Smart home, smart car, smart hacking

En el curso de esta semana me crucé con un par de noticias que son, además de esperables, una muestra de que no hay conciencia de la necesidad de seguridad en todo lo que esté conectado, repito: en TODO lo que esté conectado… y hoy en día eso implica desde smart-phones conectados hasta casas con controles remotos.

Y pese a la lógica de miedo que algunos quieren imponer, algunas de estas vulnerabilidades se solucionarían con cosas simples. Veamos tres casos:

a) Insteon en Forbes donde la primer versión de un producto de control de “Smart Homes” no sólo te permite manejar tu casa vía internet, sino que no fuerza el uso de nombre/contraseña por defecto y.. deja un puerto abierto para accederlo ¿?

smart home hack

¿Hay error por parte del usuario? Claro que sí, pero si un puerto X se abre para que pueda controlarlo y no te lo advierten, hay neglicencia del fabricante.

b) El hack físico (wired) en un auto con control de sistemas de freno, aceleración y hasta control de dirección de un Toyota Prius y un Ford Escape que lograron dos ingenieros de seguridad.

prius hackeado

¿Más simple? Con lograr acceso a uno de los tantos puertos de estos autos, pueden hacer que se claven los frenos (o no funcionen), que no funcione el volante (o que gire de golpe) entre otras cosas.. ¿el detalle? les pareció más novedoso lograr un hack físico porque casi todos los autos en USA ya vienen con conectividad (satelital o celular) y eso se logra derrotar desde 2009 asi que no les parecía raro.

c) Finalmente, la decodificación del algoritmo de las llaves de los autos de lujo de Volkswagen Group, hizo que Volkswagen frene la publicación del paper académico donde se demuestra que el algoritmo de seguridad de las llaves electrónicas de los Porsche, Audi, Bentley y Lamborghini era vulnerable.

¿El paper era académico? si. ¿mostraba una vulnerabilidad real para acceder y prender autos de alta gama? si. ¿Volkswagen trabajó en arreglar el error? No, simplemente lograron que una corte le impida a Flavio Garcia de la University of Birmingham que publique el paper.

Empezar a pensar en seguridad
No entiendo que en el caso del control de “smart home” (domótica le decíamos cuando no estaba de moda :P) digan que “bueno, el usuario debería usar una clave” o que Volkswagen frene una publicación académica o que Toyota y Ford digan que “lograr acceso físico al auto es dificil” en vez de cerrar esas vulnerabilidades con sus propios sistemas.

Un gran porcentaje de estos problemas se podría resolver con actualizaciones remotas aprovechando que todos son sistemas conectados a Internet; pero también es momento de que entre los usuarios exista cierto modo de “pensar en la seguridad” antes de poner un sólo dato tuyo en un equipo electrónico.

¿Cuando comprás un teléfono lo primero que hacés es ponerle clave para que si se pierde no accedan a tus datos? Bueno, tener una casa conectada o un auto always-on debería hacer que al menos busques una analogía a esto ;)