación hasta los concesionarios y los servidores externos. Dondequiera que exista el eslabón más débil que es el más barato para penetrar con las mayores implicaciones financieras, ahí es donde atacarán los piratas informáticos”.

Allí, parte de lo que se discutió en escar fue la mala-buena-noticia (dependiendo de su perspectiva) de la Reglamento de la CEPE entrará en vigor esta semana para todos los tipos de vehículos nuevos: los fabricantes deben mostrar un Sistema de Gestión de Ciberseguridad (CSMS) y un Sistema de Gestión de Actualización de Software (SUMS) robustos para que los vehículos sean certificados para la venta en Europa, Japón y, finalmente, Corea. “Prepararse para estas certificaciones no es un esfuerzo menor”, ​​afirma Thomas Liedtke, especialista en ciberseguridad también de Kugler Maag Cie.

La Buena Noticia

En primer lugar, la mejor noticia es que las empresas han escuchado el grito de guerra y han comenzado mínimamente a inculcar el rigor necesario para combatir a los enemigos Black Hat antes mencionados. “En 2020-2022, hemos visto un aumento en las corporaciones que desean realizar un Análisis de amenazas y evaluación de riesgos o TARAR
A”, afirma Liedtke. “Como parte de esos análisis, la recomendación ha sido centrarse en los tipos de ataques controlados de forma remota, ya que estos conducen a valores de riesgo más altos”.

Y todo este análisis y rigor inicialmente parece estar surtiendo efecto. Según un informe proporcionado por Samantha ("Sam") Isabelle Beaumont de IOActive, solo el 12 % de las vulnerabilidades encontradas en sus pruebas de penetración de 2022 se consideraron "Impacto crítico" frente al 25 % en 2016, y solo el 1 % fueron "Probabilidad crítica" frente a 7% en 2016. “Estamos viendo que las estrategias actuales de remediación de riesgos comienzan a dar sus frutos”, afirma Beaumont. “La industria está mejorando en la construcción mejor”.

¿Significa eso que la industria está acabada? Ciertamente no. “Todo esto es un proceso continuo de endurecimiento de los diseños contra los ataques cibernéticos en evolución”, sugiere Johnson.

Mientras tanto, celebraré la última buena noticia que obtuve: los piratas informáticos rusos están ocupados pirateando activos rusos en lugar de mi feed de redes sociales.