Language
Inclinándose contra la ley de reparación, la NHTSA respalda la seguridad a través de la oscuridad
HogarHogar > Blog > Inclinándose contra la ley de reparación, la NHTSA respalda la seguridad a través de la oscuridad
ÚLTIMAS NOTICIAS

Inclinándose contra la ley de reparación, la NHTSA respalda la seguridad a través de la oscuridad

Nov 02, 2023

La “seguridad a través de la oscuridad” (la noción de que mantener en secreto el funcionamiento de la tecnología es un medio para protegerla de ataques) fue abandonada hace mucho tiempo por los profesionales de la ciberseguridad y la industria de la seguridad de la información en general. Como nos ha demostrado la historia: el secreto no es lo mismo que la seguridad y no resiste bien a adversarios que son inteligentes, ingeniosos y decididos.

Simplemente no se lo digas a la Administración Nacional de Seguridad del Tráfico en Carreteras (NHTSA), que se pronunció firmemente a favor del concepto en una carta dirigida a 22 fabricantes de automóviles la semana pasada. La carta, fechada el 13 de junio, apuntaba a una ley de Massachusetts que proporciona a los propietarios de vehículos control y acceso a los datos telemáticos de sus automóviles. La NHTSA dijo que la ley podría facilitar los ataques cibernéticos y "permite la manipulación de los sistemas de un vehículo, incluidas funciones críticas para la seguridad como la dirección, la aceleración o el frenado". Continuó diciendo a los fabricantes de automóviles que los riesgos cibernéticos telemáticos constituyen un riesgo para la seguridad de los vehículos y van en contra de la Ley Nacional de Seguridad de Tráfico y Vehículos Motorizados (Ley de Seguridad), una ley que data de mediados de la década de 1960, y que prácticamente les ordena mantener la telemática de sus vehículos. sistemas cerrados.

"Dados los graves riesgos de seguridad que plantea la Ley de Acceso a Datos, tomar medidas para abrir el acceso remoto a las unidades telemáticas de los vehículos de conformidad con esa ley, que requiere vías de comunicación con los sistemas de control de los vehículos, entraría en conflicto con sus obligaciones en virtud de la Ley de Seguridad". escribió la NHTSA.

Pero al respaldar la seguridad de los fabricantes de automóviles a través de la oscuridad, la NHTSA pasó por alto tanto sus propias mejores prácticas cibernéticas como los informes recientes que sugieren que los sistemas telemáticos de los fabricantes de automóviles están plagados de fallas y vulnerabilidades de seguridad explotables.

La ley de derecho telemático a reparar vehículos de Massachusetts está redactada para hacer que sea más fácil y menos costoso para los propietarios de vehículos reparar sus automóviles mediante la promoción de la competencia dentro del mercado de reparación de automóviles. Hace tres años, las medidas electorales generaron una campaña rencorosa que duró meses en la que los fabricantes de automóviles publicaron millones de dólares en publicidad televisiva advirtiendo a los residentes de Massachusetts, sin pruebas, que el acceso a la información sobre reparación de vehículos daría a los delincuentes y acosadores acceso a sus hogares y vehículos. Las tácticas de miedo de la industria no funcionaron: la medida electoral fue aprobada con más de tres cuartas partes de los votantes apoyándola en noviembre de 2020.

Pero ese no fue el final. Su aprobación provocó una demanda ese mismo mes por parte de un grupo de presión de la industria automotriz. Esa demanda, Alliance for Automotive Innovation vs. Campbell, ha languidecido en la sala del tribunal del juez federal Douglas Woodlock durante más de dos años, sin una decisión a la vista. El 1 de junio, la recién elegida Fiscal General de Massachusetts, Andrea Joy Campbell, comenzó a hacer cumplir la ley en ausencia de un fallo judicial a favor o en contra. La carta de la NHTSA, dos semanas después, fue un obstáculo para la aplicación de la ley por parte del estado.

Sólo hay un problema: la ley de derecho a reparar automóviles de Massachusetts no hace nada de lo que dice la carta de la NHTSA. Tal como fue redactada y aprobada por los votantes de Massachusetts, la ley simplemente dice que los vehículos vendidos en Massachusetts que utilizan un sistema telemático deben equiparlos con "una plataforma interoperable, estandarizada y de acceso abierto en todas las marcas y modelos del fabricante". La seguridad no es una idea de último momento. De hecho, la ley especifica que “dicha plataforma deberá ser capaz de comunicar de forma segura todos los datos mecánicos que emanen directamente del vehículo de motor a través de una conexión de datos directa a la plataforma”.

Eso es todo. La palabra "abierto" aparece solo una vez en la actualización de 2020 de la ley de acceso a datos y se utiliza en el contexto de "no propietario", no "no seguro". Lo que la ley hace es sacar a los fabricantes de automóviles del papel de guardianes que pueden decidir quién tiene acceso a los datos telemáticos de los vehículos. En cambio, afirma que las personas pueden acceder y compartir los datos telemáticos producidos por su vehículo como mejor les parezca, incluso con terceros profesionales de reparación independientes.

Todo esto está de acuerdo con una ley de derecho a reparar automóviles de Massachusetts de 2013 que exigía un sistema basado en estándares para acceder a los datos telemáticos necesarios para la reparación. La aprobación de esa ley hizo que los fabricantes de automóviles cumplieran y utilizaran el puerto estándar de diagnóstico a bordo (OBD) en los vehículos para transmitir datos de diagnóstico y rendimiento del vehículo a través de conexiones por cable. La actualización de 2020 de la ley de derecho a reparar automóviles también solucionó la ley anterior de derecho a reparar automóviles, al exigir que los cortafuegos colocados sobre el puerto OBD en un esfuerzo por eludir la ley de 2013 deben ser administrados por una entidad no afiliada a los fabricantes.

La carta de la NHTSA provocó una airada respuesta de los dos senadores de Massachusetts, Elizabeth Warren y Ed Markey. En una carta fechada el 16 de junio de 2023, los dos senadores acusaron a la NHTSA de “eludir el proceso legal, contradecir una orden judicial, socavar a los votantes de Massachusetts, dañar la competencia y perjudicar a los consumidores”. Las cartas, enviadas dos semanas después de que el Fiscal General de Massachusetts comenzara a hacer cumplir la ley, “causaron una confusión innecesaria al plantear esta visión novedosa” de la ley.

Los conflictos en la posición de la NHTSA son fáciles de ver. La carta de la agencia a los fabricantes de automóviles cita su propio documento "Mejores prácticas de ciberseguridad" (PDF) que advierte que "el acceso inalámbrico no autorizado a los recursos informáticos de los vehículos podría escalar rápidamente a múltiples vehículos sin los controles adecuados". Pero esos estándares también exigen a los fabricantes de automóviles que "consideren la capacidad de servicio de los componentes y sistemas del vehículo por parte de individuos y terceros" y "proporcionen sólidas protecciones de ciberseguridad para los vehículos que no restrinjan indebidamente el acceso de servicios de reparación alternativos de terceros autorizados por el propietario del vehículo".

“La ciberseguridad no debería convertirse en un motivo para justificar la limitación de la capacidad de servicio. De manera similar, la capacidad de servicio no debería limitar los controles estrictos de ciberseguridad”, afirma el documento de mejores prácticas.

Sin embargo, a juzgar por la carta de la NHTSA, la agencia ha tenido que reconsiderarlo. Según la última misiva, los fabricantes de automóviles pueden gestionar las amenazas cibernéticas a los vehículos sólo limitando el acceso a la telemática del vehículo y dejando a los fabricantes de automóviles el control de quién puede acceder a esos sistemas y cómo. Al mantener cerrados y propietarios los sistemas telemáticos, sugiere la NHTSA, los fabricantes de automóviles pueden limitar los ataques a ellos.

Hay un par de razones por las que ese pensamiento es (profundamente) defectuoso. Por un lado: confía mucho en el software y los sistemas telemáticos OEM que han demostrado estar plagados de agujeros de seguridad. En los últimos años, los investigadores de seguridad han demostrado numerosos métodos para acceder y manipular software telemático para obtener control físico de los vehículos.

Por ejemplo, en Car Hacking Village, en la conferencia anual de piratería DEF CON en agosto pasado, los investigadores Mohammed Shine y Ayyappan Rajesh demostraron por separado fallas en aplicaciones telemáticas móviles fabricadas por Honda, incluida una falla explotable de forma remota que podría permitir a los atacantes iniciar o apagar de forma remota. un vehículo, abrir el maletero, bloquear y desbloquear las puertas del automóvil y más. Eludir las funciones de seguridad integradas en Honda Connect fue “fácil”, dijo Shine.

Luego, en enero, el investigador de seguridad Sam Curry y un equipo de colaboradores publicaron un informe, “Web Hackers Vs. The Auto Industry”, que documentó una larga lista de fallas de seguridad adicionales en el software telemático utilizado por múltiples fabricantes de automóviles. Curry y sus compañeros investigadores obtuvieron acceso a “cientos de aplicaciones internas de misión crítica” y “API internas de vehículos” (interfaces de programación de aplicaciones) utilizadas por Mercedes Benz. En Spireon, un proveedor de GPS para vehículos, los investigadores afirmaron haber obtenido “acceso de administrador completo a un panel de administración de toda la empresa con capacidad para enviar comandos arbitrarios a aproximadamente 15,5 millones de vehículos (incluido) flashear/actualizar el firmware de los dispositivos en los vehículos”. También afirmaron ser capaces de llevar a cabo un ataque de ejecución remota de código (RCE) contra "sistemas centrales para administrar cuentas de usuarios, dispositivos y flotas, y la capacidad de" hacerse cargo por completo de cualquier flota ", incluidas las flotas del departamento de policía y de primeros auxilios que Confíe en los servicios de Spireon.

Más recientemente, Toyota dijo que una auditoría de sus sistemas telemáticos de vehículos conectados a la nube reveló que la compañía había expuesto los datos de más de dos millones de clientes a Internet debido a una "mala configuración de su servicio de nube conectado". Los datos incluían direcciones de correo electrónico registradas por los propietarios del vehículo; números de chasis y terminales de navegación exclusivos del vehículo; la ubicación de los vehículos y a qué hora estuvieron allí; y vídeos de la “grabadora de conducción” del vehículo, que graba imágenes del vehículo.

Los fabricantes de automóviles finalmente publicaron correcciones y parches de software para los fallos descubiertos. Sin embargo, muchas de las medidas de seguridad de los fabricantes y proveedores de automóviles “se sentían atrasadas algunos años”, me dijo Curry en una entrevista en ese momento. "Tienen modelos de amenazas muy complicados y enormes superficies de ataque, por lo que no nos sorprendió haber encontrado (los fallos)". En otras palabras: es casi seguro que hay más vulnerabilidades esperando a ser descubiertas.

Consideremos: los fallos descubiertos por Curry y otros investigadores son ejemplos reales del tipo de riesgos de seguridad que, según afirma la NHTSA, pueden ser hipotéticamente posibles como resultado de la aplicación de la ley de Massachusetts.

Utilizando el estándar propuesto por la NHTSA en su carta a los fabricantes de automóviles, parecería que los sistemas telemáticos modernos ya implementados en los vehículos probablemente violen los términos de la Ley de Seguridad y los fabricantes de automóviles deberían retirarlos para abordar los tipos de fallas de ciberseguridad descubiertas recientemente.

Entonces la NHTSA se ocupa de eso, ¿verdad? Aparentemente no. La carta de la agencia de la semana pasada no mencionó la investigación de Curry ni las recientes y flagrantes fallas de ciberseguridad de los fabricantes de automóviles. De manera similar, una revisión de las investigaciones de seguridad en curso de la NHTSA no muestra ningún registro de investigaciones activas sobre las fallas telemáticas que Curry, Shine, Rajesh y otros revelaron. (La NHTSA no respondió a una solicitud de comentarios ni a una entrevista).

De hecho, si bien la NHTSA ha publicado una voluminosa documentación relacionada con la ciberseguridad de los vehículos, la aplicación de las mejores prácticas de ciberseguridad sigue siendo una ocurrencia tardía.

¿Cuál es la solución aquí (juego de palabras)? Primero, la NHTSA debería rescindir su advertencia a los fabricantes de automóviles sobre la ley de derecho a reparar de Massachusetts. La tortuosa lectura que hace la agencia del lenguaje de la ley es un claro consuelo para la industria automotriz que está luchando contra ella, y plantea serias e importantes preguntas sobre la independencia de la NHTSA de las mismas empresas que tiene la tarea de regular.

En segundo lugar, la NHTSA debería poner fin a su pausa de ocho años en la vigilancia de los riesgos del software en los sistemas de vehículos y emprender una evaluación exhaustiva y generalizada del software telemático implementado y planificado por los principales fabricantes y proveedores de automóviles, como Sirrius XM, Spireon y otros, al mismo tiempo que contrata la ayuda y los expertos. asesoramiento de investigadores de seguridad independientes como Curry y otros que han arrojado luz sobre las prácticas laxas de seguridad y desarrollo relacionadas con los sistemas telemáticos.

En lugar de simplemente responder a informes de fallas, la NHTSA debería dedicarse a identificar y trabajar para resolver debilidades y exposiciones telemáticas aún no reveladas que podrían brindar a los ciberdelincuentes o actores estatales la capacidad de lanzar ataques contra automóviles, camiones y otros medios de transporte estadounidenses. infraestructura.

Finalmente: la agencia debe colaborar de manera constructiva con las partes de ambos lados para forjar un camino a seguir que apoye tanto las características modernas y conectadas como la reparación y el servicio de vehículos por parte de propietarios e independientes. Dar un guiño al “derecho a reparar” y al mismo tiempo respaldar la noción de que las características inteligentes y conectadas justifican los monopolios de los OEM sobre el acceso al software telemático es una posición que no resistirá el escrutinio ni las demandas de los propietarios de vehículos. La NHTSA debería ver lo que está escrito en la pared y ajustar su posición en consecuencia.

Aclaración : una versión anterior de este artículo expresaba erróneamente un aspecto de la ley ampliada del derecho a reparar automóviles que los votantes aprobaron en 2020. El artículo se ha actualizado para indicar que la ley brinda a las personas acceso y la capacidad de compartir los datos telemáticos producidos por sus vehículo. También aclara que la referencia al acceso proporcionado por una entidad no afiliada a los fabricantes de automóviles se aplica al acceso a los datos transmitidos a través del puerto OBD físico del vehículo.

Aclaración