Vídeo.- The Bicho: An Advanced Car Backdoor Maker

Hoy es viernes y yo tengo que ir a hacer un poco de deporte así que toca vídeo.  Pero no es un vídeo normal si no hoy toca aprender un poco sobre el hackeo de coches a través del CAN BUS una ponencia muy chula y dan ganas de ponerse a trastear con toda tecnología que se nos ponga por delante. 

Sed Buenos ;) 

El horror al actualizar el navegador de tu auto.

Pues hoy no esperaba hacer esta entrada y va a ser muy corta, así que agarraos lo que podáis que vamos.

Me acabo de encontrar con el siguiente tweet de Guido van Rossum el creador de Python donde mostraba un video de honda e indicaba que el horror llegaba en el minuto 1:35 y la verdad es que no es para menos ...

See the sheer terror on the face of the actor updating their car navigation system: https://t.co/PZpp6IKsf0 (around 1:35)

— Guido van Rossum (@gvanrossum) 21 de abril de 2017

El vídeo está oculto en vimeo, [se podrían hacer muchas cosas] pero voy a respetarlo un poco aunque aquí tenéis el enlace:

• https://vimeo.com/194667219/acd57a2767

Entre nosotros, no creo que esta sea la mejor manera de actualizar un coche/auto. A mi se me ocurren 3 vectores de ataque ¿Cuantos se os ocurren a vosotros?

Estoy bastante indignado Honda tiene el suficiente capital como para hacer las cosas bien y poder para contratar a ingenieros capaces de adelantarse a estos problemas. La verdad es que me parece una solución del medievo para un error que puede traer muchos problemas.

Sed Buenos ;)

¿Cómo funcionan los Coches Auto-conducidos?

Seguramente, si sois como yo y yo no soy un tío muy raro, siempre que veías algo nuevo en el mundo de la tecnología, tenéis que investigar para saber como funciona y hacerlos una idea aproximada si no no estáis contento.  Pues a mi me pasa y hacia mucho tiempo que tenia ganas de leer algún paper sobre ello y que mejor que sea de la mano de Nvidia ¿no?.

Si, como pensáis el coche se basa en el análisis de los fotogramas que recibe por sus cámaras para detectar si hay carretera o no y hacer sus cálculos para poder virar o continuar recto. También se explica algunas medidas de seguridad que seguramente serán el futuro de mucho trabajo xD.

Os dejo el enlace al paper de Nvidia:

• http://images.nvidia.com/content/tegra/automotive/images/2016/solutions/pdf/end-to-end-dl-using-px.pdf

Sed buenos ;)

YACHT (Yet Another Car Hacking Tool)

El futuro de las vulnerabilidades en los coches ya es el presente y si el otro día hablamos de haber ingeniería inversa a las llaves wireless del coche hoy toca mostraros una herramienta para poder darle fuerte y flojo al Bus CAN.
 

Antes de compartiros las Slides y la herramienta solo deciros que el Bus CAN es es un protocolo de comunicaciones, basado en una topología bus para la transmisión de mensajes en entornos distribuidos. Esto permite al vehículo que sus microcontroladores se envíen "mensajes" entre si sin necesidad de que haya un host principal.

¿Qué pasaría si se hiciera un The Man in the Middle a estos mensajes? Pues de eso van las slides y para eso sirve la herramienta (Usarla bien ya depende de la pericia que tengamos, yo no llego a este nivel xD).

Slides:

Herramienta:

• https://github.com/eik00d/CANToolz

Sed Buenos ;) 

Ingeniería inversa de las llaves inalámbricas de coches

Hoy tocan otra de esas curiosidades de las que no llegar a entender dado que me falta base técnica para ello y la verdad es que hace falta para comprender como se puede destripar una señal de un llavero de control remoto inalámbrico para vehículos.

Lo mejor es que Batistan el chivo que dio la charla solamente usó herramientas open source como gqrx, audacity y baudline sobre un receptor SDR. El cual se ve que ahora están a un precio menor a 14$.

La verdad es que es muy curioso y ha hecho que me entren ganas de comprarme una antena SDR para hacer mis propios experimentos. 

Sed Buenos ;) 

Paper.- El Hackeo Del Jeep.

Hace varias semanas os hable de que Charlie Miller y Chris Valasek habían conseguido hacerse con el control de un un Jeep Cheroke a través de una vulnerabilidad en su sistema. 

Ahora, después de la defcon, me ha hecho mucha ilusión poder encontrar su paper y poderlo leer con todo lujo de detalles. El paper/slides tiene el título de Remote Exploitation of an Unaltered Passenger Vehicle y creo que nos dará horitas de diversión. 

Así que, sin mas, os dejo el paper:

• http://illmatics.com/Remote%20Car%20Hacking.pdf

 Sed Buenos ;) 

El Hackeo Del Jeep.

Hace unos días me sorprendió leer la noticia de que Charlie Miller (del que ya hemos hablado algunas veces por aquí) y Chris Valasek habían conseguido crear un exploit para controlar remotamente un Jeep en movimiento.

En este blog ya hemos hablado de que los coches eran el nuevo objetivo de los hackers junto a las aviones y de que ya se había hecho sangre de otros sistemas de seguridad en automóviles. Así que tampoco me parece tan extraño que se haya llegado a este nivel. 

Os dejo su vídeo pera que podáis ver como lo hicieron: 

La marcha del coche es un Jeep Cherokee y la solución de esta vulnerabilidad pasa por descargase el parche desde la web y pinchar el parche al automóvil a través de una memoria USB.

Parche:

• http://www.driveuconnect.com/software-update/

Fuente: 

• http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

Sed Buenos;) 

Ya Es Posible Vulnerar Y Controlar Un Coche.

En Octubre del año pasado dediqué una de las entradas de este blog a una noticia sobre la posibilidad de que los [Cibercriminales pudieran, también, robar coches]. En la cual, dije que me imaginaba a los delincuentes sacando coches de gama alta como James Bond en sus películas. Bueno, pues nada mas lejos que eso los investigadores [Charlie Miller] y [Chris Valasek] han ido un paso mas para adelante deshabilitando el sistema de frenado de un Toyota Prius.

"En la demostración Miller y Valasek se conectan al vehículo a través de un conector, sin embargo y de manera independiente, en 2011, investigadores de las universidades de Washington y California consiguieron el mismo grado de control vulnerando la red WiFi del vehículo. Es decir, ni siquiera es necesario tener acceso físico al coche objetivo para controlar sus sistemas críticos."

La demostración fue hecha en la BlackHat el dia 21 de agosto de este año. El sistema también puede ser vulnerado  mediante Bluetooth, por aplicaciones especificas del fabricante, por conexiones telefónicas e incluso con un cd de música. 

No se vosotros, pero a mi esto me asusta un pelin, suerte que tanto [Charlie Miller] como [Chris Valasek] son de los buenos y ya deben han reportado el fallo de seguridad a la empresa ... 

Os aconsejo que miréis la fuente de la noticia para mas información:
http://www.laflecha.net/canales/seguridad/noticias/investigadores-consiguen-vulnerar-y-controlar-los-sistemas-de-un-coche/

Los Cibercriminales Tambien Podrían Robar Coches

Cada vez los coches disponen de mas novedades ya sabéis: GPS, asistentes de aparcamiento, sensores, telefonía de manos libres, etc. Pero los fabricantes aun quieren innovar mas y han preparado sistemas operativos creados por ellos, con ayuda de empresas de software. Como por ejemplo  el sistema SYNC, de Ford, que fue desarrollado por Microsoft.

Esto ha hecho saltar la la palestra a Vicente Diaz (Analista Senior de Malware en Kaspersky Lab) que ha dicho lo siguiente:

"No tener un aislamiento perfecto entre las diferentes redes internas plantea un problema potencial. En el caso de que cualquiera de los sistemas operativos del coche resultara infectado , podría dar lugar a complicaciones inesperadas en otros subsistemas" 

Desde Kaspersky Lab observan que todos los fabricantes están trabajando en la inserción de Internet y todo tipo de dispositivos en el coche, que podrían acabar siendo el foco para diferentes ataques.

"Un coche es la herramienta perfecta de espionaje, que permitiría a un atacante conocer la posición exacta y los hábitos de la victima. También podría servir para llevar a cabo robos corrientes, en caso de que existiera la posibilidad de controlar los sistemas de seguridad del coche" 

Pues ya lo sabéis machotes dentro de poco veremos a los cibercriminales sacando coches de gama alta cual película de James Bond (almenos yo me lo imagino así xD)